Defaults.Exposed › Поправки › Guides
Някой изпраща имейли от вашия домейн: аварийното ръководство за реакция (2026)
Публикувано 2026-07-08
Данни към 2026-06-29 · методология v7. Обобщени данни от census за 261 милиона оценени домейна. Вижте как оценяваме.
Първо проверете дали фалшивите имейли използват точния ви домейн или подобен, защото поправките са напълно различни. Подправянето на точен домейн може да бъде изключено в DNS — и повечето домейни не са го направили: 89.41% нямат приложена DMARC политика, а 46.4% не публикуват никакъв SPF, според census на Defaults.Exposed за 261,086,232 оценени домейна.
Това е контролен списък за инцидент: първия час — потвърдете какво се случва, без да влошавате положението; първия ден — затворете отворената врата или стартирайте сваляне, ако вратата не е ваша; първата седмица — наблюдавайте, предупредете хората, които може да пострадат, приложете. Просто се чудите дали би могло да се случи? Започнете с може ли някой да подправи моя домейн? — тази страница е за случаите, когато вече се случва.
Първо: наистина ли е вашият домейн, или копие?
Вземете един от фалшивите имейли и прочетете адреса на изпращача символ по символ. Всичко, следващо оттук, зависи от това:
| Какво показва адресът From | Какво се случва | Вашият път |
|---|---|---|
[email protected] — вашият домейн, изписан точно правилно | Подправяне: чужд сървър фалшифицира вашия домейн в реда From. Вашите системи НЕ са хакнати. | DNS поправка — SPF, DKIM, приложен DMARC. Път 1. |
[email protected], yourcompany-billing.com, yourcompany.co — близко, но не е вашето | Подобен домейн, регистриран от някой друг. Вашият DNS никога не се проверява. | Сваляне + предупреждения. Път 2. |
| Вашият точен адрес и съобщенията са в папката ви Изпратени или отговарят на реални нишки | Компрометиране на акаунт — някой е вътре в реална пощенска кутия. Различен инцидент. | Сменете паролата, отменете сесиите, активирайте 2FA, проверете правилата за препращане — преди всичко останало. |
Данни към 2026-06-29.
Удебеленият ред е най-честият и най-поправимият. Основният протокол на имейла никога не е проверявал реда From — всеки може да въведе вашия домейн в него — затова поправката е публикуване на DNS записи, позволяващи на получателите сами да проверят. Неудобните числа от census: 121,145,609 от 261,086,232 оценени домейна (46.4%) не публикуват никакъв SPF запис, а 36,014 от 138,927,207 домейна, публикуващи SPF, го завършват с +all — буквално упълномощавайки целия интернет да изпраща от тяхно ime (данни към 2026-06-29).
Първият час: потвърдете, не реагирайте
- Стартирайте безплатното сканиране на defaults.exposed. Тридесет секунди, без регистрация. Казва ви дали в момента вашият домейн може да бъде подправян — SPF налице и строг или не, DMARC приложен или не — преди да докоснете DNS.
- Не отговаряйте на фалшивото, не кликвайте нищо в него и не изпращайте масов имейл до контактите си засега. Паническо „игнорирайте имейли от нас!” изпратено от същия домейн изглежда точно като измамата. Предупрежденията идват по-късно, насочено и извън канала.
- Съберете един пълен образец с пълни заглавия. Помолете получател да препрати фалшивото като прикачен файл (Gmail: „Покажи оригинала” → изтегли; Outlook: „Преглед на изходния код”). Скрийншот на реда From не е достатъчен — заглавията са доказателството за всичко, следващо.
- Прочетете резултата, до който вече е стигнал получаващият сървър. В заглавията намерете
Authentication-Results:—dmarc=failсрещу вашия точен домейн потвърждава подправяне на вашия домейн; подобен домейн вheader.from=потвърждава Път 2. Едно нюансиране: получателите оценяват SPF спрямо домейна на Return-Path (RFC5321.MailFrom, адресът за отвърнати писма), а не заглавието From, видяно от получателя — подправен имейл дори може да показваspf=passза домейна на спамера, докато фалшифицира вашия в From. Проверката за alignment на DMARC затваря именно тази вратичка.
Път 1 — точно е вашият домейн: първият ден
Подправянето на вашия точен домейн работи само докато DNS ви не казва нищо, позволяващо на получателите да го откажат. Днес публикувате (или затягате) трите записа; прилагането следва в рамките на седмицата.
- SPF: публикувайте един запис, изброяващ реалните ви изпращачи, завършващ с
-all(„всички останали: неуспех”). Ако вашият завършва с+allили?all, поправете го първо — това е отворена врата, публикувана от вас самите. Наръчник: как да поправите SPF, кликове по доставчик на SPF за GoDaddy. - DKIM: активирайте подписването на домейн в пощенския ви доставчик и всеки инструмент за бюлетини/фактуриране (обикновено по няколко CNAME записа за всеки).
- DMARC: публикувайте
v=DMARC1; p=none; rua=mailto:...днес, за да започнат да текат докладите;p=rejectе проект за тази седмица, не за този час — пълна справка на как да поправите DMARC. Ако домейнът не изпраща никакъв легитимен имейл — стара марка, паркиран домейн — пропуснете предпазливостта и го заключете днес: старият домейн от вашето ребрандиране е врата, която сте оставили отворена.
Честна бележка, преди да се отпуснете: приложена DMARC политика казва на получаващите сървъри да изхвърлят или отхвърлят точно-домейнови фалшификати — и основните доставчици я спазват. Но тя обвързва само получатели, проверяващи я, и не прави абсолютно нищо за подобни домейни: след като измамниците не могат да изпращат като yourcompany.com, регистрирането на yourcompany-billing.com струва няколко евро. DMARC свива атаката; не слага край на историята — стъпките за първата седмица са важни и за вас.
Път 2 — подобен домейн: това не е DNS поправка
Никакъв запис, публикуван от вашия домейн, не засяга поща от домейн, който не притежавате — нищо от вашия DNS дори не се разглежда. Стратегията е сваляне плюс предупреждения:
- Открийте кой стои зад подобния домейн. Потърсете го в RDAP/WHOIS (напр.
lookup.icann.org), за да получите регистратора му, и проверете дали хоства уебсайт. - Докладвайте го на контакта за злоупотреби на регистратора с пълния ви образец с заглавия приложен — регистраторите спират фишинг домейни всеки ден; ясните доказателства го ускоряват. Фишинг сайт? Докладвайте го на хоста, Google Safe Browsing и Microsoft SmartScreen също.
- Докладвайте имейлите като фишинг в получаващите пощенски кутии (Gmail/Outlook „Докладвай фишинг”) — това обучава основните филтри срещу подобния домейн по-бързо от всяко писмо.
- Предупредете вероятните цели извън канала — стъпката, която действително спира преместването на пари. Обадете се или изпратете съобщение (не само имейл) на клиенти, доставчици и счетоводителя си: назовете фалшивия домейн и направете всяка промяна на банковите детайли „от вас” проверяема по телефон. Този навик е най-добрата защита срещу историята за измама с фактури, която сте чули.
- Ако подобният домейн злоупотребява с вашата търговска марка, оплакване по UDRP може да прехвърли домейна — по-бавно от сваляне, но постоянно.
И все пак изпълнете Път 1: нападателите рядко се занимават с подобен домейн, докато реалният домейн е все още отворен, а 89.41% от домейните нямат приложен DMARC (само 27,640,987 от 261,086,232 — 10.59% — го имат, към 2026-06-29). Затворете собствената си врата независимо от всичко.
Първата седмица: наблюдавайте, предупреждавайте, прилагайте
- Четете докладите ви от DMARC. В рамките на ден-два след появата на тага
rua=, обобщените доклади показват всеки сървър, изпращащ като вашия домейн — реалните и подправящия, с обеми и резултати. Така наблюдавате как атаката отмира. - Потвърдете, че легитимните ви изпращачи преминават. Всеки реален источник (пощенски доставчик, инструмент за бюлетини, приложение за фактуриране, формуляр за контакт на уебсайта) трябва да премине SPF или DKIM съответстващи с вашия домейн, преди да приложите — иначе reject блокира и вашата собствена поща.
- Затегнете DMARC към
p=quarantine, след товаp=reject. При активно подправяне, компресирате обичайните месеци в седмица или две — но компресирате етапите, а не ги прескачате. Поетапното разгръщане, рамповете наpctи политиката за поддомейни: от p=none до p=reject без загуба на легитимен имейл. - Изпратете едно спокойно, насочено известие до контрагенти, може би получили фалшификати: какво се е случило, какво е поискало фалшивото писмо, правилото за проверка по телефон на промени в плащанията и (Път 2) точния подобен домейн за блокиране.
- Сканирайте отново и запазете доклада. Застрахователите и клиентите все по-често питат какво сте направили за имейл сигурността; датиран, оценен доклад отговаря в писмен вид.
Често задавани въпроси
Получих измамен имейл от собствения си адрес. Хакнат ли съм? Почти винаги не — имейлите за изнудване „от вас, до вас” са същия трик с фалшифициране, използвайки факта, че вашият домейн не отхвърля фалшификатите. Проверете папката Изпратени и скорошните влизания; ако са чисти, това е подправяне и приложена DMARC политика спира тази разновидност при получатели, спазващи я. Към 2026-06-29, 89.41% от 261,086,232 оценени домейна не са направили това.
Ще спре ли DMARC имейлите с подобен домейн? Не. Вашата DMARC политика управлява само точния ви домейн (и поддомейните му) — подобният е нечий друг домейн с неговия собствен DNS, никога проверяван спрямо вашите записи. Подобните домейни се борят с доклади до регистраторите за злоупотреби, доклади за фишинг и предупреждения до контрагентите, а не чрез DNS.
Колко бързо ще спре p=reject всъщност подправянето? DNS промените достигат до получателите в рамките на часове, а Gmail, Outlook и повечето основни доставчици прилагат DMARC резултатите — точно-домейновите фалшификати започват да умират от деня на влизане в сила на политиката. Две честни ограничения: по-малките получатели, никога непроверяващи DMARC, може все още да доставят фалшификати, а прилагането преди да са алайнирани вашите изпращачи блокира легитимната ви поща — ускорете етапите, не ги прескачайте.
Изпратете на собственика доклада
Ако вие сте IT изпълнителят, обработващ това: след като записите са активни, пуснете отново сканирането и препратете оценения доклад на собственика на бизнеса. Той показва, разбираемо, какво е позволило подправянето, какво сте променили и накъде стои домейнът сега — писменият отговор на „безопасни ли сме сега?” и доказателството за подновяване на застраховката или въпросника на клиента. Ако сте собственик: поискайте точно такъв доклад и пазете преди и след.
Проверете безплатно дали вашият домейн може да бъде подправен
Вижте дали чужд сървър в момента може да се представя за вас — и точно какво да поправите — поверително и само за собственика.
Проверете вашия домейн → · От p=none до p=reject → · Поправяне на DMARC → · Може ли някой да подправи моя домейн? → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.