Defaults.Exposed

Defaults.ExposedOpravyGuides

Někdo odesílá e-maily z vaší domény: průvodce nouzovou reakcí (2026)

Publikováno 2026-07-08

Údaje k 2026-06-29 · metodologie v7. Souhrnná data ze sčítání napříč 261 miliony ohodnocených domén. Viz jak hodnotíme.

Nejprve zkontrolujte, zda falešné e-maily používají přesně vaši doménu nebo napodobeninu, protože opravy jsou zcela odlišné. Spoofing přesné domény lze vypnout v DNS — a většina domén to neudělala: 89.41% nemá vymáhanou politiku DMARC a 46.4% nepublikuje vůbec žádný SPF, podle sčítání Defaults.Exposed zahrnujícího 261,086,232 ohodnocených domén.

Toto je kontrolní seznam incidentu: první hodina — potvrďte, co se děje, aniž byste situaci zhoršili; první den — zavřete otevřené dveře nebo zahajte stažení, pokud dveře nejsou vaše; první týden — sledujte, varujte lidi, kteří by mohli utrpět škodu, vymáhejte. Zajímáte se jen o to, zda by se to mohlo stát? Začněte s může někdo spoofovat mou doménu? — tato stránka je pro případ, kdy se to již děje.

Nejprve: je to skutečně vaše doména, nebo kopie?

Získejte jeden z falešných e-mailů a přečtěte adresu odesílatele znak po znaku. Vše, co následuje, závisí na tomto:

Co zobrazuje adresa FromCo se dějeVaše cesta
[email protected] — vaše doména, napsaná přesně správněSpoofing: cizí server falzuje vaši doménu na řádku From. Vaše systémy NEJSOU napadeny.DNS oprava — SPF, DKIM, vymáhané DMARC. Cesta 1.
[email protected], vasafirma-fakturace.com, vasafirma.co — podobné, ale ne vašeNapodobující doména registrovaná někým jiným. Váš DNS se vůbec nekontroluje.Stažení + varování. Cesta 2.
Vaše přesná adresa a zprávy jsou ve vaší vlastní složce Odeslaných nebo odpovídají na skutečná vláknaKompromitace účtu — někdo je uvnitř skutečné poštovní schránky. Jiný incident.Nejprve změňte heslo, odvolejte relace, povolte 2FA, zkontrolujte pravidla přeposílání — než cokoliv jiného.

Data k 2026-06-29.

Tučně zvýrazněný řádek je nejčastější a nejlépe opravitelný. Základní protokol e-mailu nikdy neověřoval řádek From — kdokoliv může zadat vaši doménu — takže opravou je publikování DNS záznamů, které příjemcům umožní zkontrolovat sami. Nepohodlná čísla ze sčítání: 121,145,609 z 261,086,232 ohodnocených domén (46.4%) nepublikuje vůbec žádný SPF záznam a 36,014 z 138,927,207 domén, které SPF publikují, ho končí +all — doslova autorizuje celý internet odesílat za ně (data k 2026-06-29).

První hodina: potvrďte, nereagujte impulsivně

  1. Spusťte bezplatnou kontrolu na defaults.exposed. Třicet sekund, bez registrace. Před dotykem DNS vám řekne, zda je vaše doména aktuálně zranitelná — zda je SPF přítomné a přísné, zda je DMARC vymáhané.
  2. Neodpovídejte na falzum, neklikejte na nic v něm a zatím neodesílejte hromadný e-mail vašim kontaktům. Panický výzev „ignorujte e-maily od nás!” ze stejné domény zní přesně jako podvod. Varování přijdou později, cíleně a mimo e-mail.
  3. Získejte jeden úplný vzorek s kompletními záhlavími. Požádejte příjemce, aby přeposlal falzum jako přílohu (Gmail: „Zobrazit originál” → stáhnout; Outlook: „Zobrazit zdrojový kód zprávy”). Snímek obrazovky řádku From nestačí — záhlaví jsou důkaz pro vše, co následuje.
  4. Přečtěte verdikt, který přijímací server již vydal. V záhlavích najděte Authentication-Results:dmarc=fail pro vaši přesnou doménu potvrzuje spoofing vaší domény; napodobující doména v header.from= potvrzuje cestu 2. Jedna subtilita: příjemci vyhodnocují SPF vůči doméně Return-Path (RFC5321.MailFrom, bounce adresa), nikoli záhlaví From, které vidí váš příjemce — falešná pošta může dokonce zobrazovat spf=pass pro doménu spammera, zatímco falzuje vaši ve From. Kontrola zarovnání DMARC přesně tuto mezeru uzavírá.

Cesta 1 — je to vaše přesná doména: první den

Spoofing vaší přesné domény funguje pouze tehdy, pokud váš DNS neříká nic, co by příjemcům umožnilo ho odmítnout. Dnes publikujete (nebo zpřísníte) tři záznamy; vymáhání následuje v průběhu týdne.

  1. SPF: publikujte jeden záznam se seznamem vašich skutečných odesílatelů, končící -all („všichni ostatní: selhat”). Pokud váš záznam končí +all nebo ?all, nejprve to opravte — jsou to otevřené dveře, která jste sami publikovali. Průvodce: jak opravit SPF, kliknutí v panelu na SPF na GoDaddy.
  2. DKIM: zapněte podepisování domény u vašeho poskytovatele e-mailu a v každém nástroji pro newslettery/fakturaci (obvykle pár CNAME záznamů každý).
  3. DMARC: dnes publikujte v=DMARC1; p=none; rua=mailto:..., aby začaly přicházet zprávy; p=reject je projekt tohoto týdne, nikoli této hodiny — úplná reference na jak opravit DMARC. Pokud doména vůbec neodesílá legitimní e-mail — stará značka, zaparkovaná doména — přeskočte opatrnost a uzamkněte ji dnes: ta stará doména z vaší rebrandu jsou dveře, které jste nechali otevřené.

Upřímná výhrada, než se uvolníte: vymáhaná politika DMARC říká přijímacím serverům, aby zahazovaly nebo odmítaly přesné doménové falzifikáty — a velcí poskytovatelé to respektují. Ale váže pouze příjemce, kteří ji kontrolují, a vůbec nic nedělá s napodobujícími doménami: jakmile podvodníci nemohou odesílat jako vasafirma.cz, registrace vasafirma-fakturace.com stojí pár eur. DMARC útok zmenšuje; nekončí příběh — první týdenní kroky jsou pro vás také důležité.

Cesta 2 — je to napodobenina: toto není DNS oprava

Žádný záznam, který publikujete na své doméně, neovlivňuje poštu z domény, která není vaše — nic v DNS se vůbec nekontroluje. Příručka je stažení plus varování:

  1. Zjistěte, kdo stojí za napodobeninou. Vyhledejte ji v RDAP/WHOIS (např. lookup.icann.org), abyste získali jejího registrátora, a zkontrolujte, zda hostuje web.
  2. Nahlaste to kontaktu pro zneužívání registrátora s přiloženým vzorkem kompletních záhlaví — registrátoři suspendují phishingové domény každý den; jasné důkazy to urychlí. Phishingový web? Nahlaste to také hostiteli, Google Safe Browsing a Microsoft SmartScreen.
  3. Nahlaste e-maily jako phishing v přijímacích poštovních schránkách (Gmail/Outlook „Nahlásit phishing”) — to rychleji trénuje velké filtry proti napodobenině než jakýkoliv dopis.
  4. Varujte pravděpodobné cíle mimo e-mail — krok, který skutečně zastaví odchod peněz. Zavolejte nebo napište (nekomunikujte pouze e-mailem) zákazníkům, dodavatelům a svému účetnímu: pojmenujte falešnou doménu a udělejte z jakékoliv změny bankovních údajů „od vás” věc ověřitelnou telefonicky. Tento zvyk je nejlepší obranou proti příběhu o podvodu s fakturou, který jste slyšeli.
  5. Pokud napodobenina zneužívá vaši ochrannou známku, stížnost UDRP může doménu převést — pomalejší než stažení, ale trvalé.

A přesto proveďte cestu 1: útočníci se málokdy obtěžují napodobeninou, dokud je skutečná doména stále otevřená, a 89.41% domén nemá vymáhané DMARC (pouze 27,640,987 z 261,086,232 — 10.59% — ano, k 2026-06-29). Zavřete si vlastní dveře bez ohledu na to.

První týden: sledujte, varujte, vymáhejte

  1. Čtěte své zprávy DMARC. Do jednoho či dvou dnů od aktivace tagu rua= souhrnné zprávy zobrazují každý server odesílající jako vaše doména — vaše skutečné i spoofera, s objemy a verdikty. Takto sledujete, jak útok slábne.
  2. Potvrďte, že vaši legitimní odesílatelé procházejí. Každý skutečný zdroj (poskytovatel pošty, nástroj pro newslettery, fakturační aplikace, kontaktní formulář webu) musí projít SPF nebo DKIM zarovnaně s vaší doménou před tím, než začnete vymáhat — jinak reject blokuje i vaši vlastní poštu.
  3. Zpřísněte DMARC na p=quarantine, poté p=reject. Při aktivním spoofingu komprimujete obvyklé měsíce do týdne nebo dvou — ale komprimujete fáze, nepřeskakujete je. Postupné zavádění, rampa pct a politika subdomény: z p=none na p=reject bez ztráty legitimní pošty.
  4. Odešlete jedno klidné, cílené oznámení protistranám, které mohly obdržet falza: co se stalo, oč falzum žádalo, pravidlo ověření telefonicky pro změny plateb a (cesta 2) přesná napodobující doména k zablokování.
  5. Znovu naskenujte a zprávu si uschovejte. Pojišťovny a zákazníci stále více ptají, co jste udělali pro zabezpečení e-mailů; datovaná, ohodnocená zpráva odpovídá písemně.

Nejčastější dotazy

Dostal/a jsem podvodný e-mail ze své vlastní adresy. Byl/a jsem hacknut/a? Téměř vždy ne — vydírací pošta „od vás, vám” je stejný trik s falzováním, využívající skutečnost, že vaše doména neodmítá falza. Zkontrolujte složku Odeslaných a poslední přihlášení; pokud jsou čisté, jde o spoofing a vymáhaná politika DMARC zastaví tuto variantu u příjemců, kteří ji respektují. K 2026-06-29, 89.41% z 261,086,232 ohodnocených domén to ještě neudělalo.

Zastaví DMARC e-maily z napodobující domény? Ne. Vaše politika DMARC řídí pouze vaši přesnou doménu (a její subdomény) — napodobenina je doména někoho jiného s vlastním DNS, která se nikdy nekontroluje vůči vašim záznamům. Napodobeniny se bojují oznámeními o zneužívání registrátorům, nahlášením phishingu a varováním protistran, nikoli DNS.

Jak rychle p=reject skutečně zastaví spoofing? Změny DNS dosáhnou příjemců v průběhu hodin a Gmail, Outlook a většina velkých poskytovatelů vymáhají verdikty DMARC — přesné doménové falzifikáty začnou mizet den, kdy politika přistane. Dvě upřímná omezení: menší příjemci, kteří nikdy nekontrolují DMARC, mohou stále doručovat falza a vymáhání před tím, než vaši vlastní odesílatelé jsou zarovnáni, blokuje vaši legitimní poštu — zrychlete fáze, nepřeskakujte je.

Pošlete vlastníkovi zprávu

Pokud jste IT dodavatel, který to řeší: jakmile jsou záznamy živé, znovu spusťte skenování a přepošlete ohodnocenou zprávu obchodnímu vlastníkovi. Zobrazuje v srozumitelném jazyce, co umožnilo spoofing, co jste změnili a kde doména nyní stojí — písemná odpověď na „jsme nyní v bezpečí?” a důkaz pro obnovu pojištění nebo dotazník zákazníka. Pokud jste vlastník: požadujte přesně tuto zprávu a uschovejte stav před a po.

Zkontrolujte zdarma, zda je vaše doména zranitelná vůči spoofingu

Zjistěte, zda cizí server může aktuálně procházet jako vy — a přesně co opravit — soukromě a pouze pro vlastníka.

Zkontrolujte svou doménu → · Z p=none na p=reject → · Opravit DMARC → · Může někdo spoofovat mou doménu? → · Pouze souhrnná data. Data uložena a zpracována v EU.