Defaults.Exposed › Opravy › Guides
Někdo odesílá e-maily z vaší domény: průvodce nouzovou reakcí (2026)
Publikováno 2026-07-08
Údaje k 2026-06-29 · metodologie v7. Souhrnná data ze sčítání napříč 261 miliony ohodnocených domén. Viz jak hodnotíme.
Nejprve zkontrolujte, zda falešné e-maily používají přesně vaši doménu nebo napodobeninu, protože opravy jsou zcela odlišné. Spoofing přesné domény lze vypnout v DNS — a většina domén to neudělala: 89.41% nemá vymáhanou politiku DMARC a 46.4% nepublikuje vůbec žádný SPF, podle sčítání Defaults.Exposed zahrnujícího 261,086,232 ohodnocených domén.
Toto je kontrolní seznam incidentu: první hodina — potvrďte, co se děje, aniž byste situaci zhoršili; první den — zavřete otevřené dveře nebo zahajte stažení, pokud dveře nejsou vaše; první týden — sledujte, varujte lidi, kteří by mohli utrpět škodu, vymáhejte. Zajímáte se jen o to, zda by se to mohlo stát? Začněte s může někdo spoofovat mou doménu? — tato stránka je pro případ, kdy se to již děje.
Nejprve: je to skutečně vaše doména, nebo kopie?
Získejte jeden z falešných e-mailů a přečtěte adresu odesílatele znak po znaku. Vše, co následuje, závisí na tomto:
| Co zobrazuje adresa From | Co se děje | Vaše cesta |
|---|---|---|
[email protected] — vaše doména, napsaná přesně správně | Spoofing: cizí server falzuje vaši doménu na řádku From. Vaše systémy NEJSOU napadeny. | DNS oprava — SPF, DKIM, vymáhané DMARC. Cesta 1. |
[email protected], vasafirma-fakturace.com, vasafirma.co — podobné, ale ne vaše | Napodobující doména registrovaná někým jiným. Váš DNS se vůbec nekontroluje. | Stažení + varování. Cesta 2. |
| Vaše přesná adresa a zprávy jsou ve vaší vlastní složce Odeslaných nebo odpovídají na skutečná vlákna | Kompromitace účtu — někdo je uvnitř skutečné poštovní schránky. Jiný incident. | Nejprve změňte heslo, odvolejte relace, povolte 2FA, zkontrolujte pravidla přeposílání — než cokoliv jiného. |
Data k 2026-06-29.
Tučně zvýrazněný řádek je nejčastější a nejlépe opravitelný. Základní protokol e-mailu nikdy neověřoval řádek From — kdokoliv může zadat vaši doménu — takže opravou je publikování DNS záznamů, které příjemcům umožní zkontrolovat sami. Nepohodlná čísla ze sčítání: 121,145,609 z 261,086,232 ohodnocených domén (46.4%) nepublikuje vůbec žádný SPF záznam a 36,014 z 138,927,207 domén, které SPF publikují, ho končí +all — doslova autorizuje celý internet odesílat za ně (data k 2026-06-29).
První hodina: potvrďte, nereagujte impulsivně
- Spusťte bezplatnou kontrolu na defaults.exposed. Třicet sekund, bez registrace. Před dotykem DNS vám řekne, zda je vaše doména aktuálně zranitelná — zda je SPF přítomné a přísné, zda je DMARC vymáhané.
- Neodpovídejte na falzum, neklikejte na nic v něm a zatím neodesílejte hromadný e-mail vašim kontaktům. Panický výzev „ignorujte e-maily od nás!” ze stejné domény zní přesně jako podvod. Varování přijdou později, cíleně a mimo e-mail.
- Získejte jeden úplný vzorek s kompletními záhlavími. Požádejte příjemce, aby přeposlal falzum jako přílohu (Gmail: „Zobrazit originál” → stáhnout; Outlook: „Zobrazit zdrojový kód zprávy”). Snímek obrazovky řádku From nestačí — záhlaví jsou důkaz pro vše, co následuje.
- Přečtěte verdikt, který přijímací server již vydal. V záhlavích najděte
Authentication-Results:—dmarc=failpro vaši přesnou doménu potvrzuje spoofing vaší domény; napodobující doména vheader.from=potvrzuje cestu 2. Jedna subtilita: příjemci vyhodnocují SPF vůči doméně Return-Path (RFC5321.MailFrom, bounce adresa), nikoli záhlaví From, které vidí váš příjemce — falešná pošta může dokonce zobrazovatspf=passpro doménu spammera, zatímco falzuje vaši ve From. Kontrola zarovnání DMARC přesně tuto mezeru uzavírá.
Cesta 1 — je to vaše přesná doména: první den
Spoofing vaší přesné domény funguje pouze tehdy, pokud váš DNS neříká nic, co by příjemcům umožnilo ho odmítnout. Dnes publikujete (nebo zpřísníte) tři záznamy; vymáhání následuje v průběhu týdne.
- SPF: publikujte jeden záznam se seznamem vašich skutečných odesílatelů, končící
-all(„všichni ostatní: selhat”). Pokud váš záznam končí+allnebo?all, nejprve to opravte — jsou to otevřené dveře, která jste sami publikovali. Průvodce: jak opravit SPF, kliknutí v panelu na SPF na GoDaddy. - DKIM: zapněte podepisování domény u vašeho poskytovatele e-mailu a v každém nástroji pro newslettery/fakturaci (obvykle pár CNAME záznamů každý).
- DMARC: dnes publikujte
v=DMARC1; p=none; rua=mailto:..., aby začaly přicházet zprávy;p=rejectje projekt tohoto týdne, nikoli této hodiny — úplná reference na jak opravit DMARC. Pokud doména vůbec neodesílá legitimní e-mail — stará značka, zaparkovaná doména — přeskočte opatrnost a uzamkněte ji dnes: ta stará doména z vaší rebrandu jsou dveře, které jste nechali otevřené.
Upřímná výhrada, než se uvolníte: vymáhaná politika DMARC říká přijímacím serverům, aby zahazovaly nebo odmítaly přesné doménové falzifikáty — a velcí poskytovatelé to respektují. Ale váže pouze příjemce, kteří ji kontrolují, a vůbec nic nedělá s napodobujícími doménami: jakmile podvodníci nemohou odesílat jako vasafirma.cz, registrace vasafirma-fakturace.com stojí pár eur. DMARC útok zmenšuje; nekončí příběh — první týdenní kroky jsou pro vás také důležité.
Cesta 2 — je to napodobenina: toto není DNS oprava
Žádný záznam, který publikujete na své doméně, neovlivňuje poštu z domény, která není vaše — nic v DNS se vůbec nekontroluje. Příručka je stažení plus varování:
- Zjistěte, kdo stojí za napodobeninou. Vyhledejte ji v RDAP/WHOIS (např.
lookup.icann.org), abyste získali jejího registrátora, a zkontrolujte, zda hostuje web. - Nahlaste to kontaktu pro zneužívání registrátora s přiloženým vzorkem kompletních záhlaví — registrátoři suspendují phishingové domény každý den; jasné důkazy to urychlí. Phishingový web? Nahlaste to také hostiteli, Google Safe Browsing a Microsoft SmartScreen.
- Nahlaste e-maily jako phishing v přijímacích poštovních schránkách (Gmail/Outlook „Nahlásit phishing”) — to rychleji trénuje velké filtry proti napodobenině než jakýkoliv dopis.
- Varujte pravděpodobné cíle mimo e-mail — krok, který skutečně zastaví odchod peněz. Zavolejte nebo napište (nekomunikujte pouze e-mailem) zákazníkům, dodavatelům a svému účetnímu: pojmenujte falešnou doménu a udělejte z jakékoliv změny bankovních údajů „od vás” věc ověřitelnou telefonicky. Tento zvyk je nejlepší obranou proti příběhu o podvodu s fakturou, který jste slyšeli.
- Pokud napodobenina zneužívá vaši ochrannou známku, stížnost UDRP může doménu převést — pomalejší než stažení, ale trvalé.
A přesto proveďte cestu 1: útočníci se málokdy obtěžují napodobeninou, dokud je skutečná doména stále otevřená, a 89.41% domén nemá vymáhané DMARC (pouze 27,640,987 z 261,086,232 — 10.59% — ano, k 2026-06-29). Zavřete si vlastní dveře bez ohledu na to.
První týden: sledujte, varujte, vymáhejte
- Čtěte své zprávy DMARC. Do jednoho či dvou dnů od aktivace tagu
rua=souhrnné zprávy zobrazují každý server odesílající jako vaše doména — vaše skutečné i spoofera, s objemy a verdikty. Takto sledujete, jak útok slábne. - Potvrďte, že vaši legitimní odesílatelé procházejí. Každý skutečný zdroj (poskytovatel pošty, nástroj pro newslettery, fakturační aplikace, kontaktní formulář webu) musí projít SPF nebo DKIM zarovnaně s vaší doménou před tím, než začnete vymáhat — jinak reject blokuje i vaši vlastní poštu.
- Zpřísněte DMARC na
p=quarantine, potép=reject. Při aktivním spoofingu komprimujete obvyklé měsíce do týdne nebo dvou — ale komprimujete fáze, nepřeskakujete je. Postupné zavádění, rampapcta politika subdomény: z p=none na p=reject bez ztráty legitimní pošty. - Odešlete jedno klidné, cílené oznámení protistranám, které mohly obdržet falza: co se stalo, oč falzum žádalo, pravidlo ověření telefonicky pro změny plateb a (cesta 2) přesná napodobující doména k zablokování.
- Znovu naskenujte a zprávu si uschovejte. Pojišťovny a zákazníci stále více ptají, co jste udělali pro zabezpečení e-mailů; datovaná, ohodnocená zpráva odpovídá písemně.
Nejčastější dotazy
Dostal/a jsem podvodný e-mail ze své vlastní adresy. Byl/a jsem hacknut/a? Téměř vždy ne — vydírací pošta „od vás, vám” je stejný trik s falzováním, využívající skutečnost, že vaše doména neodmítá falza. Zkontrolujte složku Odeslaných a poslední přihlášení; pokud jsou čisté, jde o spoofing a vymáhaná politika DMARC zastaví tuto variantu u příjemců, kteří ji respektují. K 2026-06-29, 89.41% z 261,086,232 ohodnocených domén to ještě neudělalo.
Zastaví DMARC e-maily z napodobující domény? Ne. Vaše politika DMARC řídí pouze vaši přesnou doménu (a její subdomény) — napodobenina je doména někoho jiného s vlastním DNS, která se nikdy nekontroluje vůči vašim záznamům. Napodobeniny se bojují oznámeními o zneužívání registrátorům, nahlášením phishingu a varováním protistran, nikoli DNS.
Jak rychle p=reject skutečně zastaví spoofing?
Změny DNS dosáhnou příjemců v průběhu hodin a Gmail, Outlook a většina velkých poskytovatelů vymáhají verdikty DMARC — přesné doménové falzifikáty začnou mizet den, kdy politika přistane. Dvě upřímná omezení: menší příjemci, kteří nikdy nekontrolují DMARC, mohou stále doručovat falza a vymáhání před tím, než vaši vlastní odesílatelé jsou zarovnáni, blokuje vaši legitimní poštu — zrychlete fáze, nepřeskakujte je.
Pošlete vlastníkovi zprávu
Pokud jste IT dodavatel, který to řeší: jakmile jsou záznamy živé, znovu spusťte skenování a přepošlete ohodnocenou zprávu obchodnímu vlastníkovi. Zobrazuje v srozumitelném jazyce, co umožnilo spoofing, co jste změnili a kde doména nyní stojí — písemná odpověď na „jsme nyní v bezpečí?” a důkaz pro obnovu pojištění nebo dotazník zákazníka. Pokud jste vlastník: požadujte přesně tuto zprávu a uschovejte stav před a po.
Zkontrolujte zdarma, zda je vaše doména zranitelná vůči spoofingu
Zjistěte, zda cizí server může aktuálně procházet jako vy — a přesně co opravit — soukromě a pouze pro vlastníka.
Zkontrolujte svou doménu → · Z p=none na p=reject → · Opravit DMARC → · Může někdo spoofovat mou doménu? → · Pouze souhrnná data. Data uložena a zpracována v EU.