Defaults.Exposed

Defaults.ExposedRettelserGuides

Nogen sender e-mails fra dit domæne: akutrespons-guiden (2026)

Udgivet 2026-07-08

Tal fra 2026-06-29 · metodologi v7. Aggregerede censusdata på tværs af 261 millioner graderede domæner. Se hvordan vi graderer.

Tjek først, om de falske e-mails bruger dit præcise domæne eller et lignende, fordi løsningerne er helt forskellige. Eksakt-domæne-spoofing kan lukkes af i DNS — og de fleste domæner har ikke gjort det: 89.41% har ingen håndhævet DMARC-politik, og 46.4% udgiver slet ingen SPF, ifølge Defaults.Exposed-census over 261,086,232 graderede domæner.

Dette er en hændelsestjekliste: den første time — bekræft, hvad der sker, uden at gøre det værre; den første dag — luk den åbne dør, eller start nedlukningen, hvis døren ikke er din; den første uge — overvåg, advar de mennesker, der kan blive ramt, håndhæv. Spørger du blot, om dette kan ske? Start med kan nogen sPoofeMIT domæne? — denne side er til, når det allerede sker.

Først: er det virkelig dit domæne, eller en kopi?

Tag én af de falske e-mails og læs afsenderadressen tegn for tegn. Alt, hvad der følger, afhænger af dette:

Hvad Fra-adressen viserHvad der skerDin vej
[email protected] — dit domæne, stavet præcis rigtigtSpoofing: en fremmed servers server forfalsker dit domæne i Fra-linjen. Dine systemer er IKKE hacket.DNS-løsning — SPF, DKIM, håndhævet DMARC. Vej 1.
[email protected], ditfirma.co — tæt på, men ikke ditEt lignende domæne, en anden registrerede. Din DNS konsulteres aldrig.Nedlukning + advarsler. Vej 2.
Din præcise adresse, og beskederne ligger i din egen Sendt-mappe eller svarer på rigtige trådeKontokompromittering — nogen er inde i en rigtig postkasse. En anden hændelse.Skift adgangskoden, tilbagekald sessioner, slå 2FA til, tjek videresendelsesregler — inden alt andet.

Data fra 2026-06-29.

Den fed-markerede række er den mest almindelige og den mest løsbare. E-mailens kerneprotokol verificerede aldrig Fra-linjen — enhver kan skrive dit domæne i den — så løsningen er at udgive DNS-poster, der lader modtagere tjekke selv. De ubehagelige censustal: 121,145,609 af 261,086,232 graderede domæner (46.4%) udgiver slet ingen SPF-post, og 36,014 af de 138,927,207 domæner, der udgiver SPF, slutter den med +all — der bogstaveligt talt godkender hele internettet til at sende som dem (data fra 2026-06-29).

Den første time: bekræft, reagér ikke

  1. Kør den gratis scanning på defaults.exposed. Tredive sekunder, ingen tilmelding. Den fortæller dig, om dit domæne i øjeblikket kan spoofes — SPF til stede og strict eller ej, DMARC håndhævet eller ej — inden du rører DNS.
  2. Svar ikke på det falske, klik ikke på noget i det, og massemail ikke dine kontakter endnu. Et panisk “ignorer e-mails fra os!” blast fra det samme domæne lyder præcis som svindlen. Advarsler kommer senere, målrettede og via andre kanaler.
  3. Indsaml én fuld prøve med komplette headere. Bed en modtager om at videresende det falske som en vedhæftning (Gmail: “Vis original” → download; Outlook: “Vis beskedkilde”). Et skærmbillede af Fra-linjen er ikke nok — headerene er beviset for alt, hvad der følger.
  4. Læs den dom, den modtagende server allerede nåede frem til. I headerene, find Authentication-Results:dmarc=fail mod dit præcise domæne bekræfter spoofing af dit domæne; et lignende domæne i header.from= bekræfter vej 2. En nuance: modtagere evaluerer SPF mod Return-Path-domænet (RFC5321.MailFrom, bounce-adressen), ikke Fra-headeren, som din modtager ser — en spoofet e-mail kan endda vise spf=pass for spam-afsenderens domæne, mens den forfalsker dit i Fra. DMARCs justeringskontrol lukker præcis det hul.

Vej 1 — det er dit præcise domæne: den første dag

Spoofing af dit præcise domæne virker kun, mens din DNS ikke siger noget, der lader modtagere afvise det. I dag udgiver (eller strammer) du de tre poster; håndhævelse følger i løbet af ugen.

  1. SPF: udgiv én post, der lister dine rigtige afsendere og slutter med -all (“alle andre: fejl”). Slutter din med +all eller ?all, ret det først — det er en åben dør, du selv udgav. Gennemgang: hvordan man løser SPF, klik-stier hos SPF på GoDaddy.
  2. DKIM: slå domænesignering til hos din e-mailudbyder og alle nyhedsbreve-/faktureringsprogrammer (typisk et par CNAME-poster hver).
  3. DMARC: udgiv v=DMARC1; p=none; rua=mailto:... i dag, så rapporter begynder at flyde; p=reject er denne uges projekt, ikke denne times — fuld reference på hvordan man løser DMARC. Sender domænet slet ingen legitim e-mail — et gammelt mærke, et parkeret domæne — spring advarslen over og lås det ned i dag: det gamle domæne fra din rebrand er en dør, du efterlod åben.

Den ærlige forbehold, inden du slapper af: en håndhævet DMARC-politik fortæller modtagende servere at smide eller afvise eksakt-domæne-forfalskninger — og de store udbydere respekterer det. Men det binder kun modtagere, der kontrollerer det, og det gør absolut ingenting ved lignende domæner: så snart svindlerne ikke kan sende som ditfirma.com, koster det et par euro at registrere ditfirma-regning.com. DMARC indsnævrer angrebet; det slutter ikke historien — første-uge-trinnene gælder for dig også.

Vej 2 — det er et lignende domæne: dette er ikke en DNS-løsning

Ingen post, du udgiver på dit domæne, påvirker e-mail fra et domæne, du ikke ejer — intet i din DNS konsulteres overhovedet. Spilleplanen er nedlukning plus advarsler:

  1. Find ud af, hvem der står bag det lignende domæne. Slå det op i RDAP/WHOIS (f.eks. lookup.icann.org) for at få dets registrator, og tjek, om det hoster et websted.
  2. Anmeld det til registratorens misbrugskontakt med din prøve med fulle headere vedhæftet — registratorer suspenderer phishing-domæner hver dag; klart bevis gør det hurtigt. Et phishing-websted? Anmeld det til hosten, Google Safe Browsing og Microsoft SmartScreen også.
  3. Anmeld e-mailene som phishing i de modtagende postkasser (Gmail/Outlook “Anmeld phishing”) — dette træner de store filtre mod det lignende domæne hurtigere end ethvert brev.
  4. Advar sandsynlige mål via andre kanaler — det trin, der faktisk stopper penge i at forlade. Ring eller skriv (ikke blot e-mail) til kunder, leverandører og din revisor: nævn det falske domæne, og gør enhver ændring af bankoplysninger “fra dig” verificerbar telefonisk. Den vane er det bedste forsvar mod fakturasvindel-historien, du har hørt.
  5. Hvis det lignende domæne krænker dit varemærke, kan en UDRP-klage overføre domænet — langsommere end en nedlukning, men permanent.

Og kør vej 1 alligevel: angribere gider sjældent et lignende domæne, mens det rigtige er åbent, og 89.41% af domæner har ingen håndhævet DMARC (kun 27,640,987 af 261,086,232 — 10.59% — har det, pr. 2026-06-29). Luk din egen dør uanset.

Den første uge: overvåg, advar, håndhæv

  1. Læs dine DMARC-rapporter. Inden for en dag eller to, efter rua=-tagget er live, viser aggregerede rapporter alle servere, der sender som dit domæne — dine rigtige og spammeren, med mængder og domme. Sådan ser du angrebet dø.
  2. Bekræft, at dine legitime afsendere godkendes. Enhver rigtig kilde (mailudbyder, nyhedsbrevsprogrammer, faktureringsprogram, webstedets kontaktformular) skal godkendes med SPF eller DKIM justeret til dit domæne, inden du håndhæver — ellers blokerer reject også din egen e-mail.
  3. Sæt DMARC op til p=quarantine, derefter p=reject. Under aktivt spoofing komprimerer du de sædvanlige måneder til en uge eller to — men du komprimerer stadierne, du springer dem ikke over. Den trinvise udrulning, pct-rampen og underdomænepolitikken: fra p=none til p=reject uden at miste legitim e-mail.
  4. Send én rolig, målrettet meddelelse til modparter, der kan have modtaget falske: hvad der skete, hvad det falske bad om, reglen om verifikation-telefonisk for betalingsændringer, og (vej 2) det præcise lignende domæne, der skal blokeres.
  5. Scan igen og behold rapporten. Forsikringsselskaber og kunder spørger i stigende grad, hvad du gjorde ved e-mailsikkerhed; en dateret, graderet rapport svarer skriftligt.

Ofte stillede spørgsmål

Jeg modtog en svindel-e-mail fra min egen adresse. Er jeg blevet hacket? Næsten altid nej — “fra dig, til dig”-afpresnings-e-mail er det samme forfalskningstrick, der udnytter det faktum, at dit domæne ikke afviser falske. Tjek din Sendt-mappe og seneste logins; er det rent, er det spoofing, og en håndhævet DMARC-politik stopper den variant hos modtagere, der respekterer det. Pr. 2026-06-29 har 89.41% af 261,086,232 graderede domæner ikke gjort dette.

Vil DMARC stoppe de lignende-domæne-e-mails? Nej. Din DMARC-politik styrer dit præcise domæne (og dets underdomæner) kun — et lignende domæne er en andens domæne med sin egen DNS, der aldrig kontrolleres mod dine poster. Lignende domæner bekæmpes med registratorens misbrugsanmeldelser, phishing-anmeldelser og advarsler til modparter, ikke DNS.

Hvor hurtigt vil p=reject faktisk stoppe spoofing? DNS-ændringer når modtagere inden for timer, og Gmail, Outlook og de fleste store udbydere håndhæver DMARC-domme — eksakt-domæne-forfalskninger begynder at dø den dag, politikken lander. To ærlige begrænsninger: mindre modtagere, der aldrig kontrollerer DMARC, kan stadig levere falske, og håndhævelse, inden dine egne afsendere er justeret, blokerer din legitime e-mail — accelerér stadierne, spring dem ikke over.

Send ejeren rapporten

Er du IT-kontraktoren, der håndterer dette: når posterne er live, kør scanningen igen og videresend den graderede rapport til virksomhedsejeren. Den viser på klart sprog, hvad der lod spoofing ske, hvad du ændrede, og hvor domænet befinder sig nu — det skriftlige svar på “er vi sikre nu?”, og beviset for forsikringsfornyelsen eller kundespørgeskemaet. Er du ejeren: bed om præcis den rapport, og behold før og efter.

Tjek, om dit domæne kan spoofes gratis

Se, om en fremmed servers server i øjeblikket kan udgive sig for dig — og præcis hvad du skal løse — privat og kun for ejeren.

Kontrollér dit domæne → · Fra p=none til p=reject → · Ret DMARC → · Kan nogen sPoofeMIT domæne? → · Kun aggregerede data. Data opbevares og behandles i EU.