Defaults.Exposed

Defaults.Exposedرفع اشکال‌هاGuides

کسی از دامنه شما ایمیل می‌فرستد: راهنمای واکنش اضطراری (۲۰۲۶)

منتشرشده 2026-07-08

ارقام تا 2026-06-29 · روش‌شناسی v7. داده‌های آماری کل در 261 میلیون دامنه درجه‌بندی‌شده. ببینید چگونه درجه‌بندی می‌کنیم.

ابتدا بررسی کنید ایمیل‌های تقلبی از دامنه دقیق شما استفاده می‌کنند یا یک شبیه‌سازی، چون رفع‌ها کاملاً متفاوت هستند. جعل هویت دامنه دقیق می‌تواند در DNS خاموش شود — و اکثر دامنه‌ها این کار را نکرده‌اند: 89.41٪ سیاست DMARC اعمال نشده دارند، و 46.4٪ اصلاً SPF منتشر نکرده‌اند، طبق سرشماری Defaults.Exposed از 261,086,232 دامنه درجه‌بندی‌شده.

این یک چک‌لیست رویداد است: ساعت اول — بدون بدتر کردن، تأیید کنید چه اتفاقی افتاده؛ روز اول — در باز را ببندید، یا اگر در متعلق به شما نیست حذف را شروع کنید؛ هفته اول — نظارت کنید، مردمی که ممکن است آسیب ببینند را هشدار دهید، اعمال کنید. فقط می‌خواهید بدانید آیا این ممکن است اتفاق بیفتد؟ با آیا کسی می‌تواند دامنه‌ام را جعل کند؟ شروع کنید — این صفحه برای وقتی است که قبلاً اتفاق افتاده.

اول: آیا واقعاً دامنه شماست، یا یک کپی‌کار؟

یکی از ایمیل‌های تقلبی را بگیرید و آدرس فرستنده را کاراکتر به کاراکتر بخوانید. همه چیز بعدی به این بستگی دارد:

آدرس From چه نشان می‌دهدچه اتفاقی دارد می‌افتدمسیر شما
[email protected] — دامنه شما، دقیقاً درست نوشته شدهجعل هویت: سرور یک غریبه دامنه شما را در خط From جعل می‌کند. سیستم‌های شما هک نشده‌اند.رفع DNS — SPF، DKIM، DMARC اعمال شده. مسیر ۱.
[email protected]، yourcompany-billing.com، yourcompany.co — نزدیک، اما متعلق به شما نیستیک دامنه شبیه‌سازی که شخص دیگری ثبت کرده. DNS شما اصلاً مشورت نمی‌شود.حذف + هشدارها. مسیر ۲.
آدرس دقیق شما، و پیام‌ها در پوشه Sent خودتان نشسته‌اند یا به thread‌های واقعی پاسخ می‌دهندسازش حساب — کسی داخل یک صندوق پستی واقعی است. یک رویداد متفاوت.قبل از هر چیز رمز عبور را تغییر دهید، session‌ها را باطل کنید، ۲FA فعال کنید، قوانین forwarding را بررسی کنید.

داده‌ها تا 2026-06-29.

ردیف پررنگ رایج‌ترین و قابل‌رفع‌ترین است. پروتکل اصلی ایمیل هرگز خط From را تأیید نکرد — هر کسی می‌تواند دامنه شما را در آن تایپ کند — بنابراین رفع انتشار رکوردهای DNS است که به گیرندگان اجازه می‌دهد خودشان بررسی کنند. اعداد سرشماری ناراحت‌کننده: 121,145,609 از 261,086,232 دامنه درجه‌بندی‌شده (46.4٪) اصلاً رکورد SPF ندارند، و 36,014 از 138,927,207 دامنه‌هایی که SPF دارند با +all پایان می‌یابند — حرفاً به کل اینترنت مجوز می‌دهند که به عنوان آن‌ها ارسال کنند (داده‌ها تا 2026-06-29).

ساعت اول: تأیید کنید، واکنش نشان ندهید

  1. اسکن رایگان را در defaults.exposed اجرا کنید. سی ثانیه، بدون ثبت‌نام. قبل از دست زدن به DNS به شما می‌گوید آیا دامنه‌تان در حال حاضر قابل جعل است — SPF موجود و سخت‌گیرانه یا نه، DMARC اعمال شده یا نه.
  2. به ایمیل تقلبی reply ندهید، روی چیزی در آن کلیک نکنید، و هنوز به مخاطبینتان ایمیل گروهی نفرستید. یک انفجار وحشت‌زده “ایمیل‌هایمان را نادیده بگیرید!” از همان دامنه دقیقاً مثل کلاهبرداری به نظر می‌رسد. هشدارها بعداً می‌آیند، هدفمند و خارج از باند.
  3. یک نمونه کامل با header‌های کامل جمع کنید. از یک گیرنده بخواهید ایمیل تقلبی را به صورت پیوست فوروارد کند (Gmail: “Show original” → دانلود؛ Outlook: “View message source”). یک screenshot از خط From کافی نیست — header‌ها مدرک همه چیزی هستند که بعد می‌آید.
  4. حکمی که سرور دریافت‌کننده قبلاً صادر کرده را بخوانید. در header‌ها Authentication-Results: را پیدا کنید — dmarc=fail در برابر دامنه دقیق شما جعل هویت دامنه شما را تأیید می‌کند؛ یک شبیه‌سازی در header.from= مسیر ۲ را تأیید می‌کند. یک ظرافت: گیرندگان SPF را در برابر دامنه Return-Path (RFC5321.MailFrom، آدرس bounce) ارزیابی می‌کنند، نه header From که گیرنده می‌بیند — یک ایمیل جعلی حتی می‌تواند spf=pass برای دامنه اسپمر نشان دهد در حالی که دامنه شما را در From جعل می‌کند. بررسی alignment DMARC دقیقاً این شکاف را می‌بندد.

مسیر ۱ — دامنه دقیق شماست: روز اول

جعل هویت دامنه دقیق شما تنها تا زمانی کار می‌کند که DNS شما چیزی نگوید که به گیرندگان اجازه رد کردن بدهد. امروز سه رکورد را منتشر می‌کنید (یا سخت‌گیرانه‌تر می‌کنید)؛ اعمال در طول هفته دنبال می‌شود.

  1. SPF: یک رکورد حاوی فرستندگان واقعی‌تان با انتهای -all (“همه بقیه: شکست”) منتشر کنید. اگر با +all یا ?all پایان می‌یابد، ابتدا آن را رفع کنید — یک در باز است که خودتان منتشر کردید. راهنما: رفع SPF، کلیک‌های ارائه‌دهنده در SPF روی GoDaddy.
  2. DKIM: امضای دامنه را در ارائه‌دهنده ایمیل و هر ابزار خبرنامه/فاکتورزنی (معمولاً چند رکورد CNAME برای هر کدام) روشن کنید.
  3. DMARC: v=DMARC1; p=none; rua=mailto:... را امروز منتشر کنید تا گزارش‌ها شروع به جاری شدن کنند؛ p=reject پروژه این هفته است، نه این ساعت — مرجع کامل در رفع DMARC. اگر دامنه اصلاً ایمیل قانونی ارسال نمی‌کند — یک برند قدیمی، یک دامنه پارک شده — احتیاط را کنار بگذارید و امروز قفل کنید: آن دامنه قدیمی از rebrand شما دری است که باز گذاشتید.

هشدار صادقانه، قبل از آرام شدن: یک سیاست DMARC اعمال شده به سرورهای دریافت‌کننده می‌گوید که جعل‌های دامنه دقیق را به Junk بفرستند یا رد کنند — و ارائه‌دهندگان بزرگ آن را اعمال می‌کنند. اما تنها گیرندگانی را ملزم می‌کند که آن را بررسی کنند، و هیچ کاری در مورد دامنه‌های شبیه‌سازی انجام نمی‌دهد: وقتی کلاهبرداران نتوانند به عنوان yourcompany.com ارسال کنند، ثبت yourcompany-billing.com چند یورو هزینه دارد. DMARC حمله را کوچک می‌کند؛ داستان را پایان نمی‌دهد — مراحل هفته اول برای شما هم اهمیت دارند.

مسیر ۲ — شبیه‌سازی است: این یک رفع DNS نیست

هیچ رکوردی که روی دامنه خودتان منتشر کنید ایمیل از دامنه‌ای که مالکش نیستید را تحت تأثیر قرار نمی‌دهد — هیچ چیز در DNS شما اصلاً مشاهده نمی‌شود. دستورالعمل، حذف به علاوه هشدار است:

  1. پیدا کنید چه کسی پشت شبیه‌سازی است. آن را در RDAP/WHOIS (مثلاً lookup.icann.org) جستجو کنید تا registrar را بگیرید، و بررسی کنید آیا وب‌سایت میزبانی می‌کند.
  2. آن را با نمونه header کامل پیوست شده به مخاطب سوءاستفاده registrar گزارش دهید — registrarها دامنه‌های فیشینگ را هر روز تعلیق می‌کنند؛ مدرک روشن آن را سریع می‌کند. سایت فیشینگ؟ آن را به هاست، Google Safe Browsing و Microsoft SmartScreen هم گزارش دهید.
  3. ایمیل‌ها را به عنوان فیشینگ در صندوق‌های پستی دریافت‌کننده گزارش دهید (Gmail/Outlook “Report phishing”) — این فیلترهای بزرگ را نسبت به شبیه‌سازی سریع‌تر از هر نامه‌ای آموزش می‌دهد.
  4. اهداف احتمالی را خارج از باند هشدار دهید — گامی که واقعاً از خروج پول جلوگیری می‌کند. با مشتریان، تأمین‌کنندگان و حسابدارتان تماس بگیرید یا پیام بدهید (فقط ایمیل نفرستید): دامنه تقلبی را نام ببرید، و هر تغییر اطلاعات بانکی “از طرف شما” را تلفنی قابل تأیید کنید. آن عادت بهترین دفاع در برابر داستان کلاهبرداری فاکتور که شنیده‌اید است.
  5. اگر شبیه‌سازی از علامت تجاری شما سوءاستفاده می‌کند، یک شکایت UDRP می‌تواند دامنه را منتقل کند — کندتر از حذف، اما دائمی.

و مسیر ۱ را در هر صورت اجرا کنید: مهاجمان به ندرت وقتی دامنه اصلی هنوز باز است با شبیه‌سازی دردسر می‌کشند، و 89.41٪ از دامنه‌ها هیچ DMARC اعمال شده‌ای ندارند (تنها 27,640,987 از 261,086,232 — 10.59٪ — دارند، تا 2026-06-29). در خودتان را صرف نظر از هر چیزی ببندید.

هفته اول: نظارت، هشدار، اعمال

  1. گزارش‌های DMARC را بخوانید. ظرف یکی دو روز از زنده شدن تگ rua=، گزارش‌های کل هر سروری که به عنوان دامنه شما ارسال می‌کند نشان می‌دهند — فرستندگان واقعی و جعل‌کننده، با حجم‌ها و احکام. اینطور است که حمله را می‌بینید که محو می‌شود.
  2. تأیید کنید فرستندگان قانونی pass می‌شوند. هر منبع واقعی (ارائه‌دهنده ایمیل، ابزار خبرنامه، اپ فاکتورزنی، فرم تماس وب‌سایت) باید SPF یا DKIM هم‌راستا با دامنه شما را pass کند قبل از اعمال — در غیر این صورت reject ایمیل قانونی شما را هم مسدود می‌کند.
  3. DMARC را به p=quarantine، سپس p=reject برسانید. در جعل هویت فعال، ماه‌های معمول را به یکی دو هفته فشرده می‌کنید — اما مراحل را فشرده می‌کنید، از آن‌ها نمی‌گذرید. rollout مرحله‌ای، ramp کردن pct و سیاست subdomain: از p=none به p=reject بدون از دست دادن ایمیل قانونی.
  4. یک اطلاعیه آرام و هدفمند ارسال کنید به طرف‌هایی که ممکن است ایمیل‌های تقلبی دریافت کرده باشند: چه اتفاقی افتاد، چه چیزی تقلبی می‌خواست، قانون تأیید تلفنی برای تغییر پرداخت، و (مسیر ۲) دامنه شبیه‌سازی دقیق برای بلاک کردن.
  5. دوباره اسکن کنید و گزارش را نگه دارید. بیمه‌گران و مشتریان به طور فزاینده‌ای می‌پرسند چه کردید در مورد امنیت ایمیل؛ یک گزارش به‌تاریخ و درجه‌بندی‌شده به صورت کتبی پاسخ می‌دهد.

پرسش‌های متداول

از آدرس خودم یک ایمیل کلاهبرداری دریافت کردم. آیا هک شده‌ام؟ تقریباً همیشه نه — ایمیل باج‌گیری “از شما، به شما” همان ترفند جعل است که از این واقعیت سوءاستفاده می‌کند که دامنه شما تقلبی‌ها را رد نمی‌کند. پوشه Sent و ورودهای اخیر خود را بررسی کنید؛ اگر تمیز بود، جعل هویت است، و یک سیاست DMARC اعمال شده آن نوع را در گیرندگانی که آن را اعمال می‌کنند متوقف می‌کند. تا 2026-06-29، 89.41٪ از 261,086,232 دامنه درجه‌بندی‌شده این کار را نکرده‌اند.

آیا DMARC ایمیل‌های دامنه شبیه‌سازی را متوقف می‌کند؟ خیر. سیاست DMARC شما تنها دامنه دقیق شما (و subdomain‌هایش) را کنترل می‌کند — یک شبیه‌سازی دامنه شخص دیگری است با DNS خودش، که هرگز در برابر رکوردهای شما بررسی نمی‌شود. شبیه‌سازی‌ها با گزارش‌های سوءاستفاده registrar، گزارش‌های فیشینگ و هشدارهای طرف‌های تجاری مبارزه می‌شوند، نه DNS.

چقدر سریع p=reject واقعاً جعل هویت را متوقف می‌کند؟ تغییرات DNS ظرف ساعت‌ها به گیرندگان می‌رسند، و Gmail، Outlook و اکثر ارائه‌دهندگان بزرگ احکام DMARC را اعمال می‌کنند — جعل‌های دامنه دقیق از روزی که سیاست فرود می‌آید شروع به محو شدن می‌کنند. دو محدودیت صادقانه: گیرندگان کوچک‌تری که DMARC را هرگز بررسی نمی‌کنند ممکن است هنوز تقلبی‌ها را تحویل دهند، و اعمال قبل از اینکه فرستندگان خودتان هم‌راستا شوند ایمیل قانونی شما را مسدود می‌کند — مراحل را تسریع کنید، از آن‌ها نگذرید.

گزارش را به صاحب سایت بفرستید

اگر شما پیمانکار IT هستید که این را مدیریت می‌کند: وقتی رکوردها زنده شدند، اسکن را دوباره اجرا کرده و گزارش درجه‌بندی‌شده را به صاحب کسب‌وکار بدهید. به زبان ساده نشان می‌دهد چه چیزی جعل هویت را ممکن کرد، چه تغییری ایجاد کردید و دامنه حالا کجا ایستاده — پاسخ کتبی به “الان امن هستیم؟”، و مدرک برای تمدید بیمه یا پرسشنامه مشتری. اگر صاحب سایت هستید: دقیقاً همان گزارش را بخواهید، و قبل و بعد را نگه دارید.

بررسی کنید آیا دامنه‌تان قابل جعل است رایگان

ببینید آیا سرور یک غریبه در حال حاضر می‌تواند به عنوان شما عمل کند — و دقیقاً چه چیزی را رفع کنید — به صورت خصوصی و فقط برای صاحب.

دامنه‌تان را بررسی کنید ← · از p=none به p=reject ← · رفع DMARC ← · آیا کسی می‌تواند دامنه‌ام را جعل کند؟ ← · فقط داده‌های جمعی. داده‌ها در اتحادیه اروپا ذخیره و پردازش می‌شوند.