Defaults.Exposed › رفع اشکالها › Guides
کسی از دامنه شما ایمیل میفرستد: راهنمای واکنش اضطراری (۲۰۲۶)
منتشرشده 2026-07-08
ارقام تا 2026-06-29 · روششناسی v7. دادههای آماری کل در 261 میلیون دامنه درجهبندیشده. ببینید چگونه درجهبندی میکنیم.
ابتدا بررسی کنید ایمیلهای تقلبی از دامنه دقیق شما استفاده میکنند یا یک شبیهسازی، چون رفعها کاملاً متفاوت هستند. جعل هویت دامنه دقیق میتواند در DNS خاموش شود — و اکثر دامنهها این کار را نکردهاند: 89.41٪ سیاست DMARC اعمال نشده دارند، و 46.4٪ اصلاً SPF منتشر نکردهاند، طبق سرشماری Defaults.Exposed از 261,086,232 دامنه درجهبندیشده.
این یک چکلیست رویداد است: ساعت اول — بدون بدتر کردن، تأیید کنید چه اتفاقی افتاده؛ روز اول — در باز را ببندید، یا اگر در متعلق به شما نیست حذف را شروع کنید؛ هفته اول — نظارت کنید، مردمی که ممکن است آسیب ببینند را هشدار دهید، اعمال کنید. فقط میخواهید بدانید آیا این ممکن است اتفاق بیفتد؟ با آیا کسی میتواند دامنهام را جعل کند؟ شروع کنید — این صفحه برای وقتی است که قبلاً اتفاق افتاده.
اول: آیا واقعاً دامنه شماست، یا یک کپیکار؟
یکی از ایمیلهای تقلبی را بگیرید و آدرس فرستنده را کاراکتر به کاراکتر بخوانید. همه چیز بعدی به این بستگی دارد:
| آدرس From چه نشان میدهد | چه اتفاقی دارد میافتد | مسیر شما |
|---|---|---|
[email protected] — دامنه شما، دقیقاً درست نوشته شده | جعل هویت: سرور یک غریبه دامنه شما را در خط From جعل میکند. سیستمهای شما هک نشدهاند. | رفع DNS — SPF، DKIM، DMARC اعمال شده. مسیر ۱. |
[email protected]، yourcompany-billing.com، yourcompany.co — نزدیک، اما متعلق به شما نیست | یک دامنه شبیهسازی که شخص دیگری ثبت کرده. DNS شما اصلاً مشورت نمیشود. | حذف + هشدارها. مسیر ۲. |
| آدرس دقیق شما، و پیامها در پوشه Sent خودتان نشستهاند یا به threadهای واقعی پاسخ میدهند | سازش حساب — کسی داخل یک صندوق پستی واقعی است. یک رویداد متفاوت. | قبل از هر چیز رمز عبور را تغییر دهید، sessionها را باطل کنید، ۲FA فعال کنید، قوانین forwarding را بررسی کنید. |
دادهها تا 2026-06-29.
ردیف پررنگ رایجترین و قابلرفعترین است. پروتکل اصلی ایمیل هرگز خط From را تأیید نکرد — هر کسی میتواند دامنه شما را در آن تایپ کند — بنابراین رفع انتشار رکوردهای DNS است که به گیرندگان اجازه میدهد خودشان بررسی کنند. اعداد سرشماری ناراحتکننده: 121,145,609 از 261,086,232 دامنه درجهبندیشده (46.4٪) اصلاً رکورد SPF ندارند، و 36,014 از 138,927,207 دامنههایی که SPF دارند با +all پایان مییابند — حرفاً به کل اینترنت مجوز میدهند که به عنوان آنها ارسال کنند (دادهها تا 2026-06-29).
ساعت اول: تأیید کنید، واکنش نشان ندهید
- اسکن رایگان را در defaults.exposed اجرا کنید. سی ثانیه، بدون ثبتنام. قبل از دست زدن به DNS به شما میگوید آیا دامنهتان در حال حاضر قابل جعل است — SPF موجود و سختگیرانه یا نه، DMARC اعمال شده یا نه.
- به ایمیل تقلبی reply ندهید، روی چیزی در آن کلیک نکنید، و هنوز به مخاطبینتان ایمیل گروهی نفرستید. یک انفجار وحشتزده “ایمیلهایمان را نادیده بگیرید!” از همان دامنه دقیقاً مثل کلاهبرداری به نظر میرسد. هشدارها بعداً میآیند، هدفمند و خارج از باند.
- یک نمونه کامل با headerهای کامل جمع کنید. از یک گیرنده بخواهید ایمیل تقلبی را به صورت پیوست فوروارد کند (Gmail: “Show original” → دانلود؛ Outlook: “View message source”). یک screenshot از خط From کافی نیست — headerها مدرک همه چیزی هستند که بعد میآید.
- حکمی که سرور دریافتکننده قبلاً صادر کرده را بخوانید. در headerها
Authentication-Results:را پیدا کنید —dmarc=failدر برابر دامنه دقیق شما جعل هویت دامنه شما را تأیید میکند؛ یک شبیهسازی درheader.from=مسیر ۲ را تأیید میکند. یک ظرافت: گیرندگان SPF را در برابر دامنه Return-Path (RFC5321.MailFrom، آدرس bounce) ارزیابی میکنند، نه header From که گیرنده میبیند — یک ایمیل جعلی حتی میتواندspf=passبرای دامنه اسپمر نشان دهد در حالی که دامنه شما را در From جعل میکند. بررسی alignment DMARC دقیقاً این شکاف را میبندد.
مسیر ۱ — دامنه دقیق شماست: روز اول
جعل هویت دامنه دقیق شما تنها تا زمانی کار میکند که DNS شما چیزی نگوید که به گیرندگان اجازه رد کردن بدهد. امروز سه رکورد را منتشر میکنید (یا سختگیرانهتر میکنید)؛ اعمال در طول هفته دنبال میشود.
- SPF: یک رکورد حاوی فرستندگان واقعیتان با انتهای
-all(“همه بقیه: شکست”) منتشر کنید. اگر با+allیا?allپایان مییابد، ابتدا آن را رفع کنید — یک در باز است که خودتان منتشر کردید. راهنما: رفع SPF، کلیکهای ارائهدهنده در SPF روی GoDaddy. - DKIM: امضای دامنه را در ارائهدهنده ایمیل و هر ابزار خبرنامه/فاکتورزنی (معمولاً چند رکورد CNAME برای هر کدام) روشن کنید.
- DMARC:
v=DMARC1; p=none; rua=mailto:...را امروز منتشر کنید تا گزارشها شروع به جاری شدن کنند؛p=rejectپروژه این هفته است، نه این ساعت — مرجع کامل در رفع DMARC. اگر دامنه اصلاً ایمیل قانونی ارسال نمیکند — یک برند قدیمی، یک دامنه پارک شده — احتیاط را کنار بگذارید و امروز قفل کنید: آن دامنه قدیمی از rebrand شما دری است که باز گذاشتید.
هشدار صادقانه، قبل از آرام شدن: یک سیاست DMARC اعمال شده به سرورهای دریافتکننده میگوید که جعلهای دامنه دقیق را به Junk بفرستند یا رد کنند — و ارائهدهندگان بزرگ آن را اعمال میکنند. اما تنها گیرندگانی را ملزم میکند که آن را بررسی کنند، و هیچ کاری در مورد دامنههای شبیهسازی انجام نمیدهد: وقتی کلاهبرداران نتوانند به عنوان yourcompany.com ارسال کنند، ثبت yourcompany-billing.com چند یورو هزینه دارد. DMARC حمله را کوچک میکند؛ داستان را پایان نمیدهد — مراحل هفته اول برای شما هم اهمیت دارند.
مسیر ۲ — شبیهسازی است: این یک رفع DNS نیست
هیچ رکوردی که روی دامنه خودتان منتشر کنید ایمیل از دامنهای که مالکش نیستید را تحت تأثیر قرار نمیدهد — هیچ چیز در DNS شما اصلاً مشاهده نمیشود. دستورالعمل، حذف به علاوه هشدار است:
- پیدا کنید چه کسی پشت شبیهسازی است. آن را در RDAP/WHOIS (مثلاً
lookup.icann.org) جستجو کنید تا registrar را بگیرید، و بررسی کنید آیا وبسایت میزبانی میکند. - آن را با نمونه header کامل پیوست شده به مخاطب سوءاستفاده registrar گزارش دهید — registrarها دامنههای فیشینگ را هر روز تعلیق میکنند؛ مدرک روشن آن را سریع میکند. سایت فیشینگ؟ آن را به هاست، Google Safe Browsing و Microsoft SmartScreen هم گزارش دهید.
- ایمیلها را به عنوان فیشینگ در صندوقهای پستی دریافتکننده گزارش دهید (Gmail/Outlook “Report phishing”) — این فیلترهای بزرگ را نسبت به شبیهسازی سریعتر از هر نامهای آموزش میدهد.
- اهداف احتمالی را خارج از باند هشدار دهید — گامی که واقعاً از خروج پول جلوگیری میکند. با مشتریان، تأمینکنندگان و حسابدارتان تماس بگیرید یا پیام بدهید (فقط ایمیل نفرستید): دامنه تقلبی را نام ببرید، و هر تغییر اطلاعات بانکی “از طرف شما” را تلفنی قابل تأیید کنید. آن عادت بهترین دفاع در برابر داستان کلاهبرداری فاکتور که شنیدهاید است.
- اگر شبیهسازی از علامت تجاری شما سوءاستفاده میکند، یک شکایت UDRP میتواند دامنه را منتقل کند — کندتر از حذف، اما دائمی.
و مسیر ۱ را در هر صورت اجرا کنید: مهاجمان به ندرت وقتی دامنه اصلی هنوز باز است با شبیهسازی دردسر میکشند، و 89.41٪ از دامنهها هیچ DMARC اعمال شدهای ندارند (تنها 27,640,987 از 261,086,232 — 10.59٪ — دارند، تا 2026-06-29). در خودتان را صرف نظر از هر چیزی ببندید.
هفته اول: نظارت، هشدار، اعمال
- گزارشهای DMARC را بخوانید. ظرف یکی دو روز از زنده شدن تگ
rua=، گزارشهای کل هر سروری که به عنوان دامنه شما ارسال میکند نشان میدهند — فرستندگان واقعی و جعلکننده، با حجمها و احکام. اینطور است که حمله را میبینید که محو میشود. - تأیید کنید فرستندگان قانونی pass میشوند. هر منبع واقعی (ارائهدهنده ایمیل، ابزار خبرنامه، اپ فاکتورزنی، فرم تماس وبسایت) باید SPF یا DKIM همراستا با دامنه شما را pass کند قبل از اعمال — در غیر این صورت reject ایمیل قانونی شما را هم مسدود میکند.
- DMARC را به
p=quarantine، سپسp=rejectبرسانید. در جعل هویت فعال، ماههای معمول را به یکی دو هفته فشرده میکنید — اما مراحل را فشرده میکنید، از آنها نمیگذرید. rollout مرحلهای، ramp کردنpctو سیاست subdomain: از p=none به p=reject بدون از دست دادن ایمیل قانونی. - یک اطلاعیه آرام و هدفمند ارسال کنید به طرفهایی که ممکن است ایمیلهای تقلبی دریافت کرده باشند: چه اتفاقی افتاد، چه چیزی تقلبی میخواست، قانون تأیید تلفنی برای تغییر پرداخت، و (مسیر ۲) دامنه شبیهسازی دقیق برای بلاک کردن.
- دوباره اسکن کنید و گزارش را نگه دارید. بیمهگران و مشتریان به طور فزایندهای میپرسند چه کردید در مورد امنیت ایمیل؛ یک گزارش بهتاریخ و درجهبندیشده به صورت کتبی پاسخ میدهد.
پرسشهای متداول
از آدرس خودم یک ایمیل کلاهبرداری دریافت کردم. آیا هک شدهام؟ تقریباً همیشه نه — ایمیل باجگیری “از شما، به شما” همان ترفند جعل است که از این واقعیت سوءاستفاده میکند که دامنه شما تقلبیها را رد نمیکند. پوشه Sent و ورودهای اخیر خود را بررسی کنید؛ اگر تمیز بود، جعل هویت است، و یک سیاست DMARC اعمال شده آن نوع را در گیرندگانی که آن را اعمال میکنند متوقف میکند. تا 2026-06-29، 89.41٪ از 261,086,232 دامنه درجهبندیشده این کار را نکردهاند.
آیا DMARC ایمیلهای دامنه شبیهسازی را متوقف میکند؟ خیر. سیاست DMARC شما تنها دامنه دقیق شما (و subdomainهایش) را کنترل میکند — یک شبیهسازی دامنه شخص دیگری است با DNS خودش، که هرگز در برابر رکوردهای شما بررسی نمیشود. شبیهسازیها با گزارشهای سوءاستفاده registrar، گزارشهای فیشینگ و هشدارهای طرفهای تجاری مبارزه میشوند، نه DNS.
چقدر سریع p=reject واقعاً جعل هویت را متوقف میکند؟ تغییرات DNS ظرف ساعتها به گیرندگان میرسند، و Gmail، Outlook و اکثر ارائهدهندگان بزرگ احکام DMARC را اعمال میکنند — جعلهای دامنه دقیق از روزی که سیاست فرود میآید شروع به محو شدن میکنند. دو محدودیت صادقانه: گیرندگان کوچکتری که DMARC را هرگز بررسی نمیکنند ممکن است هنوز تقلبیها را تحویل دهند، و اعمال قبل از اینکه فرستندگان خودتان همراستا شوند ایمیل قانونی شما را مسدود میکند — مراحل را تسریع کنید، از آنها نگذرید.
گزارش را به صاحب سایت بفرستید
اگر شما پیمانکار IT هستید که این را مدیریت میکند: وقتی رکوردها زنده شدند، اسکن را دوباره اجرا کرده و گزارش درجهبندیشده را به صاحب کسبوکار بدهید. به زبان ساده نشان میدهد چه چیزی جعل هویت را ممکن کرد، چه تغییری ایجاد کردید و دامنه حالا کجا ایستاده — پاسخ کتبی به “الان امن هستیم؟”، و مدرک برای تمدید بیمه یا پرسشنامه مشتری. اگر صاحب سایت هستید: دقیقاً همان گزارش را بخواهید، و قبل و بعد را نگه دارید.
بررسی کنید آیا دامنهتان قابل جعل است رایگان
ببینید آیا سرور یک غریبه در حال حاضر میتواند به عنوان شما عمل کند — و دقیقاً چه چیزی را رفع کنید — به صورت خصوصی و فقط برای صاحب.
دامنهتان را بررسی کنید ← · از p=none به p=reject ← · رفع DMARC ← · آیا کسی میتواند دامنهام را جعل کند؟ ← · فقط دادههای جمعی. دادهها در اتحادیه اروپا ذخیره و پردازش میشوند.