Defaults.Exposed

Defaults.ExposedसुधारGuides

वह Invoice-Fraud Story जो आपने सुनी — क्या यह आपकी Firm के साथ हो सकता है? दो मिनट में पता करें (2026)

प्रकाशित 2026-07-08

आंकड़े 2026-06-29 तक के · methodology v7. 261 मिलियन ग्रेडेड डोमेन में कुल जनगणना डेटा — हम किसी individual domain के results publish नहीं करते। देखें हम ग्रेड कैसे करते हैं

बहुत संभवतः, हां — और आप लगभग दो मिनट में, मुफ़्त में, निश्चित रूप से जान सकते हैं। Defaults.Exposed जनगणना में graded 261,086,232 domains में से 89.41% (2026-06-29 तक) को उस तरह impersonate किया जा सकता है जैसा वह story describe करती है, क्योंकि एक free setting जो इसे block करती है कभी switch on नहीं की गई। Check दिखाता है कि आपका उनमें से एक है या नहीं।

Plain words में, यह page cover करती है: उस story में वास्तव में क्या हुआ जो आपने सुनी, यह possible क्यों था, मुफ़्त दो-मिनट check, और copy करके भेजने के लिए एक note — report attached — उस व्यक्ति को जो आपकी IT देखता है।

उस story में वास्तव में क्या हुआ?

Details vary करती हैं, लेकिन pattern लगभग always same है। एक criminal एक invoice भेजता है जो किसी normal reader को exactly वैसा लगता है जैसे यह एक real firm के email address से आया — same name, same address @ के बाद, एक plausible amount। एक customer pay करता है, money घंटों में move हो जाता है, और वह firm जिसका नाम email पर था — जिसने कुछ wrong नहीं किया और इसके बारे में कुछ नहीं जानती थी — गुस्से वाला phone call और damaged relationship receive करती है।

Notice करें उस story से क्या missing है: कोई hack नहीं हुआ। Criminal ने firm के systems को बिल्कुल touch नहीं किया।

कोई ऐसा email कैसे भेज सकता है जो मेरी firm से आने जैसा लगे?

क्योंकि email अभी भी दशकों पहले जैसा काम करता है: “from” line envelope पर return address जैसी है — कोई भी वहां कुछ भी लिख सकता है। जब तक आपका domain otherwise नहीं कहता, एक receiving mail system को यह जानने का कोई तरीका नहीं है कि “आपकी firm से email” वास्तव में आपसे आया या नहीं।

Free settings हैं — आपके domain name के साथ publish किए गए text की short lines — जो दुनिया को बताती हैं: हमसे genuine email केवल इन्हीं जगहों से आती है; कुछ भी fake के रूप में refuse करो। Switch on और enforced, story का invoice किसी human के इसे देखने से पहले reject हो जाता है। Off, यह inbox में perfectly landing करता है।

अधिकांश businesses ने उन्हें कभी switch on नहीं किया — किसी ने उन्हें कभी नहीं बताया कि settings exist करती हैं। Defaults.Exposed जनगणना में graded 261,086,232 domains में से (2026-06-29 तक), 89.41% ने वह setting enforce नहीं की जो impersonation block करती है, और 46.4% ने पहला कदम भी नहीं लिया। उस majority में आप negligent नहीं हैं — आप normal हैं। लेकिन आप checkable हैं, और fix भी। (Longer explanation: क्या कोई मेरा domain spoof कर सकता है?)

दो मिनट में कैसे पता करूं कि यह हमारे साथ हो सकता है?

  1. defaults.exposed पर मुफ़्त स्कैन चलाएं। अपना domain type करें — अपने email address में @ के बाद का part। कोई signup नहीं, कोई card नहीं; यह केवल public settings पढ़ता है और कभी आपके systems touch नहीं करता।
  2. Grade पढ़ें। A का मतलब है आपका नाम carry करने वाला faked email receiving mail systems द्वारा refuse होता है। A से नीचे कुछ भी का मतलब है door किसी degree तक खुली है।
  3. Report रखें। यह dated, plain language में है, और list करती है क्या place पर है और क्या missing है।
  4. Forward करें — next section।

Firms actually कहां खड़ी हैं:

Domains कहां खड़े हैंहमारे graded 261,086,232 domains का share (2026-06-29 तक)Story के लिए इसका क्या मतलब है
Impersonation blocked नहीं — enforcing setting कभी switch on नहीं हुई89.41%Story कल उनके नाम से invoice के साथ run हो सकती है
पहला कदम भी नहीं लिया46.4%Receiving mail systems को उनसे genuine email कैसी दिखती है इसके बारे में कुछ नहीं बताया गया
Protected — fakes refuse होते हैंroughly one domain in tenFake invoice किसी के pay करने से पहले bounce होता है

Result के साथ क्या करूं?

Report को अपने IT की देखरेख करने वाले को forward करें — वह व्यक्ति जिसने आपका email set up किया, या जिसे आप call करेंगे जब यह टूटता है। आपको contents समझने की जरूरत नहीं; आपको उन्हें समझने की जरूरत है। इसके साथ copy करके यह send करें:

Hi — invoice-fraud case के बारे में सुनने के बाद जो rounds में है, मैंने defaults.exposed पर अपने domain पर एक free check run किया। Report attached है। क्या आप उन email settings देख सकते हैं जो यह flag करती है और मुझे बता सकते हैं कि हमें A तक पहुंचाने में क्या शामिल है? मैं समझता हूं यह new software नहीं बल्कि configuration है — roughly एक afternoon का काम। उस time को approve करने में खुश हूं। धन्यवाद।

जब वे इसे open करेंगे, वे जो words use करेंगे वे हैं SPF, DKIM और DMARC — last (Domain-based Message Authentication, Reporting and Conformance) वह setting है जो दुनिया के mail systems को आपका नाम carry करने वाले fakes refuse करने को कहती है। Report दिखाती है इन तीन में से आपके domain के पास कौन सा है और step-by-step instructions link करती है, DMARC कैसे fix करें से शुरू करके। यह deliberately आपके IT person की language है।

यदि आपके पास IT person नहीं है, report आपको exactly बताती है कि क्या ask करना है। इसे उस व्यक्ति के पास ले जाएं जिसने आपका domain register किया या आपका email host करता है — उनका support desk हर रोज इन settings को handle करता है — और list करे जो missing है वह ask करें।

क्या यह fix करने में महंगा होगा?

नहीं — और यह honest part है, sales part नहीं। Settings free हैं: text की lines आपके domain की configuration में, software नहीं, subscription नहीं। एक competent IT person के लिए, typical small firm को A तक पहुंचाना एक afternoon का काम है — care यह है कि पहले हर legitimate sender list करें (email provider, newsletter tool, invoicing system) ताकि enforcement on होने पर real email flow करता रहे। Barrier कभी money नहीं रही; यह था कि किसी ने आपको नहीं बताया।

अक्सर पूछे जाने वाले सवाल

क्या यह hack होने के same है? नहीं। कुछ break नहीं हुआ — कोई stolen password नहीं, कोई virus नहीं, आपके systems में कोई नहीं। Criminal आपका नाम envelope पर लिखता है और इसे कहीं और से post करता है: forgery, burglary नहीं। यही कारण है कि antivirus और firewalls इसे कभी catch नहीं करते — आपकी side पर उनके देखने के लिए कुछ नहीं है। Missing settings ही एकमात्र चीज है जो इसे रोकती है, और हमारे graded 261,086,232 domains में से 89.41% (2026-06-29 तक) इसके लिए open हैं।

क्या इसे fix करने में पैसे लगेंगे? Settings free हैं; किसी को carefully configure करने के लिए pay करना एक afternoon का काम है। यह देखते हुए कि 46.4% ग्रेडेड domains ने पहला free step भी नहीं लिया (census 2026-06-29 तक), यह एक firm के लिए सबसे cheap genuine risk reductions में से एक है।

मुझे कैसे पता चलेगा कि यह already हो रहा है? आप usually नहीं जानते — जब तक कोई customer उस invoice के बारे में ring नहीं करता जो आपने कभी नहीं भेजा। Spoofed firm typically last to find out है; दो-मिनट check उस call का wait करने से faster है। यदि call already आ चुकी है, सीधे emergency guide पर जाएं: कोई आपके domain से emails भेज रहा है

उस old domain के बारे में क्या जो हमारे rebrand से है — वह जिसे हम अभी भी own करते हैं लेकिन use नहीं करते? उसे भी check करें। Email नहीं भेजने वाला domain अभी भी impersonated हो सकता है यदि यह कभी locked नहीं था — और कोई इसे watch नहीं कर रहा: आपके rebrand का वह old domain एक door है जो आपने खुली छोड़ी

अपने IT की देखरेख करने वाले को इसे forward करें

यही पूरा action है जो यह page ask करती है: free check चलाएं, फिर report को ऊपर की note के साथ forward करें। Check के लिए दो मिनट, email के लिए एक — और Tuesday morning की fear एक dated document और किसी और के time की booked afternoon बन जाती है। Report रखें: यह same evidence है जो cyber-insurance renewal forms पर अब आने वाले email-security question का जवाब देती है।

अपना डोमेन जांचें → · कोई आपके domain से emails भेज रहा है → · क्या कोई मेरा domain spoof कर सकता है? → · केवल समग्र डेटा। डेटा EU में संग्रहीत और संसाधित।