Defaults.Exposed › Javítások › Guides
Valaki a doménjéről küld e-maileket: A vészhelyzeti intézkedési útmutató (2026)
Közzétéve 2026-07-08
Adatok: 2026-06-29 · módszertan v7. Összesített adatok 261 millió értékelt domain felmérése alapján. Lásd: hogyan értékeltük az internetet.
Először ellenőrizze, hogy a hamis e-mailek pontosan az Ön doménjét vagy egy hasonlót használnak-e, mert a javítások teljesen eltérők. A pontos doménhamisítást DNS-ben le lehet állítani — és a legtöbb domain ezt még nem tette meg: 89.41%-uknak nincs érvényesített DMARC-házirendje, és 46.4%-uk egyáltalán nem tesz közzé SPF-et, a Defaults.Exposed 261,086,232 értékelt doménből álló felmérése szerint.
Ez egy incidens-ellenőrzőlista: az első óra — erősítse meg, mi történik, anélkül hogy rontana a helyzeten; az első nap — zárja be a nyitott kaput, vagy kezdje el a levételi eljárást, ha a kapu nem az Öné; az első hét — figyeljen, figyelmeztesse az esetleg érintetteket, érvényesítsen. Csak azt fontolgatja, hogy ez megtörténhet-e? Kezdje az „Meg lehet hamisítani a doménemet?” cikkel — ez az oldal arra szól, ha már megtörtént.
Először: valóban az Ön doménje, vagy utánzat?
Szerezze be a hamis e-mailek egyikét, és olvassa el a feladó e-mail-címét betűről betűre. Minden következő lépés ettől függ:
| Mit mutat a From-cím | Mi történik | Az Ön útja |
|---|---|---|
[email protected] — az Ön doménje, pontosan helyesen írva | Hamisítás: egy idegen szerver az Ön doménjét hamisítja a From-sorban. A rendszerei NEM lettek feltörve. | DNS-javítás — SPF, DKIM, érvényesített DMARC. 1. útvonal. |
[email protected], sajatcege.co, sajatceg.hu — hasonló, de nem az Öné | Egy hasonmás domain, amelyet valaki más regisztrált. Az Ön DNS-ét soha nem kérdezik le. | Levétel + figyelmeztetések. 2. útvonal. |
| Pontosan az Ön e-mail-címe, és az üzenetek az Elküldöttek mappájában vannak, vagy valódi szálakra válaszolnak | Fiókkompromittálás — valaki bent van egy valódi postafiókban. Ez eltérő incidens. | Változtassa meg a jelszót, vonja vissza a munkameneteket, engedélyezze a kétfaktoros hitelesítést, ellenőrizze a továbbítási szabályokat — mindenekelőtt. |
Adatok: 2026-06-29.
A félkövér sor a leggyakoribb és a leginkább javítható. Az e-mail alapprotokolla soha nem ellenőrizte a From-sort — bárki beírhatja az Ön doménjét —, tehát a javítás DNS-rekordok közzétételéből áll, amelyek lehetővé teszik a fogadóknak, hogy maguk ellenőrizzék. A kényelmetlen adatok: 121,145,609 a 261,086,232 értékelt domén közül (46.4%) egyáltalán nem tesz közzé SPF-rekordot, és 36,014 az SPF-et ténylegesen közzétevő 138,927,207 domain közül +all értékkel végzi — szó szerint az egész internetet engedélyezve, hogy az Ön nevében küldjön (adatok: 2026-06-29).
Az első óra: erősítsen meg, ne reagáljon kapkodva
- Futtassa az ingyenes vizsgálatot a defaults.exposed oldalon. Harminc másodperc, regisztráció nélkül. Megmutatja, hogy a doménje jelenleg hamisítható-e — az SPF jelen van és szigorú-e vagy sem, a DMARC érvényesített-e vagy sem —, mielőtt a DNS-hez nyúlna.
- Ne válaszoljon a hamisra, ne kattintson benne semmire, és ne küldjön tömeges e-mailt a névjegyeinek. Egy pánikos „ne fogadja el tőlünk érkező e-maileket!” értesítő ugyanarról a doménről pontosan ugyanúgy néz ki, mint a csalás. A figyelmeztetések később jönnek, célzottan és más csatornán.
- Gyűjtsön be egy teljes mintát a teljes fejlécekkel. Kérje meg a fogadót, hogy mellékletként továbbítsa a hamisat (Gmail: „Eredeti megjelenítése” → letöltés; Outlook: „Üzenetforrás megtekintése”). A From-sor képernyőfotója nem elég — a fejlécek az összes következő lépés bizonyítékai.
- Olvassa el azt a döntést, amelyet a fogadó szerver már meghozott. A fejlécekben keresse az
Authentication-Results:-t — admarc=failaz Ön pontos doménjével a hamisítást erősíti meg; aheader.from=hasonmás domén a 2. útvonalat. Egy árnyalat: a fogadók az SPF-et a Return-Path doménnel szemben értékelik (az RFC5321.MailFrom, a visszapattanási cím), nem a fogadó által látott From fejléccel — egy hamis levélnél akárspf=passis megjelenhet a spammer doménjéhez, miközben az Ön doménje a From-ban van hamisítva. A DMARC igazítási ellenőrzése pontosan ezt a rést zárja be.
1. útvonal — pontosan az Ön doménje: az első nap
Az Ön pontos doménjének hamisítása addig működik, amíg a DNS-e nem mond semmit, ami alapján a fogadók elutasíthatják. Ma közzéteszi (vagy szigorítja) a három rekordot; az érvényesítés az héten következik.
- SPF: tegyen közzé egy rekordot, amely felsorolja a valódi küldőit, és
-allértékkel végződik („mindenki más: megbukott”). Ha a jelenlegi+allvagy?allértékkel végződik, ezt javítsa először — ez egy Ön által közzétett nyitott kapu. Útmutató: az SPF javítása, kattintásos útmutató a GoDaddy-n elérhető SPF-hez. - DKIM: kapcsolja be a domén-aláírást az e-mail-szolgáltatójában és minden hírlevél- vagy számlázóeszközben (általában pár CNAME-rekord mindegyikhez).
- DMARC: tegyen közzé
v=DMARC1; p=none; rua=mailto:...értéket ma, hogy a riportok megkezdjenek érkezni; ap=rejecte heti projekt, nem e óráé — teljes referencia: a DMARC javítása. Ha a domain egyáltalán nem küld valódi e-maileket — régi márka, parkoló domain —, hagyja ki az óvatosságot, és zárja le ma: ez a régi domain a rebrandingjéből nyitva hagyott ajtó.
Az őszinte figyelmeztetés, mielőtt megnyugodna: az érvényesített DMARC-házirend arra utasítja a fogadó szervereket, hogy lomtárazzák vagy utasítsák vissza a pontos domén-hamisítványokat — és a nagy szolgáltatók ezt be is tartják. De csak azokat a fogadókat kötelezi, amelyek ellenőrzik, és a hasonmás doménekkel szemben nem tesz semmit: ha a bűnözők nem tudnak sajatcege.hu-ként küldeni, a sajatcege-billing.com regisztrálása néhány euróba kerül. A DMARC szűkíti a támadást; nem zárja le a történetet — az első heti lépések az Ön számára is fontosak.
2. útvonal — hasonmás: ez nem DNS-javítás
Semmilyen rekord, amelyet a doménjén tesz közzé, nem befolyásolja az olyan doménről küldött leveleket, amelyet nem Ön birtokol — az Ön DNS-ét meg sem kérdezik. A cselekvési terv: levétel és figyelmeztetések.
- Keresse meg, ki áll a hasonmás mögött. Keresse fel az RDAP/WHOIS-ban (pl.
lookup.icann.org), hogy megkapja a regisztrátorát, és ellenőrizze, van-e mögötte weboldal. - Jelentse a regisztrátor visszaélési kapcsolattartójának csatolva a teljes fejlécmintát — a regisztrátorok minden nap függesztenek fel adathalász doméneket; az egyértelmű bizonyíték gyorsítja az eljárást. Adathalász weboldal is van? Jelentse a tárhelyszolgáltatónak, a Google Biztonságos Böngészésnek és a Microsoft SmartScreennek is.
- Jelentse az e-maileket adathalászatként a fogadó postafiókokban (Gmail/Outlook „Adathalászat jelentése”) — ez gyorsabban tanítja a nagy szűrőket a hasonmás ellen, mint bármilyen levél.
- Figyelmeztesse a valószínű célpontokat más csatornán — ez az a lépés, amely valóban megakadályozza, hogy pénz kerüljön ki. Hívja fel vagy üzenje meg (ne csak e-mailben) az ügyfeleknek, szállítóknak és könyvelőjének: nevezze meg a hamis domént, és tegye a banki adatváltozásokat telefonon ellenőrizhetővé. Ez a szokás a legjobb védekezés a számlacsalási történet ellen, amelyet már hallott.
- Ha a hasonmás visszaél a védjegyével, egy UDRP-panasz átruháztathatja a domént — lassabb, mint egy levétel, de tartós.
Futtassa az 1. útvonalat is mindenképpen: a támadók ritkán foglalkoznak hasonmással, amíg a valódi domain még nyitva van, és 89.41%-nak nincs érvényesített DMARC-ja (csak 27,640,987 a 261,086,232-ból — 10.59% — rendelkezik vele, adatok: 2026-06-29). Zárja be a saját ajtaját mindenképpen.
Az első hét: figyelés, figyelmeztetés, érvényesítés
- Olvassa a DMARC-riportokat. Az
rua=tag életbe lépésétől egy-két napon belül az összesítő riportok megmutatnak minden szervert, amely az Ön doménjéről küld — a valódi szervereit és a hamisítót is, volumenekkel és döntésekkel. Így figyeli, ahogy a támadás elhal. - Győződjön meg arról, hogy a valódi küldők átmennek. Minden valódi forrásnak (levelezési szolgáltató, hírlevéleszköz, számlázóalkalmazás, weboldal-kapcsolatfelvételi űrlap) az Ön doménjéhez igazított SPF-en vagy DKIM-en kell átmennie, mielőtt érvényesít — különben a reject a saját leveleit is blokkolja.
- Szigorítsa a DMARC-ot
p=quarantine-ra, majdp=reject-re. Aktív hamisítás alatt az általában hónapokra szóló folyamatot egy-két hétre sűríti — de a szakaszokat sűríti, nem hagyja ki. A fokozatos bevezetés, apctrámpázás és az aldomén-házirend: p=none-tól p=reject-re a valódi levelek elvesztése nélkül. - Küldjön egy nyugodt, célzott értesítést az üzleti partnereknek, akik esetleg kaptak hamisat: mi történt, mit kért a hamis, a fizetési változások telefonos ellenőrzési szabálya, és (2. útvonal) a blokkolandó pontos hasonmás domain.
- Futtassa újra a vizsgálatot és tartsa meg a riportot. A biztosítók és az ügyfelek egyre inkább kérdezik, mit tett az e-mail-biztonságért; egy dátummal ellátott, értékelt riport írásban válaszol.
Gyakran ismételt kérdések
A saját e-mail-címemről kaptam egy átverő levelet. Feltörték? Szinte mindig nem — az „Öntől, Önnek” zsaroló levél ugyanolyan hamisítási trükk, kihasználva, hogy a doménje nem utasítja el a hamisítványokat. Ellenőrizze az Elküldöttek mappáját és a legutóbbi bejelentkezéseket; ha tiszta, hamisítás, és az érvényesített DMARC-házirend ezt a változatot megállítja az azt tiszteletben tartó fogadóknál. Adatok: 2026-06-29 — 89.41% a 261,086,232 értékelt domén közül még nem tette meg ezt.
A DMARC megállítja a hasonmás domén e-mailjeit? Nem. A DMARC-házirendje csak a pontos doménjét (és az aldoménjeit) szabályozza — a hasonmás valaki más doménje a saját DNS-ével, amelyet soha nem vetnek össze az Ön rekordjaival. A hasonmásokat regisztrátori visszaélési bejelentésekkel, adathalász-bejelentésekkel és üzleti partneri figyelmeztetésekkel kell kezelni, nem DNS-sel.
Milyen gyorsan állítja le a p=reject ténylegesen a hamisítást? A DNS-változások órákon belül elérik a fogadókat, és a Gmail, az Outlook és a legtöbb nagy szolgáltató érvényesíti a DMARC-döntéseket — a pontos doménes hamisítványok a házirend életbe lépésének napjától kezdenek elhalni. Két őszinte korlát: a DMARC-ot soha nem ellenőrző kisebb fogadók még kézbesíthetnek hamisat, és az érvényesítés a saját küldők igazítása előtt a valódi leveleit is blokkolja — gyorsítsa a szakaszokat, de ne hagyja ki.
Küldje el a riportot a tulajdonosnak
Ha Ön az incidenst kezelő IT-kivitelező: miután a rekordok élnek, futtassa újra a vizsgálatot, és továbbítsa az értékelt riportot az üzlettulajdonosnak. Közérthető nyelven, dátumozva bemutatja, mi tette lehetővé a hamisítást, mit változtatott meg, és hol áll a domain most — ez az írott válasz az „biztonságban vagyunk most?” kérdésre, és a biztosítás-megújításhoz vagy az ügyfél-kérdőívhez szükséges bizonyíték. Ha Ön a tulajdonos: pontosan ezt a riportot kérje, és tartsa meg az előtte és az utána állapotot is.
Ellenőrizze ingyenesen, hogy hamisítható-e a doménje
Nézze meg, hogy egy idegen szerver jelenleg tud-e az Ön nevében átmenni — és pontosan mit kell javítani —, privátban és csak tulajdonosként.
Ellenőrizze a doménjét → · p=none-tól p=reject-re → · DMARC javítása → · Meg lehet hamisítani a doménemet? → · Csak összesített adatok. Az adatok tárolása és feldolgozása az EU-ban történik.