Defaults.Exposed

Defaults.ExposedJavításokGuides

Valaki a doménjéről küld e-maileket: A vészhelyzeti intézkedési útmutató (2026)

Közzétéve 2026-07-08

Adatok: 2026-06-29 · módszertan v7. Összesített adatok 261 millió értékelt domain felmérése alapján. Lásd: hogyan értékeltük az internetet.

Először ellenőrizze, hogy a hamis e-mailek pontosan az Ön doménjét vagy egy hasonlót használnak-e, mert a javítások teljesen eltérők. A pontos doménhamisítást DNS-ben le lehet állítani — és a legtöbb domain ezt még nem tette meg: 89.41%-uknak nincs érvényesített DMARC-házirendje, és 46.4%-uk egyáltalán nem tesz közzé SPF-et, a Defaults.Exposed 261,086,232 értékelt doménből álló felmérése szerint.

Ez egy incidens-ellenőrzőlista: az első óra — erősítse meg, mi történik, anélkül hogy rontana a helyzeten; az első nap — zárja be a nyitott kaput, vagy kezdje el a levételi eljárást, ha a kapu nem az Öné; az első hét — figyeljen, figyelmeztesse az esetleg érintetteket, érvényesítsen. Csak azt fontolgatja, hogy ez megtörténhet-e? Kezdje az „Meg lehet hamisítani a doménemet?” cikkel — ez az oldal arra szól, ha már megtörtént.

Először: valóban az Ön doménje, vagy utánzat?

Szerezze be a hamis e-mailek egyikét, és olvassa el a feladó e-mail-címét betűről betűre. Minden következő lépés ettől függ:

Mit mutat a From-címMi történikAz Ön útja
[email protected] — az Ön doménje, pontosan helyesen írvaHamisítás: egy idegen szerver az Ön doménjét hamisítja a From-sorban. A rendszerei NEM lettek feltörve.DNS-javítás — SPF, DKIM, érvényesített DMARC. 1. útvonal.
[email protected], sajatcege.co, sajatceg.hu — hasonló, de nem az ÖnéEgy hasonmás domain, amelyet valaki más regisztrált. Az Ön DNS-ét soha nem kérdezik le.Levétel + figyelmeztetések. 2. útvonal.
Pontosan az Ön e-mail-címe, és az üzenetek az Elküldöttek mappájában vannak, vagy valódi szálakra válaszolnakFiókkompromittálás — valaki bent van egy valódi postafiókban. Ez eltérő incidens.Változtassa meg a jelszót, vonja vissza a munkameneteket, engedélyezze a kétfaktoros hitelesítést, ellenőrizze a továbbítási szabályokat — mindenekelőtt.

Adatok: 2026-06-29.

A félkövér sor a leggyakoribb és a leginkább javítható. Az e-mail alapprotokolla soha nem ellenőrizte a From-sort — bárki beírhatja az Ön doménjét —, tehát a javítás DNS-rekordok közzétételéből áll, amelyek lehetővé teszik a fogadóknak, hogy maguk ellenőrizzék. A kényelmetlen adatok: 121,145,609 a 261,086,232 értékelt domén közül (46.4%) egyáltalán nem tesz közzé SPF-rekordot, és 36,014 az SPF-et ténylegesen közzétevő 138,927,207 domain közül +all értékkel végzi — szó szerint az egész internetet engedélyezve, hogy az Ön nevében küldjön (adatok: 2026-06-29).

Az első óra: erősítsen meg, ne reagáljon kapkodva

  1. Futtassa az ingyenes vizsgálatot a defaults.exposed oldalon. Harminc másodperc, regisztráció nélkül. Megmutatja, hogy a doménje jelenleg hamisítható-e — az SPF jelen van és szigorú-e vagy sem, a DMARC érvényesített-e vagy sem —, mielőtt a DNS-hez nyúlna.
  2. Ne válaszoljon a hamisra, ne kattintson benne semmire, és ne küldjön tömeges e-mailt a névjegyeinek. Egy pánikos „ne fogadja el tőlünk érkező e-maileket!” értesítő ugyanarról a doménről pontosan ugyanúgy néz ki, mint a csalás. A figyelmeztetések később jönnek, célzottan és más csatornán.
  3. Gyűjtsön be egy teljes mintát a teljes fejlécekkel. Kérje meg a fogadót, hogy mellékletként továbbítsa a hamisat (Gmail: „Eredeti megjelenítése” → letöltés; Outlook: „Üzenetforrás megtekintése”). A From-sor képernyőfotója nem elég — a fejlécek az összes következő lépés bizonyítékai.
  4. Olvassa el azt a döntést, amelyet a fogadó szerver már meghozott. A fejlécekben keresse az Authentication-Results:-t — a dmarc=fail az Ön pontos doménjével a hamisítást erősíti meg; a header.from= hasonmás domén a 2. útvonalat. Egy árnyalat: a fogadók az SPF-et a Return-Path doménnel szemben értékelik (az RFC5321.MailFrom, a visszapattanási cím), nem a fogadó által látott From fejléccel — egy hamis levélnél akár spf=pass is megjelenhet a spammer doménjéhez, miközben az Ön doménje a From-ban van hamisítva. A DMARC igazítási ellenőrzése pontosan ezt a rést zárja be.

1. útvonal — pontosan az Ön doménje: az első nap

Az Ön pontos doménjének hamisítása addig működik, amíg a DNS-e nem mond semmit, ami alapján a fogadók elutasíthatják. Ma közzéteszi (vagy szigorítja) a három rekordot; az érvényesítés az héten következik.

  1. SPF: tegyen közzé egy rekordot, amely felsorolja a valódi küldőit, és -all értékkel végződik („mindenki más: megbukott”). Ha a jelenlegi +all vagy ?all értékkel végződik, ezt javítsa először — ez egy Ön által közzétett nyitott kapu. Útmutató: az SPF javítása, kattintásos útmutató a GoDaddy-n elérhető SPF-hez.
  2. DKIM: kapcsolja be a domén-aláírást az e-mail-szolgáltatójában és minden hírlevél- vagy számlázóeszközben (általában pár CNAME-rekord mindegyikhez).
  3. DMARC: tegyen közzé v=DMARC1; p=none; rua=mailto:... értéket ma, hogy a riportok megkezdjenek érkezni; a p=reject e heti projekt, nem e óráé — teljes referencia: a DMARC javítása. Ha a domain egyáltalán nem küld valódi e-maileket — régi márka, parkoló domain —, hagyja ki az óvatosságot, és zárja le ma: ez a régi domain a rebrandingjéből nyitva hagyott ajtó.

Az őszinte figyelmeztetés, mielőtt megnyugodna: az érvényesített DMARC-házirend arra utasítja a fogadó szervereket, hogy lomtárazzák vagy utasítsák vissza a pontos domén-hamisítványokat — és a nagy szolgáltatók ezt be is tartják. De csak azokat a fogadókat kötelezi, amelyek ellenőrzik, és a hasonmás doménekkel szemben nem tesz semmit: ha a bűnözők nem tudnak sajatcege.hu-ként küldeni, a sajatcege-billing.com regisztrálása néhány euróba kerül. A DMARC szűkíti a támadást; nem zárja le a történetet — az első heti lépések az Ön számára is fontosak.

2. útvonal — hasonmás: ez nem DNS-javítás

Semmilyen rekord, amelyet a doménjén tesz közzé, nem befolyásolja az olyan doménről küldött leveleket, amelyet nem Ön birtokol — az Ön DNS-ét meg sem kérdezik. A cselekvési terv: levétel és figyelmeztetések.

  1. Keresse meg, ki áll a hasonmás mögött. Keresse fel az RDAP/WHOIS-ban (pl. lookup.icann.org), hogy megkapja a regisztrátorát, és ellenőrizze, van-e mögötte weboldal.
  2. Jelentse a regisztrátor visszaélési kapcsolattartójának csatolva a teljes fejlécmintát — a regisztrátorok minden nap függesztenek fel adathalász doméneket; az egyértelmű bizonyíték gyorsítja az eljárást. Adathalász weboldal is van? Jelentse a tárhelyszolgáltatónak, a Google Biztonságos Böngészésnek és a Microsoft SmartScreennek is.
  3. Jelentse az e-maileket adathalászatként a fogadó postafiókokban (Gmail/Outlook „Adathalászat jelentése”) — ez gyorsabban tanítja a nagy szűrőket a hasonmás ellen, mint bármilyen levél.
  4. Figyelmeztesse a valószínű célpontokat más csatornán — ez az a lépés, amely valóban megakadályozza, hogy pénz kerüljön ki. Hívja fel vagy üzenje meg (ne csak e-mailben) az ügyfeleknek, szállítóknak és könyvelőjének: nevezze meg a hamis domént, és tegye a banki adatváltozásokat telefonon ellenőrizhetővé. Ez a szokás a legjobb védekezés a számlacsalási történet ellen, amelyet már hallott.
  5. Ha a hasonmás visszaél a védjegyével, egy UDRP-panasz átruháztathatja a domént — lassabb, mint egy levétel, de tartós.

Futtassa az 1. útvonalat is mindenképpen: a támadók ritkán foglalkoznak hasonmással, amíg a valódi domain még nyitva van, és 89.41%-nak nincs érvényesített DMARC-ja (csak 27,640,987 a 261,086,232-ból — 10.59% — rendelkezik vele, adatok: 2026-06-29). Zárja be a saját ajtaját mindenképpen.

Az első hét: figyelés, figyelmeztetés, érvényesítés

  1. Olvassa a DMARC-riportokat. Az rua= tag életbe lépésétől egy-két napon belül az összesítő riportok megmutatnak minden szervert, amely az Ön doménjéről küld — a valódi szervereit és a hamisítót is, volumenekkel és döntésekkel. Így figyeli, ahogy a támadás elhal.
  2. Győződjön meg arról, hogy a valódi küldők átmennek. Minden valódi forrásnak (levelezési szolgáltató, hírlevéleszköz, számlázóalkalmazás, weboldal-kapcsolatfelvételi űrlap) az Ön doménjéhez igazított SPF-en vagy DKIM-en kell átmennie, mielőtt érvényesít — különben a reject a saját leveleit is blokkolja.
  3. Szigorítsa a DMARC-ot p=quarantine-ra, majd p=reject-re. Aktív hamisítás alatt az általában hónapokra szóló folyamatot egy-két hétre sűríti — de a szakaszokat sűríti, nem hagyja ki. A fokozatos bevezetés, a pct rámpázás és az aldomén-házirend: p=none-tól p=reject-re a valódi levelek elvesztése nélkül.
  4. Küldjön egy nyugodt, célzott értesítést az üzleti partnereknek, akik esetleg kaptak hamisat: mi történt, mit kért a hamis, a fizetési változások telefonos ellenőrzési szabálya, és (2. útvonal) a blokkolandó pontos hasonmás domain.
  5. Futtassa újra a vizsgálatot és tartsa meg a riportot. A biztosítók és az ügyfelek egyre inkább kérdezik, mit tett az e-mail-biztonságért; egy dátummal ellátott, értékelt riport írásban válaszol.

Gyakran ismételt kérdések

A saját e-mail-címemről kaptam egy átverő levelet. Feltörték? Szinte mindig nem — az „Öntől, Önnek” zsaroló levél ugyanolyan hamisítási trükk, kihasználva, hogy a doménje nem utasítja el a hamisítványokat. Ellenőrizze az Elküldöttek mappáját és a legutóbbi bejelentkezéseket; ha tiszta, hamisítás, és az érvényesített DMARC-házirend ezt a változatot megállítja az azt tiszteletben tartó fogadóknál. Adatok: 2026-06-29 — 89.41% a 261,086,232 értékelt domén közül még nem tette meg ezt.

A DMARC megállítja a hasonmás domén e-mailjeit? Nem. A DMARC-házirendje csak a pontos doménjét (és az aldoménjeit) szabályozza — a hasonmás valaki más doménje a saját DNS-ével, amelyet soha nem vetnek össze az Ön rekordjaival. A hasonmásokat regisztrátori visszaélési bejelentésekkel, adathalász-bejelentésekkel és üzleti partneri figyelmeztetésekkel kell kezelni, nem DNS-sel.

Milyen gyorsan állítja le a p=reject ténylegesen a hamisítást? A DNS-változások órákon belül elérik a fogadókat, és a Gmail, az Outlook és a legtöbb nagy szolgáltató érvényesíti a DMARC-döntéseket — a pontos doménes hamisítványok a házirend életbe lépésének napjától kezdenek elhalni. Két őszinte korlát: a DMARC-ot soha nem ellenőrző kisebb fogadók még kézbesíthetnek hamisat, és az érvényesítés a saját küldők igazítása előtt a valódi leveleit is blokkolja — gyorsítsa a szakaszokat, de ne hagyja ki.

Küldje el a riportot a tulajdonosnak

Ha Ön az incidenst kezelő IT-kivitelező: miután a rekordok élnek, futtassa újra a vizsgálatot, és továbbítsa az értékelt riportot az üzlettulajdonosnak. Közérthető nyelven, dátumozva bemutatja, mi tette lehetővé a hamisítást, mit változtatott meg, és hol áll a domain most — ez az írott válasz az „biztonságban vagyunk most?” kérdésre, és a biztosítás-megújításhoz vagy az ügyfél-kérdőívhez szükséges bizonyíték. Ha Ön a tulajdonos: pontosan ezt a riportot kérje, és tartsa meg az előtte és az utána állapotot is.

Ellenőrizze ingyenesen, hogy hamisítható-e a doménje

Nézze meg, hogy egy idegen szerver jelenleg tud-e az Ön nevében átmenni — és pontosan mit kell javítani —, privátban és csak tulajdonosként.

Ellenőrizze a doménjét → · p=none-tól p=reject-re → · DMARC javítása → · Meg lehet hamisítani a doménemet? → · Csak összesített adatok. Az adatok tárolása és feldolgozása az EU-ban történik.