Defaults.Exposed

Defaults.ExposedFikserGuides

Noen sender e-poster fra domenet ditt: Nødrespons-veiledningen (2026)

Publisert 2026-07-08

Tall per 2026-06-29 · metodikk v7. Samlet sensusdata for 261 millioner graderte domener. Se hvordan vi graderer.

Sjekk først om de falske e-postene bruker ditt nøyaktige domene eller en kopi, fordi fiksene er helt forskjellige. Forfalskning av nøyaktig domene kan slåes av i DNS — og de fleste domener har ikke gjort det: 89.41% har ingen håndhevet DMARC-policy, og 46.4% publiserer ingen SPF overhodet, ifølge Defaults.Exposed-sensus av 261,086,232 graderte domener.

Dette er en hendelsessjekkliste: første time — bekreft hva som skjer uten å gjøre det verre; første dag — lukk den åpne døren, eller start nedtakingen hvis døren ikke er din; første uke — overvåk, advár de menneskene som kan bli skadet, håndhev. Lurer du bare på om dette kan skje? Start med kan noen forfalske domenet mitt? — denne siden er for når det allerede skjer.

Først: er det virkelig domenet ditt, eller en kopi?

Få tak i en av de falske e-postene og les avsenderadressen tegn for tegn. Alt som følger avhenger av dette:

Hva Fra-adressen viserHva som skjerDin vei
[email protected] — domenet ditt, stavet nøyaktig riktigForfalskning: en fremmed server forfalsker domenet ditt i Fra-linjen. Systemene dine er IKKE hacket.DNS-fiks — SPF, DKIM, håndhevet DMARC. Vei 1.
[email protected], dittfirma-faktura.com, dittfirma.co — nært, men ikke dittEt kopiert domene som noen andre har registrert. DNS-en din konsulteres aldri.Nedtaking + advarsler. Vei 2.
Din nøyaktige adresse, og meldingene sitter i din egen Sendt-mappe eller svarer på ekte tråderKontokompromittering — noen er inne i en ekte postkasse. En annen hendelse.Endre passordet, tilbakekall sesjoner, aktiver 2FA, sjekk videresendingsregler — før alt annet.

Data per 2026-06-29.

Den uthevede raden er den vanligste og den mest fikserbare. E-postens kjerneprotokoll verifiserte aldri Fra-linjen — hvem som helst kan skrive inn domenet ditt der — så fiksen er å publisere DNS-poster som lar mottakere sjekke selv. De ubehagelige sensustallene: 121,145,609 av 261,086,232 graderte domener (46.4%) publiserer ingen SPF-post overhodet, og 36,014 av de 138,927,207 domenene som publiserer SPF slutter med +all — bokstavelig talt autoriserer hele internett til å sende som dem (data per 2026-06-29).

Den første timen: bekreft, ikke reager

  1. Kjør den gratis skanningen på defaults.exposed. Tretti sekunder, ingen registrering. Den forteller deg om domenet ditt for øyeblikket kan forfalskes — SPF tilstede og streng eller ikke, DMARC håndhevet eller ikke — før du rører DNS.
  2. Ikke svar på den falske, ikke klikk noe i den, og ikke masseutsend til kontaktene dine ennå. En panisk «ignorer e-poster fra oss!»-utsendelse fra det samme domenet leses nøyaktig som svindelen. Advarsler kommer senere, målrettede og utenfor båndet.
  3. Samle én fullstendig prøve med fullstendige overskrifter. Be en mottaker om å videresende den falske som et vedlegg (Gmail: «Vis original» → last ned; Outlook: «Vis meldingskilde»). Et skjermbilde av Fra-linjen er ikke nok — overskriftene er beviset for alt som følger.
  4. Les dommen den mottakende serveren allerede nådde. I overskriftene, finn Authentication-Results:dmarc=fail mot ditt nøyaktige domene bekrefter forfalskning av ditt domene; et kopidomene i header.from= bekrefter vei 2. En subtilitet: mottakere evaluerer SPF mot Return-Path-domenet (RFC5321.MailFrom, sprette-adressen), ikke Fra-overskriften din mottaker ser — en forfalsket e-post kan til og med vise spf=pass for spamavsenderens domene mens den forfalsker ditt i Fra. DMARCs justeringssjekk lukker nøyaktig det gapet.

Vei 1 — det er ditt nøyaktige domene: den første dagen

Forfalskning av ditt nøyaktige domene fungerer bare så lenge DNS-en din ikke sier noe som lar mottakere avvise det. I dag publiserer (eller stramner) du de tre postene; håndhevelse følger i løpet av uken.

  1. SPF: publiser én post som lister dine reelle avsendere, slutt med -all («alle andre: feil»). Hvis din slutter med +all eller ?all, fiks det først — det er en åpen dør du publiserte selv. Gjennomgang: hvordan fikser du SPF, leverandørklikk på SPF på GoDaddy.
  2. DKIM: slå på domenesignering i e-postleverandøren din og eventuelle nyhetsbrev-/faktureringsverktøy (vanligvis et par CNAME-poster hver).
  3. DMARC: publiser v=DMARC1; p=none; rua=mailto:... i dag slik at rapporter begynner å strømme; p=reject er denne ukens prosjekt, ikke denne timens — fullstendig referanse på hvordan fikser du DMARC. Hvis domenet sender ingen legitim e-post overhodet — et gammelt merke, et parkert domene — hopp over forsiktigheten og lås det ned i dag: det gamle domenet fra rebrandingen din er en dør du har latt stå åpen.

Den ærlige advarselen, før du slapper av: en håndhevet DMARC-policy forteller mottakerservere om å søppelkategorisere eller avvise nøyaktig-domene-forfalskninger — og de store leverandørene respekterer det. Men det binder bare mottakere som sjekker det, og det gjør absolutt ingenting med kopidomener: når svindlerne ikke kan sende som dittfirma.com, koster det noen euro å registrere dittfirma-faktura.com. DMARC krymper angrepet; det avslutter ikke historien — ukens første-steg betyr noe for deg også.

Vei 2 — det er en kopi: dette er ikke en DNS-fiks

Ingen post du publiserer på domenet ditt påvirker e-post fra et domene du ikke eier — ingenting i DNS-en din konsulteres i det hele tatt. Spilleboka er nedtaking pluss advarsler:

  1. Finn ut hvem som er bak kopien. Slå det opp i RDAP/WHOIS (f.eks. lookup.icann.org) for å få registraren, og sjekk om det er vert for et nettsted.
  2. Rapporter det til registrarens misbrukskontakt med fullstendig overskriftsprøve vedlagt — registrarer suspenderer phishing-domener hver dag; klart bevis gjør det raskt. Et phishing-nettsted? Rapporter det til verten, Google Safe Browsing og Microsoft SmartScreen også.
  3. Rapporter e-postene som phishing i mottakspostkassene (Gmail/Outlook «Rapporter phishing») — dette trener de store filtrene mot kopien raskere enn noe brev.
  4. Advár de sannsynlige målene utenfor båndet — steget som faktisk stopper penger fra å forlate. Ring eller meld (ikke bare e-post) kunder, leverandører og regnskapsføreren din: navngi det falske domenet, og gjør enhver endring av bankdetaljer «fra deg» verifiserbar per telefon. Den vanen er det beste forsvaret mot faktura-svindel-historien du har hørt.
  5. Hvis kopien misbruker varemerket ditt, kan en UDRP-klage overføre domenet — tregere enn en nedtaking, men permanent.

Og kjør vei 1 uansett: angripere gidder sjelden en kopi mens det reelle domenet fortsatt er åpent, og 89.41% av domener har ingen håndhevet DMARC (bare 27,640,987 av 261,086,232 — 10.59% — gjør det, per 2026-06-29). Lukk din egen dør uansett.

Den første uken: overvåk, advár, håndhev

  1. Les DMARC-rapportene dine. Innen en dag eller to etter at rua=-taggen er live, viser aggregerte rapporter hver server som sender som domenet ditt — dine reelle og forfalsker, med volumer og dommer. Dette er slik du ser angrepet dø ut.
  2. Bekreft at de legitime avsenderne dine består. Hver reell kilde (e-postleverandør, nyhetsbrevverktøy, faktureringsapp, nettstedets kontaktskjema) må bestå SPF eller DKIM justert med domenet ditt før du håndhever — ellers blokkerer avvisning din egen e-post også.
  3. Skru DMARC til p=quarantine, deretter p=reject. Under aktiv forfalskning komprimerer du de vanlige månedene inn i en uke eller to — men du komprimerer fasene, du hopper ikke over dem. Den trinnvise utrullingen, pct-oppskalering og underdomene-policy: fra p=none til p=reject uten å miste legitim e-post.
  4. Send ett rolig, målrettet varsel til motparter som kan ha mottatt forfalskninger: hva som skjedde, hva den falske ba om, verifiserings-per-telefon-regelen for betalingsendringer, og (vei 2) det nøyaktige kopidomenet som skal blokkeres.
  5. Skann på nytt og behold rapporten. Forsikringsselskaper og kunder spør i økende grad hva du gjorde med e-postsikkerhet; en datert, gradert rapport svarer skriftlig.

Ofte stilte spørsmål

Jeg fikk en svindel-e-post fra min egen adresse. Har jeg blitt hacket? Nesten alltid nei — «fra deg, til deg»-utpressings-e-post er det samme forfalsknings-trikset, som utnytter det faktum at domenet ditt ikke avviser forfalskninger. Sjekk Sendt-mappen og nylige innlogginger; hvis rent, er det forfalskning, og en håndhevet DMARC-policy stopper den varianten hos mottakere som respekterer den. Per 2026-06-29 har 89.41% av 261,086,232 graderte domener ikke gjort dette.

Vil DMARC stoppe kopidomene-e-postene? Nei. DMARC-policyen din styrer ditt nøyaktige domene (og underdomener) bare — et kopidomene er noen andres domene med sin egen DNS, aldri sjekket mot postene dine. Kopier bekjempes med registrar-misbruksrapporter, phishing-rapporter og motpartsadvarsler, ikke DNS.

Hvor raskt vil p=reject faktisk stoppe forfalskingen? DNS-endringer når mottakere innen timer, og Gmail, Outlook og de fleste store leverandørene håndhever DMARC-dommer — nøyaktig-domene-forfalskninger begynner å dø den dagen policyen lander. To ærlige grenser: mindre mottakere som aldri sjekker DMARC kan fortsatt levere forfalskninger, og håndhevelse før dine egne avsendere er justert blokkerer din legitime e-post — akselerere fasene, ikke hopp over dem.

Send eieren rapporten

Hvis du er IT-konsulenten som håndterer dette: når postene er live, kjør skanningen på nytt og videresend den graderte rapporten til bedriftseieren. Den viser, på klart norsk, hva som lot forfalskingen skje, hva du endret og hvor domenet står nå — det skriftlige svaret på «er vi trygge nå?», og beviset for forsikringsfornyelsen eller kund-sikkerhetsspørreskjemaet. Hvis du er eieren: be om nøyaktig den rapporten, og behold før og etter.

Sjekk om domenet ditt kan forfalskes gratis

Se om en fremmed servers server for øyeblikket kan passere som deg — og nøyaktig hva du skal fikse — privat og kun for eieren.

Sjekk domenet ditt → · Fra p=none til p=reject → · Fiks DMARC → · Kan noen forfalske domenet mitt? → · Kun aggregerte data. Data lagret og behandlet i EU.