Defaults.Exposed

Defaults.ExposedNaprawyGuides

Ktoś wysyła e-maile z Twojej domeny: przewodnik reagowania kryzysowego (2026)

Opublikowano 2026-07-08

Dane z 2026-06-29 · metodologia v7. Zagregowane dane ze spisu 261 milionów ocenianych domen. Zobacz jak oceniamy.

Najpierw sprawdź, czy fałszywe e-maile używają Twojej dokładnej domeny czy imitatora, ponieważ naprawy są zupełnie różne. Podszywanie pod dokładną domenę można wyłączyć przez DNS — i większość domen tego nie zrobiła: 89,41% nie ma wymuszonej polityki DMARC, a 46,4% nie publikuje w ogóle SPF, według spisu Defaults.Exposed obejmującego 261 086 232 ocenianych domen.

To jest lista kontrolna incydentów: pierwsza godzina — potwierdź, co się dzieje, nie pogarszając sytuacji; pierwsza doba — zamknij otwarte drzwi lub zacznij usuwanie, jeśli drzwi nie są Twoje; pierwszy tydzień — monitoruj, ostrzegaj osoby, które mogą ucierpieć, wymuś ochronę. Zastanawiasz się tylko, czy to mogłoby się zdarzyć? Zacznij od czy ktoś może podszyć się pod moją domenę? — ta strona jest na wypadek, gdy już się dzieje.

Najpierw: czy to naprawdę Twoja domena, czy kopyta?

Zdobądź jeden z fałszywych e-maili i odczytaj adres nadawcy znak po znaku. Wszystko co następuje zależy od tego:

Co pokazuje adres FromCo się dziejeTwoja ścieżka
[email protected] — Twoja domena, napisana dokładnie poprawniePodszywanie: serwer obcej osoby fałszuje Twoją domenę w linii From. Twoje systemy NIE są zhakowane.Naprawa DNS — SPF, DKIM, wymuszony DMARC. Ścieżka 1.
[email protected], yourcompany-billing.com, yourcompany.co — blisko, ale nie TwojaDomena imitator, którą zarejestrowała inna osoba. Twój DNS nigdy nie jest konsultowany.Usunięcie + ostrzeżenia. Ścieżka 2.
Twój dokładny adres, a wiadomości siedzą w Twoim własnym folderze Wysłane lub odpowiadają na prawdziwe wątkiKompromitacja konta — ktoś jest wewnątrz prawdziwej skrzynki. Inny incydent.Zmień hasło, unieważnij sesje, włącz 2FA, sprawdź reguły przekazywania — przed czymkolwiek innym.

Dane z 2026-06-29.

Pogrubiony wiersz jest najczęstszy i najbardziej naprawialny. Główny protokół poczty nigdy nie weryfikował linii From — każdy może wpisać Twoją domenę — więc naprawą jest publikowanie rekordów DNS, które pozwalają odbiorcom samodzielnie to sprawdzić. Niekomfortowe liczby ze spisu: 121 145 609 z 261 086 232 ocenianych domen (46,4%) nie publikuje w ogóle rekordu SPF, a 36 014 z 138 927 207 domen, które publikują SPF, kończy się na +all — dosłownie autoryzując cały internet do wysyłania jako oni (dane z 2026-06-29).

Pierwsza godzina: potwierdź, nie reaguj

  1. Uruchom bezpłatne skanowanie na defaults.exposed. Trzydzieści sekund, bez rejestracji. Mówi, czy Twoja domena jest teraz podatna na podszywanie — SPF obecne i ścisłe czy nie, DMARC wymuszone czy nie — zanim dotkniesz DNS.
  2. Nie odpowiadaj na fałszywy e-mail, nie klikaj nic w nim i jeszcze nie wysyłaj masowo do kontaktów. Spanikowane “ignorujcie e-maile od nas!” z tej samej domeny czyta się dokładnie jak oszustwo. Ostrzeżenia przychodzą później, celowane i poza kanałem.
  3. Zbierz jeden pełny przykład z kompletnymi nagłówkami. Poproś odbiorcę o przekazanie fałszywego jako załącznika (Gmail: „Pokaż oryginał” → pobierz; Outlook: „Wyświetl źródło wiadomości”). Zrzut ekranu linii From nie wystarczy — nagłówki są dowodem dla wszystkiego, co następuje.
  4. Przeczytaj werdykt, który serwer odbierający już wydał. W nagłówkach znajdź Authentication-Results:dmarc=fail dla Twojej dokładnej domeny potwierdza podszywanie pod Twoją domenę; imitator w header.from= potwierdza ścieżkę 2. Jedna subtelność: odbiorcy oceniają SPF względem domeny Return-Path (RFC5321.MailFrom, adres bounce), nie nagłówka From, który widzi Twój odbiorca — sfałszowana poczta może nawet pokazywać spf=pass dla domeny spamera, jednocześnie fałszując Twoją w From. Sprawdzenie wyrównania DMARC zamyka dokładnie tę lukę.

Ścieżka 1 — to Twoja dokładna domena: pierwsza doba

Podszywanie pod Twoją dokładną domenę działa tylko dopóki Twój DNS nic nie mówi, co pozwala odbiorcom je odrzucić. Dziś publikujesz (lub zaostrzasz) trzy rekordy; egzekwowanie następuje przez tydzień.

  1. SPF: opublikuj jeden rekord listujący prawdziwych nadawców, kończący się -all („wszystko inne: niepowodzenie”). Jeśli Twój kończy się +all lub ?all, napraw to najpierw — to otwarte drzwi, które sam opublikowałeś. Opis: jak naprawić SPF, kliknięcia dostawcy w SPF na GoDaddy.
  2. DKIM: włącz podpisywanie domeną u dostawcy poczty i w narzędziach do newsletterów/fakturowania (zazwyczaj kilka rekordów CNAME każde).
  3. DMARC: opublikuj v=DMARC1; p=none; rua=mailto:... już dziś, żeby raporty zaczęły płynąć; p=reject to projekt tego tygodnia, nie tej godziny — pełne źródło w jak naprawić DMARC. Jeśli domena nie wysyła w ogóle żadnej legalnej poczty — stara marka, zaparkowana domena — pomiń ostrożność i zablokuj ją dziś: ta stara domena z Twojego rebrandingu to drzwi, które zostawiłeś otwarte.

Uczciwe zastrzeżenie, zanim się odprężysz: wymuszona polityka DMARC mówi serwerom odbierającym, żeby wyrzucały lub odrzucały fałszerstwa dokładnej domeny — i duzi dostawcy to respektują. Ale wiąże tylko odbiorców, którzy to sprawdzają, i absolutnie nic nie robi w sprawie domen imitatorów: gdy przestępcy nie mogą wysyłać jako yourcompany.com, zarejestrowanie yourcompany-billing.com kosztuje kilka euro. DMARC zmniejsza atak; nie kończy historii — kroki pierwszego tygodnia mają dla Ciebie też znaczenie.

Ścieżka 2 — to imitator: to nie jest naprawa DNS

Żaden rekord, który publikujesz na swojej domenie, nie wpływa na pocztę z domeny, której nie posiadasz — nic w Twoim DNS nawet nie jest sprawdzane. Playbook to usunięcie plus ostrzeżenia:

  1. Znajdź, kto stoi za imitatorem. Sprawdź go w RDAP/WHOIS (np. lookup.icann.org), żeby uzyskać jego rejestratora, i sprawdź, czy hostuje stronę WWW.
  2. Zgłoś go kontaktowi ds. nadużyć rejestratora z dołączonym pełnym nagłówkiem przykładu — rejestratorzy zawieszają domeny phishingowe codziennie; wyraźny dowód przyspiesza. Strona phishingowa? Zgłoś też do hosta, Google Safe Browsing i Microsoft SmartScreen.
  3. Zgłoś e-maile jako phishing w skrzynkach odbierających (Gmail/Outlook „Zgłoś phishing”) — trenuje to duże filtry przeciwko imitatorowi szybciej niż jakikolwiek list.
  4. Ostrzeż prawdopodobne cele poza kanałem — krok, który faktycznie powstrzymuje wypływanie pieniędzy. Zadzwoń lub wyślij wiadomość (nie tylko e-mail) do klientów, dostawców i ksiągowego: podaj fałszywą domenę i spraw, żeby jakakolwiek zmiana danych bankowych „od Ciebie” była weryfikowalna telefonicznie. Ten nawyk to najlepsza obrona przed historią o oszustwie fakturowym, którą słyszałeś.
  5. Jeśli imitator narusza Twój znak towarowy, skarga UDRP może przenieść domenę — wolniej niż usunięcie, ale trwałe.

I tak uruchom ścieżkę 1: atakujący rzadko zawracają sobie głowę imitatorem, gdy prawdziwa domena jest nadal otwarta, a 89,41% domen nie ma wymuszonego DMARC (tylko 27 640 987 z 261 086 232 — 10,59% — ma, według 2026-06-29). Zamknij własne drzwi niezależnie.

Pierwszy tydzień: monitoruj, ostrzegaj, wymuś

  1. Czytaj raporty DMARC. W ciągu dnia lub dwóch od uruchomienia tagu rua=, zbiorcze raporty pokazują każdy serwer wysyłający jako Twoja domena — Twoje prawdziwe i spamera, z wolumenami i werdyktami. Tak obserwujesz, jak atak wygasa.
  2. Potwierdź, że Twoi legalni nadawcy przechodzą. Każde prawdziwe źródło (dostawca poczty, narzędzie do newsletterów, aplikacja do fakturowania, formularz kontaktowy strony) musi zaliczać SPF lub DKIM wyrównane z Twoją domeną zanim wymusisz — w przeciwnym razie reject blokuje też Twoją własną pocztę.
  3. Zaostrzaj DMARC do p=quarantine, następnie p=reject. Pod aktywnym podszywaniem kompresujesz zwykłe miesiące do tygodnia lub dwóch — ale kompresujesz etapy, nie pomijasz ich. Stopniowe wdrażanie, rampa pct i polityka subdomeny: od p=none do p=reject bez utraty legalnej poczty.
  4. Wyślij jedno spokojne, celowane powiadomienie do kontrahentów, którzy mogli otrzymać fałszywe: co się stało, o co prosiły fałszywe, zasada weryfikacji przez telefon przy zmianach płatności i (ścieżka 2) dokładna domena imitator do zablokowania.
  5. Przeskanuj ponownie i zachowaj raport. Ubezpieczyciele i klienci coraz częściej pytają, co zrobiłeś z bezpieczeństwem poczty; datowany, oceniony raport odpowiada pisemnie.

Często zadawane pytania

Dostałem scamowy e-mail z własnego adresu. Czy zostałem zhakowany? Prawie zawsze nie — poczta wymuszeniowa „od Ciebie, do Ciebie” to ten sam trik fałszerstwa, wykorzystujący fakt, że Twoja domena nie odrzuca fałszywek. Sprawdź folder Wysłane i ostatnie logowania; jeśli czyste, to podszywanie, a wymuszona polityka DMARC zatrzymuje ten wariant u odbiorców, którzy ją respektują. Według 2026-06-29, 89,41% z 261 086 232 ocenianych domen tego nie zrobiło.

Czy DMARC zatrzyma e-maile z domeny imitatora? Nie. Twoja polityka DMARC reguluje tylko Twoją dokładną domenę (i jej subdomeny) — imitator to domena kogoś innego z własnym DNS, nigdy nie sprawdzana względem Twoich rekordów. Imitatorom walczy się za pomocą zgłoszeń nadużyć do rejestratora, zgłoszeń phishingu i ostrzeżeń kontrahentów, nie DNS.

Jak szybko p=reject faktycznie zatrzyma podszywanie? Zmiany DNS docierają do odbiorców w ciągu godzin, a Gmail, Outlook i większość głównych dostawców egzekwuje werdykty DMARC — fałszerstwa dokładnej domeny zaczynają wygasać w dniu, gdy ląduje polityka. Dwa uczciwe ograniczenia: mniejsi odbiorcy, którzy nigdy nie sprawdzają DMARC, mogą nadal dostarczać fałszywki, a wymuszanie przed wyrównaniem własnych nadawców blokuje też legalną pocztę — przyspiesz etapy, nie pomijaj ich.

Wyślij właścicielowi raport

Jeśli jesteś wykonawcą IT to obsługującym: gdy rekordy są aktywne, uruchom skanowanie ponownie i prześlij oceniony raport właścicielowi firmy. Pokazuje on, w prostym języku, co umożliwiło podszywanie, co zmieniłeś i gdzie domena stoi teraz — pisemna odpowiedź na „czy jesteśmy teraz bezpieczni?” i dowód dla odnowienia ubezpieczenia lub kwestionariusza klienta. Jeśli jesteś właścicielem: poproś dokładnie o ten raport i zachowaj przed i po.

Sprawdź bezpłatnie, czy można podszyć się pod Twoją domenę

Sprawdź, czy serwer obcej osoby może teraz podawać się za Ciebie — i dokładnie co naprawić — prywatnie i tylko dla właściciela.

Sprawdź swoją domenę → · Od p=none do p=reject → · Napraw DMARC → · Czy ktoś może podszyć się pod moją domenę? → · Tylko dane zagregowane. Dane przechowywane i przetwarzane w UE.