Defaults.Exposed › Naprawy › Guides
Ktoś wysyła e-maile z Twojej domeny: przewodnik reagowania kryzysowego (2026)
Opublikowano 2026-07-08
Dane z 2026-06-29 · metodologia v7. Zagregowane dane ze spisu 261 milionów ocenianych domen. Zobacz jak oceniamy.
Najpierw sprawdź, czy fałszywe e-maile używają Twojej dokładnej domeny czy imitatora, ponieważ naprawy są zupełnie różne. Podszywanie pod dokładną domenę można wyłączyć przez DNS — i większość domen tego nie zrobiła: 89,41% nie ma wymuszonej polityki DMARC, a 46,4% nie publikuje w ogóle SPF, według spisu Defaults.Exposed obejmującego 261 086 232 ocenianych domen.
To jest lista kontrolna incydentów: pierwsza godzina — potwierdź, co się dzieje, nie pogarszając sytuacji; pierwsza doba — zamknij otwarte drzwi lub zacznij usuwanie, jeśli drzwi nie są Twoje; pierwszy tydzień — monitoruj, ostrzegaj osoby, które mogą ucierpieć, wymuś ochronę. Zastanawiasz się tylko, czy to mogłoby się zdarzyć? Zacznij od czy ktoś może podszyć się pod moją domenę? — ta strona jest na wypadek, gdy już się dzieje.
Najpierw: czy to naprawdę Twoja domena, czy kopyta?
Zdobądź jeden z fałszywych e-maili i odczytaj adres nadawcy znak po znaku. Wszystko co następuje zależy od tego:
| Co pokazuje adres From | Co się dzieje | Twoja ścieżka |
|---|---|---|
[email protected] — Twoja domena, napisana dokładnie poprawnie | Podszywanie: serwer obcej osoby fałszuje Twoją domenę w linii From. Twoje systemy NIE są zhakowane. | Naprawa DNS — SPF, DKIM, wymuszony DMARC. Ścieżka 1. |
[email protected], yourcompany-billing.com, yourcompany.co — blisko, ale nie Twoja | Domena imitator, którą zarejestrowała inna osoba. Twój DNS nigdy nie jest konsultowany. | Usunięcie + ostrzeżenia. Ścieżka 2. |
| Twój dokładny adres, a wiadomości siedzą w Twoim własnym folderze Wysłane lub odpowiadają na prawdziwe wątki | Kompromitacja konta — ktoś jest wewnątrz prawdziwej skrzynki. Inny incydent. | Zmień hasło, unieważnij sesje, włącz 2FA, sprawdź reguły przekazywania — przed czymkolwiek innym. |
Dane z 2026-06-29.
Pogrubiony wiersz jest najczęstszy i najbardziej naprawialny. Główny protokół poczty nigdy nie weryfikował linii From — każdy może wpisać Twoją domenę — więc naprawą jest publikowanie rekordów DNS, które pozwalają odbiorcom samodzielnie to sprawdzić. Niekomfortowe liczby ze spisu: 121 145 609 z 261 086 232 ocenianych domen (46,4%) nie publikuje w ogóle rekordu SPF, a 36 014 z 138 927 207 domen, które publikują SPF, kończy się na +all — dosłownie autoryzując cały internet do wysyłania jako oni (dane z 2026-06-29).
Pierwsza godzina: potwierdź, nie reaguj
- Uruchom bezpłatne skanowanie na defaults.exposed. Trzydzieści sekund, bez rejestracji. Mówi, czy Twoja domena jest teraz podatna na podszywanie — SPF obecne i ścisłe czy nie, DMARC wymuszone czy nie — zanim dotkniesz DNS.
- Nie odpowiadaj na fałszywy e-mail, nie klikaj nic w nim i jeszcze nie wysyłaj masowo do kontaktów. Spanikowane “ignorujcie e-maile od nas!” z tej samej domeny czyta się dokładnie jak oszustwo. Ostrzeżenia przychodzą później, celowane i poza kanałem.
- Zbierz jeden pełny przykład z kompletnymi nagłówkami. Poproś odbiorcę o przekazanie fałszywego jako załącznika (Gmail: „Pokaż oryginał” → pobierz; Outlook: „Wyświetl źródło wiadomości”). Zrzut ekranu linii From nie wystarczy — nagłówki są dowodem dla wszystkiego, co następuje.
- Przeczytaj werdykt, który serwer odbierający już wydał. W nagłówkach znajdź
Authentication-Results:—dmarc=faildla Twojej dokładnej domeny potwierdza podszywanie pod Twoją domenę; imitator wheader.from=potwierdza ścieżkę 2. Jedna subtelność: odbiorcy oceniają SPF względem domeny Return-Path (RFC5321.MailFrom, adres bounce), nie nagłówka From, który widzi Twój odbiorca — sfałszowana poczta może nawet pokazywaćspf=passdla domeny spamera, jednocześnie fałszując Twoją w From. Sprawdzenie wyrównania DMARC zamyka dokładnie tę lukę.
Ścieżka 1 — to Twoja dokładna domena: pierwsza doba
Podszywanie pod Twoją dokładną domenę działa tylko dopóki Twój DNS nic nie mówi, co pozwala odbiorcom je odrzucić. Dziś publikujesz (lub zaostrzasz) trzy rekordy; egzekwowanie następuje przez tydzień.
- SPF: opublikuj jeden rekord listujący prawdziwych nadawców, kończący się
-all(„wszystko inne: niepowodzenie”). Jeśli Twój kończy się+alllub?all, napraw to najpierw — to otwarte drzwi, które sam opublikowałeś. Opis: jak naprawić SPF, kliknięcia dostawcy w SPF na GoDaddy. - DKIM: włącz podpisywanie domeną u dostawcy poczty i w narzędziach do newsletterów/fakturowania (zazwyczaj kilka rekordów CNAME każde).
- DMARC: opublikuj
v=DMARC1; p=none; rua=mailto:...już dziś, żeby raporty zaczęły płynąć;p=rejectto projekt tego tygodnia, nie tej godziny — pełne źródło w jak naprawić DMARC. Jeśli domena nie wysyła w ogóle żadnej legalnej poczty — stara marka, zaparkowana domena — pomiń ostrożność i zablokuj ją dziś: ta stara domena z Twojego rebrandingu to drzwi, które zostawiłeś otwarte.
Uczciwe zastrzeżenie, zanim się odprężysz: wymuszona polityka DMARC mówi serwerom odbierającym, żeby wyrzucały lub odrzucały fałszerstwa dokładnej domeny — i duzi dostawcy to respektują. Ale wiąże tylko odbiorców, którzy to sprawdzają, i absolutnie nic nie robi w sprawie domen imitatorów: gdy przestępcy nie mogą wysyłać jako yourcompany.com, zarejestrowanie yourcompany-billing.com kosztuje kilka euro. DMARC zmniejsza atak; nie kończy historii — kroki pierwszego tygodnia mają dla Ciebie też znaczenie.
Ścieżka 2 — to imitator: to nie jest naprawa DNS
Żaden rekord, który publikujesz na swojej domenie, nie wpływa na pocztę z domeny, której nie posiadasz — nic w Twoim DNS nawet nie jest sprawdzane. Playbook to usunięcie plus ostrzeżenia:
- Znajdź, kto stoi za imitatorem. Sprawdź go w RDAP/WHOIS (np.
lookup.icann.org), żeby uzyskać jego rejestratora, i sprawdź, czy hostuje stronę WWW. - Zgłoś go kontaktowi ds. nadużyć rejestratora z dołączonym pełnym nagłówkiem przykładu — rejestratorzy zawieszają domeny phishingowe codziennie; wyraźny dowód przyspiesza. Strona phishingowa? Zgłoś też do hosta, Google Safe Browsing i Microsoft SmartScreen.
- Zgłoś e-maile jako phishing w skrzynkach odbierających (Gmail/Outlook „Zgłoś phishing”) — trenuje to duże filtry przeciwko imitatorowi szybciej niż jakikolwiek list.
- Ostrzeż prawdopodobne cele poza kanałem — krok, który faktycznie powstrzymuje wypływanie pieniędzy. Zadzwoń lub wyślij wiadomość (nie tylko e-mail) do klientów, dostawców i ksiągowego: podaj fałszywą domenę i spraw, żeby jakakolwiek zmiana danych bankowych „od Ciebie” była weryfikowalna telefonicznie. Ten nawyk to najlepsza obrona przed historią o oszustwie fakturowym, którą słyszałeś.
- Jeśli imitator narusza Twój znak towarowy, skarga UDRP może przenieść domenę — wolniej niż usunięcie, ale trwałe.
I tak uruchom ścieżkę 1: atakujący rzadko zawracają sobie głowę imitatorem, gdy prawdziwa domena jest nadal otwarta, a 89,41% domen nie ma wymuszonego DMARC (tylko 27 640 987 z 261 086 232 — 10,59% — ma, według 2026-06-29). Zamknij własne drzwi niezależnie.
Pierwszy tydzień: monitoruj, ostrzegaj, wymuś
- Czytaj raporty DMARC. W ciągu dnia lub dwóch od uruchomienia tagu
rua=, zbiorcze raporty pokazują każdy serwer wysyłający jako Twoja domena — Twoje prawdziwe i spamera, z wolumenami i werdyktami. Tak obserwujesz, jak atak wygasa. - Potwierdź, że Twoi legalni nadawcy przechodzą. Każde prawdziwe źródło (dostawca poczty, narzędzie do newsletterów, aplikacja do fakturowania, formularz kontaktowy strony) musi zaliczać SPF lub DKIM wyrównane z Twoją domeną zanim wymusisz — w przeciwnym razie reject blokuje też Twoją własną pocztę.
- Zaostrzaj DMARC do
p=quarantine, następniep=reject. Pod aktywnym podszywaniem kompresujesz zwykłe miesiące do tygodnia lub dwóch — ale kompresujesz etapy, nie pomijasz ich. Stopniowe wdrażanie, rampapcti polityka subdomeny: od p=none do p=reject bez utraty legalnej poczty. - Wyślij jedno spokojne, celowane powiadomienie do kontrahentów, którzy mogli otrzymać fałszywe: co się stało, o co prosiły fałszywe, zasada weryfikacji przez telefon przy zmianach płatności i (ścieżka 2) dokładna domena imitator do zablokowania.
- Przeskanuj ponownie i zachowaj raport. Ubezpieczyciele i klienci coraz częściej pytają, co zrobiłeś z bezpieczeństwem poczty; datowany, oceniony raport odpowiada pisemnie.
Często zadawane pytania
Dostałem scamowy e-mail z własnego adresu. Czy zostałem zhakowany? Prawie zawsze nie — poczta wymuszeniowa „od Ciebie, do Ciebie” to ten sam trik fałszerstwa, wykorzystujący fakt, że Twoja domena nie odrzuca fałszywek. Sprawdź folder Wysłane i ostatnie logowania; jeśli czyste, to podszywanie, a wymuszona polityka DMARC zatrzymuje ten wariant u odbiorców, którzy ją respektują. Według 2026-06-29, 89,41% z 261 086 232 ocenianych domen tego nie zrobiło.
Czy DMARC zatrzyma e-maile z domeny imitatora? Nie. Twoja polityka DMARC reguluje tylko Twoją dokładną domenę (i jej subdomeny) — imitator to domena kogoś innego z własnym DNS, nigdy nie sprawdzana względem Twoich rekordów. Imitatorom walczy się za pomocą zgłoszeń nadużyć do rejestratora, zgłoszeń phishingu i ostrzeżeń kontrahentów, nie DNS.
Jak szybko p=reject faktycznie zatrzyma podszywanie? Zmiany DNS docierają do odbiorców w ciągu godzin, a Gmail, Outlook i większość głównych dostawców egzekwuje werdykty DMARC — fałszerstwa dokładnej domeny zaczynają wygasać w dniu, gdy ląduje polityka. Dwa uczciwe ograniczenia: mniejsi odbiorcy, którzy nigdy nie sprawdzają DMARC, mogą nadal dostarczać fałszywki, a wymuszanie przed wyrównaniem własnych nadawców blokuje też legalną pocztę — przyspiesz etapy, nie pomijaj ich.
Wyślij właścicielowi raport
Jeśli jesteś wykonawcą IT to obsługującym: gdy rekordy są aktywne, uruchom skanowanie ponownie i prześlij oceniony raport właścicielowi firmy. Pokazuje on, w prostym języku, co umożliwiło podszywanie, co zmieniłeś i gdzie domena stoi teraz — pisemna odpowiedź na „czy jesteśmy teraz bezpieczni?” i dowód dla odnowienia ubezpieczenia lub kwestionariusza klienta. Jeśli jesteś właścicielem: poproś dokładnie o ten raport i zachowaj przed i po.
Sprawdź bezpłatnie, czy można podszyć się pod Twoją domenę
Sprawdź, czy serwer obcej osoby może teraz podawać się za Ciebie — i dokładnie co naprawić — prywatnie i tylko dla właściciela.
Sprawdź swoją domenę → · Od p=none do p=reject → · Napraw DMARC → · Czy ktoś może podszyć się pod moją domenę? → · Tylko dane zagregowane. Dane przechowywane i przetwarzane w UE.