Defaults.Exposed

Defaults.ExposedÅtgärderGuides

Någon skickar e-post från din domän: akutresponsguiden (2026)

Publicerad 2026-07-08

Siffror från 2026-06-29 · metodik v7. Aggregerade censusdata över 261 miljoner graderade domäner. Se hur vi graderar.

Kontrollera först om de falska e-postmeddelandena använder din exakta domän eller en lookalike, eftersom fixarna är helt olika. Exakt-domänförfalskning kan stängas av i DNS — och de flesta domäner har inte gjort det: 89.41% har ingen tillämpad DMARC-policy, och 46.4% publicerar ingen SPF alls, enligt Defaults.Exposed-censuset med 261,086,232 graderade domäner.

Detta är en incidentchecklista: första timmen — bekräfta vad som händer utan att göra det värre; första dagen — stäng den öppna dörren, eller påbörja nedtagningen om dörren inte är din; första veckan — övervaka, varna de som kan bli brända, tillämpa. Undrar du bara om det skulle kunna hända? Börja med kan någon förfalska min domän? — den här sidan är för när det redan händer.

Först: är det verkligen din domän, eller en kopia?

Skaffa ett av de falska e-postmeddelandena och läs avsändaradressen tecken för tecken. Allt som följer beror på detta:

Vad From-adressen visarVad som händerDin väg
[email protected] — din domän, stavad exakt rättFörfalskning: en okänds server förfalskar din domän i From-raden. Dina system är INTE hackade.DNS-fix — SPF, DKIM, tillämpat DMARC. Väg 1.
[email protected], yourcompany-billing.com, yourcompany.co — nära, men inte dinEn lookalike-domän som någon annan registrerat. Din DNS rådfrågas aldrig.Nedtagning + varningar. Väg 2.
Din exakta adress, och meddelandena sitter i din Skickat-mapp eller svarar på riktiga trådarKontokompromettering — någon är inne i en riktig postlåda. En annan incident.Byt lösenordet, återkalla sessioner, aktivera 2FA, kontrollera vidarebefordringsberegler — innan allt annat.

Data per 2026-06-29.

Den fetstilta raden är den vanligaste och mest åtgärdbara. E-postens grundprotokoll verifierade aldrig From-raden — vem som helst kan skriva din domän i den — så fixen är att publicera DNS-poster som låter mottagare kontrollera själva. De obekväma censussiffrorna: 121,145,609 av 261,086,232 graderade domäner (46.4%) publicerar ingen SPF-post alls, och 36,014 av de 138,927,207 domänerna som publicerar SPF avslutar den med +all — bokstavligen auktoriserar hela internet att skicka som dem (data per 2026-06-29).

Första timmen: bekräfta, reagera inte

  1. Kör den kostnadsfria sökningen på defaults.exposed. Trettio sekunder, ingen registrering. Den talar om för dig om din domän för tillfället kan förfalskas — SPF finns och är strikt eller inte, DMARC tillämpat eller inte — innan du rör DNS.
  2. Svara inte på det falska, klicka inte på något i det och massutskicka inte till dina kontakter ännu. En panisk “ignorera e-post från oss!” från samma domän läses precis som bluffen. Varningar kommer senare, riktade och utanför bandet.
  3. Samla ett fullständigt prov med kompletta rubriker. Be en mottagare vidarebefordra det falska som en bilaga (Gmail: “Visa original” → ladda ner; Outlook: “Visa meddelandekälla”). En skärmdump av From-raden räcker inte — rubrikerna är beviset för allt som följer.
  4. Läs domen som den mottagande servern redan nådde. I rubrikerna, hitta Authentication-Results:dmarc=fail mot din exakta domän bekräftar förfalskning av din domän; en lookalike i header.from= bekräftar väg 2. En nyans: mottagare utvärderar SPF mot Return-Path-domänen (RFC5321.MailFrom, studs­adressen), inte From-rubriken din mottagare ser — ett förfalskat mejl kan till och med visa spf=pass för spammarens domän medan den förfalskar din i From. DMARC:s anpassningskontroll stänger exakt det gapet.

Väg 1 — det är din exakta domän: första dagen

Förfalskning av din exakta domän fungerar bara medan din DNS inte säger något som låter mottagare avvisa den. Idag publicerar (eller skärper) du de tre posterna; tillämpning följer under veckan.

  1. SPF: publicera en post som listar dina riktiga avsändare och slutar med -all (“alla andra: misslyckas”). Om din slutar +all eller ?all, åtgärda det först — det är en öppen dörr du publicerade själv. Genomgång: hur man åtgärdar SPF, leverantörsklick på SPF på GoDaddy.
  2. DKIM: slå på domänsignering i din e-postleverantör och alla nyhetsbrev-/faktureringsverktyg (vanligtvis ett par CNAME-poster var).
  3. DMARC: publicera v=DMARC1; p=none; rua=mailto:... idag så att rapporter börjar flöda; p=reject är den här veckans projekt, inte den här timmens — fullständig referens på hur man åtgärdar DMARC. Om domänen skickar ingen legitim e-post alls — ett gammalt varumärke, en parkerad domän — hoppa över försiktigheten och lås ner den idag: den gamla domänen från ditt namnbyte är en dörr du lämnat öppen.

Den ärliga varningen, innan du slappnar av: en tillämpande DMARC-policy ber mottagande servrar att skräppost-sortera eller avvisa exakt-domänförfalskningar — och de stora leverantörerna hedrar det. Men det binder bara mottagare som kontrollerar det, och det gör absolut ingenting med lookalike-domäner: när brottslingarna inte längre kan skicka som yourcompany.com kostar det att registrera yourcompany-billing.com ett par euro. DMARC krymper attacken; den avslutar inte berättelsen — veckostegen spelar roll för dig också.

Väg 2 — det är en lookalike: detta är ingen DNS-fix

Ingen post du publicerar på din domän påverkar e-post från en domän du inte äger — ingenting i din DNS tittas ens på. Planen är nedtagning plus varningar:

  1. Ta reda på vem som är bakom lookalike. Slå upp den i RDAP/WHOIS (t.ex. lookup.icann.org) för att få dess registrar, och kontrollera om den är värd för en webbplats.
  2. Rapportera den till registrarens missbrukskontakt med ditt fullständiga rubrikprov bifogat — registrarer stänger av nätfiskedomäner varje dag; tydliga bevis gör det snabbt. En nätfiskewebbplats? Rapportera det till värden, Google Safe Browsing och Microsoft SmartScreen också.
  3. Rapportera e-postmeddelandena som nätfiske i de mottagande postlådorna (Gmail/Outlook “Rapportera nätfiske”) — det tränar de stora filtren mot lookalike snabbare än något brev.
  4. Varna sannolika mål utanför bandet — steget som faktiskt förhindrar att pengar lämnar. Ring eller skicka meddelanden (skicka inte bara e-post) till kunder, leverantörer och din bokförare: namnge den falska domänen, och gör varje ändring av bankuppgifter “från dig” verifierbar via telefon. Den vanan är det bästa skyddet mot bedrägerihistorien med fakturan du hört.
  5. Om lookalike missbrukar ditt varumärke kan ett UDRP-klagomål överföra domänen — långsammare än en nedtagning, men permanent.

Och kör väg 1 ändå: angripare bryr sig sällan om att göra en lookalike medan den riktiga domänen fortfarande är öppen, och 89.41% av domänerna har inget tillämpat DMARC (bara 27,640,987 av 261,086,232 — 10.59% — har det, per 2026-06-29). Stäng din egna dörr oavsett.

Första veckan: övervaka, varna, tillämpa

  1. Läs dina DMARC-rapporter. Inom en dag eller två efter att rua=-taggen gått live visar aggregerade rapporter varje server som skickar som din domän — dina riktiga och förfalskaren, med volymer och domar. Så här tittar du på attacken dö.
  2. Bekräfta att dina legitima avsändare godkänns. Varje riktig källa (e-postleverantör, nyhetsbrevverktyg, faktureringsapp, webbplatsens kontaktformulär) måste godkännas med SPF eller DKIM anpassat till din domän innan du tillämpar — annars blockerar reject din egna e-post också.
  3. Skruva upp DMARC till p=quarantine, sedan p=reject. Under aktiv förfalskning komprimerar du de vanliga månaderna till en vecka eller två — men du komprimerar stadierna, hoppar inte över dem. Den stegvisa utrullningen, pct-rampen och underdomänspolicyn: från p=none till p=reject utan att förlora legitim e-post.
  4. Skicka ett lugnt, riktat meddelande till motparter som kan ha fått falska meddelanden: vad som hände, vad det falska bad om, regeln om verifiering via telefon för betalningsändringar och (väg 2) den exakta lookalike-domänen att blockera.
  5. Scanna om och spara rapporten. Försäkringsgivare och kunder frågar alltmer vad du gjort med e-postsäkerhet; en daterad, graderad rapport svarar skriftligt.

Vanliga frågor

Jag fick ett bluffmejl från min egna adress. Har jag blivit hackad? Nästan alltid nej — “från dig, till dig”-utpressningspost är samma förfalskningsknep, utnyttjar det faktum att din domän inte avvisar falska mejl. Kontrollera din Skickat-mapp och senaste inloggningar; om de är rena är det förfalskning, och en tillämpande DMARC-policy stoppar den varianten hos mottagare som hedrar det. Per 2026-06-29 har 89.41% av 261,086,232 graderade domäner inte gjort detta.

Kommer DMARC att stoppa lookalike-domänmejlen? Nej. Din DMARC-policy styr din exakta domän (och dess underdomäner) bara — en lookalike är någon annans domän med sin egna DNS, aldrig kontrollerad mot dina poster. Lookalikes bekämpas med registrar-missbruksrapporter, nätfiskerapporter och motpartsvarningar, inte DNS.

Hur snabbt stoppar p=reject faktiskt förfalskningen? DNS-ändringar når mottagare inom timmar, och Gmail, Outlook och de flesta stora leverantörer tillämpar DMARC-domar — exakt-domänförfalskningar börjar dö den dag policyn landar. Två ärliga begränsningar: mindre mottagare som aldrig kontrollerar DMARC kan fortfarande leverera falska mejl, och att tillämpa innan dina egna avsändare anpassas blockerar din legitima e-post — accelerera stadierna, hoppa inte över dem.

Skicka ägaren rapporten

Om du är IT-konsulten som hanterar detta: när posterna är live, kör om sökningen och vidarebefordra den graderade rapporten till företagsägaren. Den visar, på klarspråk, vad som lät förfalskningen hända, vad du ändrade och var domänen befinner sig nu — det skriftliga svaret på “är vi säkra nu?”, och beviset för försäkringsförnyelsen eller kundenkäten. Om du är ägaren: be om exakt den rapporten och spara före och efter.

Kontrollera om din domän kan förfalskas kostnadsfritt

Se om en okänds server för tillfället kan passera som du — och exakt vad du ska åtgärda — privat och enbart för ägaren.

Kontrollera din domän → · Från p=none till p=reject → · Åtgärda DMARC → · Kan någon förfalska min domän? → · Enbart aggregerade data. Data lagras och behandlas inom EU.