Defaults.Exposed › การแก้ไข › Guides
มีคนส่งอีเมลจากโดเมนของคุณ: คู่มือการตอบสนองฉุกเฉิน (2026)
เผยแพร่ 2026-07-08
ตัวเลข ณ 2026-06-29 · methodology v7. ข้อมูล census รวมจากโดเมนที่ผ่านการให้คะแนน 261 ล้านโดเมน ดู วิธีที่เราให้คะแนน
ตรวจสอบก่อนว่าอีเมลปลอมใช้โดเมนจริงของคุณหรือ lookalike เพราะการแก้ไขต่างกันโดยสิ้นเชิง Exact-domain spoofing สามารถปิดได้ใน DNS — และโดเมนส่วนใหญ่ยังไม่ได้ทำ: 89.41% ไม่มีนโยบาย DMARC ที่บังคับใช้ และ 46.4% ไม่มี SPF เลย ตาม census ของ Defaults.Exposed จากโดเมน 261,086,232 ที่ผ่านการให้คะแนน
นี่คือ incident checklist: ชั่วโมงแรก — ยืนยันสิ่งที่เกิดขึ้นโดยไม่ทำให้แย่ลง; วันแรก — ปิดประตูที่เปิดอยู่ หรือเริ่ม takedown ถ้าประตูไม่ใช่ของคุณ; สัปดาห์แรก — monitor แจ้งคนที่อาจโดนผลกระทบ enforce แค่ถามว่ามันจะ เกิดขึ้นได้หรือไม่? เริ่มจาก มีใครสามารถ spoof โดเมนของฉันได้หรือไม่? — หน้านี้สำหรับเมื่อมันกำลังเกิดขึ้นแล้ว
อันดับแรก: เป็นโดเมนจริงของคุณจริงๆ หรือเป็นของเลียนแบบ?
รับอีเมลปลอมหนึ่งฉบับและอ่านที่อยู่ผู้ส่าน ทีละตัวอักษร ทุกอย่างที่ตามมาขึ้นอยู่กับสิ่งนี้:
| สิ่งที่ From address แสดง | สิ่งที่เกิดขึ้น | เส้นทางของคุณ |
|---|---|---|
[email protected] — โดเมนของคุณ สะกดถูกต้องทุกตัว | Spoofing: เซิร์ฟเวอร์ของคนแปลกหน้ากำลัง forge โดเมนของคุณในบรรทัด From ระบบของคุณ NOT ถูก hack | DNS fix — SPF, DKIM, enforced DMARC เส้นทาง 1 |
[email protected], yourcompany-billing.com, yourcompany.co — ใกล้เคียง แต่ไม่ใช่ของคุณ | โดเมน lookalike ที่คนอื่นลงทะเบียน DNS ของคุณไม่เคยถูกปรึกษา | Takedown + warnings เส้นทาง 2 |
| ที่อยู่จริงของคุณ และข้อความอยู่ใน Sent folder ของคุณเองหรือตอบกลับ thread จริง | การประนีประนอมของบัญชี — มีคนอยู่ใน mailbox จริง เป็น incident ที่ต่างกัน | เปลี่ยนรหัสผ่าน เพิกถอน sessions เปิดใช้งาน 2FA ตรวจสอบ forwarding rules — ก่อนสิ่งอื่นใด |
ข้อมูล ณ 2026-06-29
แถวที่ตัวหนาพบบ่อยที่สุดและแก้ไขได้มากที่สุด protocol core ของอีเมลไม่เคยตรวจสอบบรรทัด From — ใครก็ได้สามารถพิมพ์โดเมนของคุณเข้าไป — ดังนั้นการแก้ไขคือการเผยแพร่ DNS records ที่ให้ผู้รับตรวจสอบเอง ตัวเลข census ที่น่าอึดอัด: 121,145,609 จากโดเมน 261,086,232 ที่ผ่านการให้คะแนน (46.4%) ไม่มี SPF record เลย และ 36,014 จากโดเมน 138,927,207 ที่เผยแพร่ SPF จบด้วย +all — อนุญาตอินเทอร์เน็ตทั้งหมดตามตัวอักษรให้ส่งในนามพวกเขา (ข้อมูล ณ 2026-06-29)
ชั่วโมงแรก: ยืนยัน อย่าตอบสนองโดยอารมณ์
- รัน free scan ที่ defaults.exposed สามสิบวินาที ไม่ต้องสมัคร มันบอกว่าโดเมนของคุณปัจจุบัน spoof ได้หรือไม่ — SPF มีอยู่และเข้มงวดหรือไม่ DMARC บังคับใช้หรือไม่ — ก่อนที่คุณจะแตะ DNS
- อย่าตอบกลับอีเมลปลอม อย่าคลิกอะไรในนั้น และอย่าส่งอีเมลจำนวนมากหาผู้ติดต่อของคุณตอนนี้ การส่ง blast “เพิกเฉยอีเมลจากเรา!” แบบตื่นตกใจจากโดเมนเดียวกันดูเหมือน scam เองทุกประการ คำเตือนมาทีหลัง กำหนดเป้าหมายและนอกช่องทาง
- รวบรวมตัวอย่างหนึ่งรายการพร้อม complete headers ขอให้ผู้รับ forward อีเมลปลอม เป็น attachment (Gmail: “Show original” → download; Outlook: “View message source”) screenshot ของบรรทัด From ไม่เพียงพอ — headers คือหลักฐานสำหรับทุกอย่างที่ตามมา
- อ่านคำตัดสินที่เซิร์ฟเวอร์ผู้รับได้ทำแล้ว ใน headers ค้นหา
Authentication-Results:—dmarc=failกับโดเมนจริงของคุณยืนยันการ spoofing ของ โดเมนคุณ; lookalike ในheader.from=ยืนยันเส้นทาง 2 ความละเอียดอ่อนหนึ่งอย่าง: ผู้รับประเมิน SPF กับ Return-Path domain (RFC5321.MailFrom ที่อยู่ bounce) ไม่ใช่ From header ที่ผู้รับเห็น — อีเมล spoof สามารถแสดงspf=passสำหรับ โดเมนของ spammer ในขณะที่ forge ของคุณใน From การตรวจสอบ alignment ของ DMARC ปิดช่องว่างนั้นพอดี
เส้นทาง 1 — เป็นโดเมนจริงของคุณ: วันแรก
การ spoof โดเมนจริงของคุณทำงานได้เฉพาะตอนที่ DNS ของคุณไม่มีอะไรที่ให้ผู้รับปฏิเสธมัน วันนี้คุณเผยแพร่ (หรือเพิ่มความเข้มงวด) สาม records; enforcement ตามในสัปดาห์นี้
- SPF: เผยแพร่ record หนึ่งรายการที่ระบุผู้ส่งจริงของคุณ สิ้นสุดด้วย
-all(“คนอื่นทั้งหมด: fail”) ถ้าของคุณสิ้นสุดด้วย+allหรือ?allแก้ไขนั้นก่อน — มันคือประตูเปิดที่คุณเผยแพร่เอง walk-through: วิธีแก้ไข SPF provider clicks ที่ SPF บน GoDaddy - DKIM: เปิดใช้งาน domain signing ในผู้ให้บริการอีเมลและ newsletter/invoicing tools ของคุณ (มักเป็น CNAME records สองสามรายการต่อหนึ่ง)
- DMARC: เผยแพร่
v=DMARC1; p=none; rua=mailto:...วันนี้เพื่อให้ reports เริ่มไหล;p=rejectคือโปรเจกต์สัปดาห์นี้ ไม่ใช่ชั่วโมงนี้ — reference ครบที่ วิธีแก้ไข DMARC ถ้าโดเมนไม่ส่งอีเมลที่ถูกต้องเลย — แบรนด์เก่า โดเมน parked — ข้ามความระมัดระวังและล็อคลงวันนี้: โดเมนเก่าจากการ rebrand คือประตูที่คุณปล่อยเปิดไว้
ข้อแม้ที่ซื่อสัตย์ ก่อนที่คุณจะผ่อนคลาย: นโยบาย DMARC ที่บังคับใช้บอกเซิร์ฟเวอร์ผู้รับให้ทิ้งหรือปฏิเสธการ forge โดเมนจริง — และ provider รายใหญ่ให้เกียรติมัน แต่มันเฉพาะผู้รับที่ตรวจสอบเท่านั้น และ ไม่ทำอะไรกับโดเมน lookalike เลย: เมื่อพวกผู้หลอกลวงไม่สามารถส่งในนาม yourcompany.com การลงทะเบียน yourcompany-billing.com มีค่าแค่ไม่กี่ยูโร DMARC ลดขนาดการโจมตี ไม่ได้จบเรื่องราว — ขั้นตอนสัปดาห์แรกสำคัญสำหรับคุณด้วย
เส้นทาง 2 — เป็น lookalike: นี่ไม่ใช่ DNS fix
ไม่มี record ที่คุณเผยแพร่บนโดเมนของคุณที่ส่งผลต่ออีเมลจากโดเมนที่คุณไม่ได้เป็นเจ้าของ — ไม่มีสิ่งใดใน DNS ของคุณที่ถูกมองถึงเลย แผนการคือ takedown พร้อม warnings:
- ค้นหาว่าใครอยู่เบื้องหลัง lookalike ค้นหาใน RDAP/WHOIS (เช่น
lookup.icann.org) เพื่อรับ registrar และตรวจสอบว่ามีเว็บไซต์หรือไม่ - รายงานไปยัง abuse contact ของ registrar พร้อม full-header sample ที่แนบมา — registrars ระงับ phishing domains ทุกวัน หลักฐานที่ชัดเจนทำให้เร็วขึ้น มีเว็บไซต์ phishing? รายงานไปยัง host, Google Safe Browsing และ Microsoft SmartScreen ด้วย
- รายงานอีเมลว่าเป็น phishing ใน receiving mailboxes (Gmail/Outlook “Report phishing”) — สิ่งนี้ฝึก filter รายใหญ่ต่อต้าน lookalike เร็วกว่าจดหมายใดๆ
- แจ้งเป้าหมายที่น่าจะได้รับผลกระทบนอกช่องทาง — ขั้นตอนที่หยุดเงินออกจริงๆ โทรหรือส่งข้อความ (อย่าแค่อีเมล) ลูกค้า ซัพพลายเออร์ และ bookkeeper ของคุณ: ระบุโดเมนปลอม และทำให้การเปลี่ยนข้อมูลธนาคาร “จากคุณ” สามารถตรวจสอบได้ทางโทรศัพท์ นิสัยนั้นคือการป้องกันที่ดีที่สุดต่อ เรื่องราวการหลอกลวง invoice ที่คุณได้ยิน
- ถ้า lookalike ละเมิดเครื่องหมายการค้าของคุณ การร้องเรียน UDRP สามารถโอนโดเมน — ช้ากว่า takedown แต่ถาวร
และรันเส้นทาง 1 ต่อไป: ผู้โจมตีไม่ค่อยยุ่งกับ lookalike ในขณะที่โดเมนจริงยังเปิดอยู่ และ 89.41% ของโดเมนไม่มี DMARC ที่บังคับใช้ (มีเพียง 27,640,987 จาก 261,086,232 — 10.59% — ที่มี ณ 2026-06-29) ปิดประตูของคุณเองโดยไม่คำนึงถึง
สัปดาห์แรก: monitor แจ้ง enforce
- อ่าน DMARC reports ของคุณ ภายในหนึ่งหรือสองวันหลังจาก
rua=tag ไปถึง aggregate reports แสดงทุกเซิร์ฟเวอร์ที่ส่งในนามโดเมนของคุณ — รายการจริงของคุณและผู้ spoof พร้อมปริมาณและคำตัดสิน นี่คือวิธีที่คุณดูการโจมตีตาย - ยืนยันว่า legitimate senders ของคุณผ่าน ทุก real source (mail provider, newsletter tool, invoicing app, website contact form) ต้องผ่าน SPF หรือ DKIM แบบ aligned กับโดเมนของคุณก่อนที่คุณจะ enforce — มิฉะนั้น reject บล็อกอีเมลของคุณเองด้วย
- เพิ่มระดับ DMARC ไปสู่
p=quarantineแล้วp=rejectภายใต้การ spoofing ที่ active คุณบีบระยะเวลาปกติหลายเดือนให้เป็นหนึ่งหรือสองสัปดาห์ — แต่คุณบีบ stages ไม่ได้ข้าม staged rollout,pctramp และ subdomain policy: จาก p=none ไปสู่ p=reject โดยไม่สูญเสียอีเมลที่ถูกต้อง - ส่งประกาศที่สงบและกำหนดเป้าหมาย ไปยังคู่สัญญาที่อาจได้รับอีเมลปลอม: สิ่งที่เกิดขึ้น สิ่งที่อีเมลปลอมขอ กฎการตรวจสอบทางโทรศัพท์สำหรับการเปลี่ยนแปลงการชำระเงิน และ (เส้นทาง 2) โดเมน lookalike ที่แน่นอนที่จะ block
- สแกนอีกครั้งและเก็บ report บริษัทประกันและลูกค้าถามมากขึ้นว่าคุณทำอะไรกับความปลอดภัยอีเมล graded report ที่มีวันที่ตอบเป็นลายลักษณ์อักษร
คำถามที่พบบ่อย
ฉันได้รับอีเมล scam จากที่อยู่ของตัวเอง ฉันถูก hack หรือไม่? เกือบทุกครั้งไม่ — อีเมลแบล็กเมล์ “จากคุณ ถึงคุณ” เป็นกลลวง forge เดียวกัน ใช้ประโยชน์จากความจริงที่ว่าโดเมนของคุณไม่ปฏิเสธของปลอม ตรวจสอบ Sent folder และการเข้าสู่ระบบล่าสุด ถ้าสะอาด มันคือ spoofing และนโยบาย DMARC ที่บังคับใช้หยุดตัวแปรนั้นที่ผู้รับที่ให้เกียรติมัน ณ 2026-06-29 89.41% ของโดเมน 261,086,232 ที่ผ่านการให้คะแนนยังไม่ได้ทำสิ่งนี้
DMARC จะหยุดอีเมล lookalike-domain หรือไม่? ไม่ นโยบาย DMARC ของคุณควบคุมเฉพาะโดเมนจริงของคุณ (และ subdomains ของมัน) — lookalike คือโดเมนของคนอื่นที่มี DNS ของตัวเอง ไม่เคยถูกตรวจสอบกับ records ของคุณ Lookalikes ต้องต่อสู้ด้วยการรายงาน registrar abuse รายงาน phishing และคำเตือนคู่สัญญา ไม่ใช่ DNS
p=reject จะหยุดการ spoofing เร็วแค่ไหนจริงๆ? DNS changes ถึงผู้รับภายในไม่กี่ชั่วโมง และ Gmail, Outlook และ provider รายใหญ่ส่วนใหญ่บังคับใช้คำตัดสิน DMARC — exact-domain forgeries เริ่มตายวันที่นโยบาย lands ข้อจำกัดที่ซื่อสัตย์สองข้อ: ผู้รับขนาดเล็กที่ไม่เคยตรวจสอบ DMARC อาจยังส่งของปลอม และการ enforce ก่อนที่ผู้ส่งของคุณจะ align บล็อกอีเมลที่ถูกต้องของคุณ — เร่ง stages อย่าข้าม
ส่ง report ให้เจ้าของ
ถ้าคุณเป็น IT contractor ที่จัดการเรื่องนี้: เมื่อ records ไปถึงแล้ว รัน scan อีกครั้งและส่ง graded report ให้เจ้าของธุรกิจ มันแสดงในภาษาธรรมดาว่าอะไรที่ทำให้เกิดการ spoofing สิ่งที่คุณเปลี่ยน และที่โดเมนอยู่ตอนนี้ — คำตอบที่เป็นลายลักษณ์อักษรต่อ “ตอนนี้เราปลอดภัยหรือยัง?” และหลักฐานสำหรับการต่ออายุประกันหรือ customer questionnaire ถ้าคุณเป็นเจ้าของ: ขอ report นั้นพอดี และเก็บทั้งก่อนและหลัง
ตรวจสอบว่าโดเมนของคุณ spoof ได้หรือเปล่าฟรี
ดูว่าเซิร์ฟเวอร์ของคนแปลกหน้าปัจจุบันสามารถผ่านในฐานะคุณได้หรือไม่ และต้องแก้ไขอะไรพอดี — แบบส่วนตัวและเจ้าของเท่านั้น
ตรวจสอบโดเมนของคุณ → · จาก p=none ไปสู่ p=reject → · แก้ไข DMARC → · มีใครสามารถ spoof โดเมนของฉันได้หรือไม่? → · ข้อมูลรวมเท่านั้น ข้อมูลจัดเก็บและประมวลผลใน EU