Defaults.Exposed › Báo cáo
Người khác có thể gửi email giả danh doanh nghiệp của bạn không? Với hầu hết tên miền, câu trả lời là có (2026)
Đã xuất bản 2026-06-29
Số liệu tính đến 2026-06-29 · phương pháp luận v7. Dữ liệu tổng điều tra tổng hợp trên 261 triệu tên miền được chấm điểm. “Có thể bị giả mạo” nghĩa là tên miền không thực thi DMARC (không có chính sách cách ly hoặc từ chối), biện pháp kiểm soát yêu cầu các máy chủ thư nhận dừng thư giả mạo. Xem cách chúng tôi chấm điểm.
Đối với hầu hết doanh nghiệp, có — ai đó có thể gửi email trông giống hệt như đến từ tên miền của bạn. Chỉ 10.59% trong số 261 triệu tên miền chúng tôi đã chấm điểm thực thi DMARC, biện pháp kiểm soát duy nhất thực sự chặn được hành vi mạo danh. 89.41% còn lại để cửa mở: kẻ lừa đảo có thể đặt chính xác địa chỉ của bạn vào dòng “Từ” và hầu hết hộp thư đến sẽ hiển thị nó là chính thống. Đây là cơ chế đằng sau các hóa đơn giả, yêu cầu thanh toán kiểu lừa đảo-CEO và các vụ lừa đảo nhà cung cấp — và việc thử không tốn chi phí gì.
Có ai đó thực sự gửi được email với danh nghĩa tên miền của tôi không?
Nếu tên miền của bạn không thực thi DMARC, thì có. Email được thiết kế mà không có cách xác minh người gửi tích hợp sẵn, nên địa chỉ “Từ” cực kỳ dễ giả mạo. Ba thiết lập, xếp lớp, sẽ khắc phục điều đó — SPF, DKIM và DMARC — nhưng chỉ có cái cuối cùng, được đặt ở mức thực thi, mới yêu cầu máy chủ nhận thực sự từ chối hoặc cách ly một bản giả mạo. Tính đến 2026-06-29:
- 75.11% tên miền hoàn toàn không có bản ghi DMARC.
- 14.29% có bản ghi DMARC được đặt ở chế độ chỉ giám sát (
p=none) — nó trông giống như sự bảo vệ trong một cuộc kiểm toán, nhưng nó yêu cầu người nhận không làm gì cả, nên thư giả mạo vẫn lọt vào. - Chỉ 10.59% thực thi chính sách
quarantinehoặcreject— cấu hình ngăn chặn hành vi mạo danh.
Vậy nên 89.41% tên miền — hơn tám trên mười — có thể bị mạo danh trong email ngày nay.
”Nhưng chúng tôi có SPF” — vì sao điều đó là chưa đủ
Đây là quan niệm sai lầm phổ biến nhất và nguy hiểm nhất. 53.21% tên miền công bố bản ghi SPF, nhiều hơn rất nhiều so với 10.59% thực thi DMARC. Chủ sở hữu thấy SPF và cho rằng mình đã được bảo vệ. Họ thì không: SPF (và DKIM) kiểm tra đường dẫn gửi kỹ thuật, nhưng không chi phối địa chỉ “Từ” mà một con người thực sự nhìn thấy. Nếu không có DMARC được đặt ở mức thực thi, kẻ tấn công vẫn có thể vượt qua SPF trên hạ tầng của chính họ và giả mạo địa chỉ hiển thị của bạn. SPF là đường ống cần thiết; thực thi DMARC là ổ khóa.
Góc của bạn trên web bị phơi bày đến mức nào?
Mức độ thực thi khác nhau rất nhiều theo đuôi tên miền. Cao hơn là tốt hơn — đó là tỷ lệ tên miền thực sự chặn được hành vi mạo danh. Tính đến 2026-06-29:
| Đuôi tên miền | Thực thi DMARC | Có thể bị mạo danh |
|---|---|---|
| .nl (Hà Lan) | 29.43% | 29.43% được bảo vệ, phần còn lại bị phơi bày |
| .de (Đức) | 21.38% | — |
| .in (Ấn Độ) | 19.26% | — |
| .uk (Vương quốc Anh) | 13.42% | — |
| .com | 9.50% | đuôi được dùng nhiều nhất nằm dưới mức trung bình toàn cầu 10.59% |
| .net | 10.08% | — |
| .org | 10.01% | — |
| .xyz | 5.15% | — |
| .top | 3.17% | — |
| .cn (Trung Quốc) | 1.45% | thấp nhất trong các đuôi lớn |
Ngay cả đuôi lớn có hiệu suất tốt nhất cũng bảo vệ chưa đến một phần ba số tên miền của nó. Trên .com — nơi hầu hết doanh nghiệp tồn tại — chỉ 9.50% thực thi DMARC.
Điều này thực sự khiến doanh nghiệp tốn kém ra sao
Mạo danh email là cơ chế đằng sau một số tội phạm trực tuyến tốn kém nhất được báo cáo cho cơ quan thực thi pháp luật trên toàn thế giới — xâm phạm email doanh nghiệp (BEC). Khuôn mẫu luôn giống nhau:
- Một khách hàng nhận được “hóa đơn” từ địa chỉ của bạn với thông tin ngân hàng của kẻ lừa đảo, thanh toán nó, và phát hiện ra vụ lừa đảo nhiều tuần sau — thường coi đó là lỗi của bạn.
- Một nhân viên nhận được yêu cầu khẩn cấp “từ sếp” để chuyển tiền hoặc mua thẻ quà tặng. Địa chỉ đúng là của bạn thật, nên họ tuân theo.
- Một nhà cung cấp được thông báo “thông tin ngân hàng của chúng tôi đã thay đổi” trong một email vượt qua mọi sự kiểm tra bằng mắt.
Không điều nào trong số này đòi hỏi phải hack hệ thống của bạn. Nó chỉ đòi hỏi tên miền của bạn không thực thi DMARC — điều mà, với 89.41% tên miền, là đúng như vậy.
Cách biết bạn có được bảo vệ hay không (và khắc phục)
Bạn không thể biết từ bên ngoài liệu bạn có nằm trong 10.59% hay không — cách duy nhất để biết là kiểm tra tên miền của bạn. Việc khắc phục là miễn phí và thường mất một buổi chiều, thực hiện theo thứ tự: công bố SPF và DKIM, sau đó chuyển DMARC sang thực thi (p=none → quarantine → reject). Bước cuối cùng là bước thực sự đóng cửa lại.
Câu hỏi thường gặp
Có ai đó gửi được email giả danh công ty của tôi không? Nếu tên miền của bạn không thực thi DMARC (chính sách cách ly hoặc từ chối), thì có — địa chỉ “Từ” chính xác của bạn có thể bị giả mạo và hầu hết hộp thư đến sẽ hiển thị nó là chính thống. Tính đến 2026-06-29, 89.41% tên miền được chấm điểm đang ở trạng thái này.
Chúng tôi đã có SPF rồi — vậy chẳng phải an toàn sao?
Không. SPF kiểm tra đường dẫn gửi kỹ thuật chứ không phải địa chỉ “Từ” hiển thị. 53.21% tên miền công bố SPF, nhưng nếu không có DMARC được đặt ở mức thực thi, địa chỉ của bạn vẫn có thể bị giả mạo. Bạn cần DMARC ở quarantine hoặc reject.
Chẳng phải một bản ghi DMARC là đủ sao?
Chỉ khi nó thực thi. Một bản ghi được đặt là p=none (chỉ giám sát) — mà 14.29% tên miền sử dụng — chẳng làm gì để ngăn chặn giả mạo. Chỉ quarantine hoặc reject mới làm được, và chỉ 10.59% tên miền đạt đến mức đó.
Làm thế nào để kiểm tra tên miền của chính mình? Chạy một bài kiểm tra miễn phí, riêng tư (bên dưới). Chúng tôi luôn chỉ hiển thị kết quả của một tên miền cho chủ sở hữu đã xác minh của nó.
Việc khắc phục có tốn kém không? Không. SPF, DKIM và DMARC là các thiết lập DNS miễn phí. Chi phí là thời gian để thiết lập chúng theo đúng thứ tự, không phải tiền bạc.
Kiểm tra xem tên miền của bạn có thể bị mạo danh không
Đừng đoán xem bạn đang ở phía nào của 10.59%. Kiểm tra tên miền của bạn một cách riêng tư và miễn phí — bạn sẽ thấy trạng thái DMARC, SPF và DKIM của mình và chính xác cần khắc phục những gì.
Kiểm tra tên miền của bạn → · Khắc phục DMARC → · Khắc phục SPF → · Cách chúng tôi chấm điểm → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.