Defaults.Exposed

Defaults.ExposedCách khắc phụcGuides

Có Người Đang Gửi Email Từ Tên Miền Của Bạn: Hướng Dẫn Ứng Phó Khẩn Cấp (2026)

Đã xuất bản 2026-07-08

Số liệu tính đến 2026-06-29 · phương pháp v7. Dữ liệu tổng hợp trên 261 triệu tên miền được chấm điểm. Xem cách chúng tôi chấm điểm.

Trước tiên hãy kiểm tra xem email giả có dùng tên miền chính xác của bạn hay tên miền giả mạo, vì cách sửa hoàn toàn khác nhau. Giả mạo tên miền chính xác có thể tắt trong DNS — và hầu hết tên miền chưa làm điều đó: 89.41% không có chính sách DMARC thực thi, và 46.4% không xuất bản SPF nào cả, theo kiểm tra Defaults.Exposed trên 261,086,232 tên miền được chấm điểm.

Đây là danh sách kiểm tra sự cố: giờ đầu tiên — xác nhận những gì đang xảy ra mà không làm tệ hơn; ngày đầu tiên — đóng cửa mở, hoặc bắt đầu gỡ xuống nếu cửa không phải của bạn; tuần đầu tiên — theo dõi, cảnh báo những người có thể bị ảnh hưởng, thực thi. Chỉ tự hỏi liệu điều này có thể xảy ra không? Bắt đầu với ai đó có thể giả mạo tên miền của tôi không? — trang này dành cho khi nó đã đang xảy ra.

Trước tiên: đó thực sự là tên miền của bạn, hay là bản sao?

Lấy một trong những email giả và đọc địa chỉ người gửi từng ký tự. Mọi thứ tiếp theo phụ thuộc vào điều này:

Địa chỉ From hiển thị gìĐiều gì đang xảy raCon đường của bạn
[email protected] — tên miền của bạn, đánh vần chính xácGiả mạo: máy chủ của người lạ đang làm giả tên miền của bạn trong dòng From. Hệ thống của bạn KHÔNG bị hack.Sửa DNS — SPF, DKIM, DMARC thực thi. Con đường 1.
[email protected], yourcompany-billing.com, yourcompany.co — gần giống, nhưng không phải của bạnTên miền giả mạo mà người khác đã đăng ký. DNS của bạn không bao giờ được tham vấn.Gỡ xuống + cảnh báo. Con đường 2.
Địa chỉ chính xác của bạn, và các tin nhắn nằm trong thư mục Đã gửi của bạn hoặc trả lời các chủ đề thực sựTài khoản bị xâm phạm — ai đó đang trong hộp thư thực sự. Một sự cố khác.Thay đổi mật khẩu, thu hồi phiên, bật 2FA, kiểm tra quy tắc chuyển tiếp — trước bất kỳ thứ gì khác.

Dữ liệu tính đến 2026-06-29.

Hàng in đậm là phổ biến nhất và có thể sửa nhất. Giao thức cốt lõi của email không bao giờ xác minh dòng From — bất kỳ ai cũng có thể gõ tên miền của bạn vào đó — vì vậy bản sửa là xuất bản các bản ghi DNS cho phép máy chủ nhận tự kiểm tra. Các con số kiểm tra khó chịu: 121,145,609 trong số 261,086,232 tên miền được chấm điểm (46.4%) không xuất bản bản ghi SPF nào cả, và 36,014 trong số 138,927,207 tên miền xuất bản SPF kết thúc bằng +all — theo nghĩa đen ủy quyền toàn bộ internet gửi như chúng (dữ liệu tính đến 2026-06-29).

Giờ đầu tiên: xác nhận, đừng phản ứng

  1. Chạy quét miễn phí tại defaults.exposed. Ba mươi giây, không cần đăng ký. Nó cho bạn biết tên miền của bạn hiện có thể bị giả mạo không — SPF có và nghiêm ngặt hay không, DMARC được thực thi hay không — trước khi bạn đụng vào DNS.
  2. Đừng trả lời email giả, đừng nhấp vào bất cứ thứ gì trong đó, và chưa gửi email hàng loạt cho danh bạ của bạn. Một email hoảng loạn “bỏ qua email từ chúng tôi!” từ cùng tên miền trông chính xác như trò lừa đảo. Cảnh báo đến sau, có mục tiêu và qua kênh khác.
  3. Thu thập một mẫu đầy đủ với header hoàn chỉnh. Nhờ người nhận chuyển tiếp email giả như một tệp đính kèm (Gmail: “Hiển thị bản gốc” → tải xuống; Outlook: “Xem nguồn tin nhắn”). Ảnh chụp màn hình dòng From không đủ — header là bằng chứng cho mọi thứ tiếp theo.
  4. Đọc phán quyết mà máy chủ nhận đã đưa ra. Trong header, tìm Authentication-Results:dmarc=fail đối với tên miền chính xác của bạn xác nhận giả mạo tên miền của bạn; tên miền giả mạo trong header.from= xác nhận con đường 2. Một điểm tinh tế: máy chủ nhận đánh giá SPF dựa trên tên miền Return-Path (RFC5321.MailFrom, địa chỉ bounce), không phải header From mà người nhận thấy — một email giả mạo thậm chí có thể hiển thị spf=pass cho tên miền của kẻ spam trong khi làm giả tên miền của bạn trong From. Kiểm tra căn chỉnh của DMARC đóng chính xác khoảng trống đó.

Con đường 1 — đó là tên miền chính xác của bạn: ngày đầu tiên

Giả mạo tên miền chính xác của bạn chỉ hoạt động khi DNS của bạn không nói gì để máy chủ nhận có thể từ chối nó. Hôm nay bạn xuất bản (hoặc thắt chặt) ba bản ghi; thực thi theo trong tuần.

  1. SPF: xuất bản một bản ghi liệt kê người gửi thực sự của bạn, kết thúc bằng -all (“tất cả người khác: thất bại”). Nếu của bạn kết thúc bằng +all hoặc ?all, hãy sửa điều đó trước — đó là cửa mở bạn tự xuất bản. Hướng dẫn: cách sửa SPF, thao tác nhà cung cấp tại SPF trên GoDaddy.
  2. DKIM: bật ký tên miền trong nhà cung cấp email của bạn và mọi công cụ newsletter/hóa đơn (thường là vài bản ghi CNAME cho mỗi cái).
  3. DMARC: xuất bản v=DMARC1; p=none; rua=mailto:... hôm nay để báo cáo bắt đầu chạy; p=reject là dự án của tuần này, không phải giờ này — tham khảo đầy đủ tại cách sửa DMARC. Nếu tên miền không gửi email hợp lệ nào cả — thương hiệu cũ, tên miền đỗ — hãy bỏ qua sự thận trọng và khóa nó ngay hôm nay: tên miền cũ từ việc đổi thương hiệu của bạn là cánh cửa bạn để mở.

Cảnh báo thành thật, trước khi bạn thư giãn: chính sách DMARC thực thi nói với máy chủ nhận phải bỏ hoặc từ chối các giả mạo tên miền chính xác — và các nhà cung cấp lớn tuân thủ điều đó. Nhưng nó chỉ ràng buộc các máy chủ nhận kiểm tra nó, và nó không làm gì gì đối với tên miền giả mạo: một khi những kẻ xấu không thể gửi như yourcompany.com, đăng ký yourcompany-billing.com chỉ tốn vài euro. DMARC thu hẹp cuộc tấn công; nó không kết thúc câu chuyện — các bước trong tuần đầu cũng quan trọng với bạn.

Con đường 2 — đó là tên miền giả mạo: đây không phải bản sửa DNS

Không có bản ghi nào bạn xuất bản trên tên miền của bạn ảnh hưởng đến thư từ tên miền bạn không sở hữu — không có gì trong DNS của bạn thậm chí được tra cứu. Kế hoạch là gỡ xuống cộng với cảnh báo:

  1. Tìm ai đứng sau tên miền giả mạo. Tra cứu nó trong RDAP/WHOIS (ví dụ lookup.icann.org) để lấy nhà đăng ký của nó, và kiểm tra xem nó có lưu trữ website không.
  2. Báo cáo đến liên hệ lạm dụng của nhà đăng ký với mẫu header đầy đủ được đính kèm — các nhà đăng ký đình chỉ tên miền lừa đảo mỗi ngày; bằng chứng rõ ràng làm cho nó nhanh. Website lừa đảo? Báo cáo cho máy chủ, Google Safe Browsing và Microsoft SmartScreen cũng vậy.
  3. Báo cáo email như lừa đảo trong các hộp thư nhận (Gmail/Outlook “Báo cáo lừa đảo”) — điều này đào tạo các bộ lọc lớn chống lại tên miền giả mạo nhanh hơn bất kỳ thư nào.
  4. Cảnh báo các mục tiêu có thể bị ảnh hưởng qua kênh khác — bước thực sự ngăn tiền rời đi. Gọi điện hoặc nhắn tin (không chỉ email) cho khách hàng, nhà cung cấp và kế toán của bạn: nêu tên tên miền giả, và làm cho mọi thay đổi thông tin ngân hàng “từ bạn” có thể xác minh qua điện thoại. Thói quen đó là sự bảo vệ tốt nhất chống lại câu chuyện gian lận hóa đơn bạn đã nghe.
  5. Nếu tên miền giả mạo lạm dụng nhãn hiệu của bạn, khiếu nại UDRP có thể chuyển tên miền — chậm hơn gỡ xuống, nhưng vĩnh viễn.

Và dù sao cũng chạy con đường 1: những kẻ tấn công hiếm khi bận tâm với tên miền giả mạo trong khi tên miền thực sự vẫn mở, và 89.41% tên miền không có DMARC thực thi (chỉ 27,640,987 trong số 261,086,232 — 10.59% — có, tính đến 2026-06-29). Hãy đóng cửa của mình bất kể.

Tuần đầu tiên: theo dõi, cảnh báo, thực thi

  1. Đọc báo cáo DMARC của bạn. Trong vòng một đến hai ngày sau khi thẻ rua= được kích hoạt, báo cáo tổng hợp hiển thị mọi máy chủ gửi như tên miền của bạn — những cái thực sự của bạn và kẻ giả mạo, với khối lượng và phán quyết. Đây là cách bạn theo dõi cuộc tấn công tắt dần.
  2. Xác nhận người gửi hợp lệ của bạn vượt qua. Mọi nguồn thực sự (nhà cung cấp thư, công cụ newsletter, ứng dụng hóa đơn, form liên hệ website) phải vượt qua SPF hoặc DKIM căn chỉnh với tên miền của bạn trước khi bạn thực thi — nếu không reject cũng chặn thư của bạn.
  3. Tăng cường DMARC lên p=quarantine, rồi p=reject. Dưới áp lực giả mạo tích cực bạn nén vài tháng thông thường thành một đến hai tuần — nhưng bạn nén các giai đoạn, không bỏ qua chúng. Triển khai theo giai đoạn, tăng pct, chính sách subdomain và những gì cần xem: từ p=none đến p=reject mà không mất email hợp lệ.
  4. Gửi một thông báo bình tĩnh, có mục tiêu cho đối tác có thể đã nhận email giả: điều gì đã xảy ra, email giả đòi hỏi gì, quy tắc xác minh qua điện thoại cho thay đổi thanh toán, và (con đường 2) tên miền giả mạo chính xác cần chặn.
  5. Quét lại và lưu báo cáo. Các công ty bảo hiểm và khách hàng ngày càng hỏi bạn đã làm gì về bảo mật email; báo cáo được chấm điểm có ngày tháng trả lời bằng văn bản.

Câu hỏi thường gặp

Tôi nhận được email lừa đảo từ địa chỉ của mình. Tôi có bị hack không? Hầu như không — email tống tiền “từ bạn, đến bạn” là cùng thủ thuật giả mạo, khai thác thực tế là tên miền của bạn không từ chối email giả. Kiểm tra thư mục Đã gửi và đăng nhập gần đây; nếu sạch, đó là giả mạo, và chính sách DMARC thực thi ngăn biến thể đó tại các máy chủ nhận tuân thủ nó. Tính đến 2026-06-29, 89.41% trong số 261,086,232 tên miền được chấm điểm chưa làm điều này.

DMARC có ngăn email tên miền giả mạo không? Không. Chính sách DMARC của bạn chỉ quản lý tên miền chính xác của bạn (và các subdomain của nó) — tên miền giả mạo là tên miền của người khác với DNS riêng của nó, không bao giờ được kiểm tra dựa trên bản ghi của bạn. Tên miền giả mạo được đấu tranh bằng báo cáo lạm dụng nhà đăng ký, báo cáo lừa đảo và cảnh báo đối tác, không phải DNS.

p=reject sẽ thực sự ngăn giả mạo nhanh bao lâu? Thay đổi DNS đến máy chủ nhận trong vài giờ, và Gmail, Outlook và hầu hết các nhà cung cấp lớn thực thi phán quyết DMARC — các giả mạo tên miền chính xác bắt đầu tắt dần ngày chính sách được áp dụng. Hai giới hạn thành thật: các máy chủ nhận nhỏ hơn không bao giờ kiểm tra DMARC vẫn có thể gửi email giả, và thực thi trước khi người gửi của bạn căn chỉnh sẽ chặn thư hợp lệ của bạn — tăng tốc các giai đoạn, đừng bỏ qua chúng.

Gửi báo cáo cho chủ sở hữu

Nếu bạn là nhà thầu IT xử lý điều này: sau khi các bản ghi được kích hoạt, chạy lại quét và chuyển tiếp báo cáo được chấm điểm cho chủ doanh nghiệp. Nó hiển thị, bằng ngôn ngữ đơn giản, điều gì đã để giả mạo xảy ra, bạn đã thay đổi gì và tên miền đứng ở đâu bây giờ — câu trả lời viết cho “chúng ta an toàn chưa?”, và bằng chứng cho gia hạn bảo hiểm hoặc bảng câu hỏi khách hàng. Nếu bạn là chủ sở hữu: hãy yêu cầu chính xác báo cáo đó, và giữ cả trước và sau.

Kiểm tra miễn phí xem tên miền của bạn có thể bị giả mạo không

Xem liệu máy chủ của người lạ hiện có thể vượt qua như bạn không — và chính xác những gì cần sửa — một cách riêng tư và chỉ dành cho chủ sở hữu.

Kiểm tra tên miền của bạn → · Từ p=none đến p=reject → · Sửa DMARC → · Ai đó có thể giả mạo tên miền của tôi không? → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý ở EU.