Defaults.Exposed › Cách khắc phục › Guides
Bảng Câu Hỏi Bảo Mật Của Khách Hàng Hỏi Về Xác Thực Email — Trả Lời (và Sửa Khoảng Trống) Trong Một Buổi Chiều (2026)
Đã xuất bản 2026-07-08
Số liệu tính đến 2026-06-29 · phương pháp v7. Dữ liệu tổng hợp trên 261 triệu tên miền được chấm điểm — chúng tôi không bao giờ xuất bản kết quả của một tên miền cụ thể. Xem cách chúng tôi chấm điểm.
Khách hàng của bạn đang hỏi vì các quy tắc bảo mật chuỗi cung ứng châu Âu giờ yêu cầu họ kiểm tra nhà cung cấp. Các câu hỏi có điểm khởi đầu hai phút: quét miễn phí chấm điểm chính xác những gì họ thăm dò. Chỉ 7.4% tên miền có xác thực email được căn chỉnh và thực thi đầy đủ, theo kiểm tra Defaults.Exposed trên 261,086,232 tên miền (tính đến 2026-06-29) — hầu hết nhà cung cấp cũng chưa thể trả lời “có”.
Đây là kế hoạch cho buổi chiều: chạy quét miễn phí, đọc báo cáo được chấm điểm một trang, trả lời trung thực những gì đã đúng, và sửa các chiến thắng nhanh miễn phí cùng ngày. Với bất kỳ thứ gì sâu hơn, báo cáo có ngày tháng cộng ghi chú khắc phục ngắn là câu trả lời tạm chấp nhận được — và tốt hơn “có” không có nền tảng.
Tại sao khách hàng lớn nhất của chúng tôi đột nhiên hỏi về bảo mật email của chúng tôi?
Không phải vấn đề cá nhân. Nếu khách hàng của bạn thuộc phạm vi NIS2 — chỉ thị mạng và thông tin bảo mật của EU — Điều 21(2)(d) buộc họ phải quản lý bảo mật chuỗi cung ứng của mình, và Quy định Thực thi của Ủy ban (EU) 2024/2690 quy định các biện pháp, đặt tên bảo mật email cụ thể. Vì vậy bộ phận mua sắm gửi bảng câu hỏi cho mọi nhà cung cấp; bạn có thể không bị bao gồm trong NIS2, nhưng đây là cách nghĩa vụ lan xuống bạn. Thời hạn và hệ quả — ở lại trong danh sách nhà cung cấp được phê duyệt — tồn tại vì khách hàng của bạn phải cho cơ quan quản lý thấy họ đã làm việc kiểm tra. (Chúng tôi đã viết về những gì NIS2 thực sự nói về xác thực email.) Các công ty bảo hiểm giờ hỏi những câu hỏi tương tự — nếu biểu mẫu gia hạn của bạn cũng đã bắt đầu, đó là phiên bản bảo hiểm của buổi chiều này.
Các câu hỏi thực sự có nghĩa gì?
Phần bảo mật email của bảng câu hỏi nhà cung cấp điển hình là bốn câu hỏi mang các từ viết tắt. Được dịch một lần, sau đó chúng ta bỏ chúng.
| Bảng câu hỏi hỏi gì | Ý nghĩa bằng ngôn ngữ đơn giản | Báo cáo quét trả lời như thế nào |
|---|---|---|
| ”Bạn có thực thi chính sách DMARC không?” (DMARC — Domain-based Message Authentication, Reporting and Conformance) | Bạn đã nói với các máy chủ thư trên thế giới phải từ chối email làm giả tên miền của bạn chưa? Hàng mà hầu hết nhà cung cấp thất bại: chỉ 7.4% trong 261,086,232 tên miền được chấm điểm có điều này căn chỉnh và thực thi (kiểm tra tính đến 2026-06-29). | Nêu và chấm điểm chính sách của bạn. “Thực thi” có nghĩa là reject hoặc quarantine; “chỉ giám sát” chưa chặn gì — hãy nói cái nào, trung thực. |
| ”SPF có được cấu hình với chính sách hạn chế không?” (SPF — Sender Policy Framework) | Bạn đã xuất bản danh sách máy chủ được phép gửi email như công ty bạn chưa — và nó có kết thúc chắc chắn (“không ai khác”) hay mơ hồ (“và có thể những người khác”) không? | Hiển thị liệu danh sách có tồn tại không, hợp lệ không, và kết thúc chắc chắn hay mềm. |
| ”Email gửi đi có được ký số (DKIM) không?” (DKIM — DomainKeys Identified Mail) | Email của bạn có mang chữ ký chống giả mạo chứng minh nó đến từ tên miền của bạn không — trong tên của bạn, không phải mặc định của nhà cung cấp? | Hiển thị liệu chữ ký có tồn tại trong tên của tên miền bạn — bẫy mặc định nhà cung cấp là khoảng trống phổ biến nhất mà quét tìm thấy. |
| ”Bạn có giám sát giả mạo tên miền không?” | Nếu ai đó gửi email giả như bạn, bạn có biết không — hay dấu hiệu đầu tiên sẽ là một cuộc gọi tức giận? | Hiển thị liệu địa chỉ báo cáo có được bật không, để các lần thử mạo danh đến với bạn. |
Mỗi cái trong số này được trả lời từ các cài đặt công khai của tên miền — không cần kiểm toán, không cần đại lý, không cần quyền truy cập vào hệ thống của bạn. Đó là lý do tại sao kế hoạch buổi chiều hoạt động. Bốn cái này cũng chỉ là các hàng email trong danh sách dài hơn: những gì bảo hiểm mạng và bảng câu hỏi nhà cung cấp kiểm tra trên tên miền của bạn liệt kê mọi kiểm soát họ thăm dò, với tỷ lệ vượt qua trên toàn internet cho mỗi cái. Trang này ở lại với buổi chiều của bạn — những gì cần trả lời, và những gì cần sửa trước.
Làm thế nào để chúng tôi trả lời trước thời hạn? Kế hoạch một buổi chiều
- Chạy quét miễn phí tại defaults.exposed — hai phút, trước khi ai đụng vào bất cứ thứ gì. Nó đọc các cài đặt công khai của tên miền và chấm điểm chính xác bốn lĩnh vực trên. Không đăng ký, không quyền truy cập email của bạn.
- Đọc báo cáo được chấm điểm. Một trang, ngôn ngữ đơn giản, có ngày tháng — mỗi điểm ánh xạ vào một câu hỏi trong bảng câu hỏi, vì vậy bạn biết câu trả lời thực sự thay vì đoán mò.
- Trả lời những gì đã đúng. Nơi báo cáo hiển thị vượt qua, hãy nói có và giải thích tại sao (“được xác minh bằng quét độc lập,” với ngày tháng).
- Sửa các chiến thắng nhanh miễn phí cùng ngày. Các khoảng trống phổ biến là các cài đặt, không phải mua sắm: danh sách người gửi kết thúc mềm (bản sửa SPF), quy tắc chống giả mạo thiếu hoặc bị kẹt trong chế độ giám sát (bản sửa DMARC), chữ ký trong tên mặc định của nhà cung cấp. Tất cả miễn phí, hầu hết là một bản ghi DNS mỗi cái — chuyển tiếp trang sửa cho người quản lý tên miền của bạn, và một số câu trả lời “không” trở thành “có” trước khi biểu mẫu được gửi lại.
- Với bất kỳ thứ gì sâu hơn, gửi báo cáo có ngày tháng kèm ghi chú khắc phục. Chuyển sang chính sách được thực thi đầy đủ đúng cách mất nhiều tuần giám sát trước — không bao giờ tuyên bố đã xong khi chưa. “Báo cáo quét độc lập được đính kèm; triển khai thực thi đang tiến hành, mục tiêu tháng Chín” là câu trả lời tạm chấp nhận được với bất kỳ nhóm mua sắm nào có năng lực. “Có” sai thì không: các nhóm mua sắm kiểm tra lại, thường chính xác bằng loại quét này.
Bảng câu hỏi này có thực sự có lợi cho chúng tôi không?
Có — vì những gì mọi người khác gửi lại. Hầu hết nhà cung cấp trả lời với “có” trơ trọi và không có gì đằng sau nó, trong khi chỉ 7.4% trong 261,086,232 tên miền được chấm điểm thực sự có thực trạng căn chỉnh-và-thực thi đang được thăm dò (kiểm tra tính đến 2026-06-29). Báo cáo được chấm điểm độc lập có ngày tháng — ngay cả một báo cáo hiển thị khoảng trống và ngày khắc phục — đánh bại “có” không có nền tảng, vì một cái có thể xác minh và cái kia là hi vọng. Bạn không được yêu cầu phải hoàn hảo; bạn được yêu cầu phải có thể kiểm tra được. Ít đối thủ cạnh tranh của bạn trong danh sách đó sẽ làm được.
Và nếu điều thực sự làm phiền bạn là câu chuyện gian lận hóa đơn từ sự kiện kết nối mạng — cùng cài đặt, cùng kiểm tra hai phút.
Câu hỏi thường gặp
Nếu tôi không thể sửa mọi thứ trước thời hạn thì sao? Gửi những gì đúng: báo cáo có ngày tháng, những gì bạn đã sửa tuần này, và kế hoạch có ngày tháng cho phần còn lại. Người xem xét chuỗi cung ứng NIS2 đánh giá liệu nhà cung cấp có quản lý rủi ro không, không phải liệu họ có hoàn hảo không — báo cáo được chấm điểm với ghi chú khắc phục là quản lý rủi ro, bằng văn bản. Những gì thất bại trong đánh giá là im lặng, hoặc tuyên bố không thể vượt qua kiểm tra lại.
Nhà thầu IT của tôi có thể xử lý điều này không? Các cài đặt miễn phí, có — danh sách người gửi, chữ ký của chính bạn, quy tắc chống giả mạo là công việc DNS thường xuyên, và các trang sửa ở trên được viết cho việc bàn giao đó. Những gì nhà thầu hợp lý gọi là ngoài phạm vi của họ là lớp phán đoán: chính sách nào cần thực thi, khi nào an toàn để thắt chặt, nói gì với khách hàng trong thời gian đó. Báo cáo được chấm điểm biến những quyết định đó thành tài liệu, vì vậy cả hai bạn đều không phải ứng xử.
Họ có thực sự bỏ chúng tôi là nhà cung cấp không? Với phản hồi trống hoặc tuyên bố sai bị phát hiện — cuối cùng, có; khách hàng có cơ quan quản lý để trả lời. Với khoảng trống trung thực có ngày khắc phục — rất khó xảy ra: trên tất cả 261,086,232 tên miền được chấm điểm, chỉ 10.59% thực thi chính sách chống giả mạo mà các bảng câu hỏi này hỏi về (kiểm tra tính đến 2026-06-29). Trung thực-với-kế-hoạch giữ bạn trong danh sách.
Chúng tôi không thuộc phạm vi NIS2 — chúng tôi có thể bỏ qua bảng câu hỏi không? Nghĩa vụ là của khách hàng, và họ thực hiện nó bằng cách chọn nhà cung cấp có thể kiểm tra được. Dư địa để nổi bật là rất lớn: chỉ 7.4% trong tất cả 261,086,232 tên miền được chấm điểm có xác thực email căn chỉnh và thực thi (kiểm tra tính đến 2026-06-29). Một buổi chiều đưa bạn lên trước hầu như mọi tên khác trong danh sách nhà cung cấp đó.
Chuyển tiếp báo cáo cho người phụ trách IT của bạn
Đừng gõ lại bất kỳ điều gì trong số này. Chạy quét miễn phí, sau đó chuyển tiếp hai thứ cho người phụ trách tên miền của bạn: báo cáo được chấm điểm và bài viết này. Báo cáo cho biết chính xác cài đặt nào cần thay đổi; các trang sửa cung cấp các bước. Khi báo cáo đã sửa trở về, các câu trả lời bảng câu hỏi tự viết ra — điểm theo điểm. Sau đó lưu trữ nó: khách hàng tiếp theo sẽ hỏi bốn câu hỏi tương tự, lần gia hạn bảo hiểm của bạn đã làm vậy, và báo cáo có ngày tháng bạn có thể đính kèm trong năm phút là sự khác biệt giữa một buổi chiều và một cuộc khủng hoảng.
Kiểm tra tên miền của bạn → · Những gì bảng câu hỏi kiểm tra trên tên miền của bạn → · Câu chuyện gian lận hóa đơn bạn đã nghe → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý ở EU.