Defaults.Exposed › 报告
有人能冒充你的企业发送电子邮件吗?对大多数域名而言,可以(2026)
发布于 2026-06-29
数据截至 2026-06-29 · 方法论 v7。 涵盖 261 百万个已评级域名的汇总普查数据。“可被冒充”是指该域名未强制实施 DMARC(没有隔离或拒绝策略),而这一控制机制正是用来告诉接收方邮件服务器拦截伪造邮件的。参见我们如何评级。
对大多数企业而言,答案是肯定的——有人可以发送看起来完全像是来自您域名的电子邮件。 在我们评级的 261 百万个域名中,只有 10.59% 强制实施了 DMARC,这是唯一能真正阻止冒充的控制机制。其余 89.41% 则门户大开:骗子可以把您的确切地址放进”发件人”栏,而大多数收件箱会将其显示为真实邮件。这正是虚假发票、CEO 欺诈付款请求和供应商骗局背后的机制——而且尝试起来毫无成本。
真的有人能以我的域名身份发送邮件吗?
如果您的域名没有强制实施 DMARC,那么可以。电子邮件在设计时没有内置验证发件人的方式,因此”发件人”地址极易伪造。三项分层设置可以解决这个问题——SPF、DKIM 和 DMARC——但只有最后一项设为强制实施时,才会告诉接收服务器真正拒绝或隔离伪造邮件。截至 2026-06-29:
- 75.11% 的域名完全没有 DMARC 记录。
- 14.29% 的域名设置了仅监控模式(
p=none)的 DMARC 记录——在审计中看起来像是有保护,但它告诉接收方什么都不做,因此伪造邮件仍会送达。 - 只有 10.59% 强制实施了
quarantine或reject策略——这才是阻止冒充的配置。
因此,89.41% 的域名——超过十分之八——如今都可能在电子邮件中被冒充。
“但我们有 SPF”——为什么那还不够
这是最常见也最危险的误解。53.21% 的域名发布了 SPF 记录,远多于强制实施 DMARC 的 10.59%。所有者看到 SPF 就以为自己有了保护。他们并没有:SPF(和 DKIM)检查的是技术发送路径,但它们并不管辖人们实际看到的”发件人”地址。如果没有把 DMARC 设为强制实施,攻击者仍可在自己的基础设施上通过 SPF 检查并伪造您可见的地址。SPF 是必需的管道;DMARC 强制实施才是那把锁。
您所在的这片网络有多脆弱?
强制实施程度因域名后缀而差异巨大。越高越好——这是真正阻止冒充的域名所占的比例。截至 2026-06-29:
| 域名后缀 | 强制实施 DMARC | 可被冒充 |
|---|---|---|
| .nl(荷兰) | 29.43% | 29.43% 受保护,其余暴露 |
| .de(德国) | 21.38% | — |
| .in(印度) | 19.26% | — |
| .uk(英国) | 13.42% | — |
| .com | 9.50% | 这个使用最广泛的后缀低于 10.59% 的全球平均水平 |
| .net | 10.08% | — |
| .org | 10.01% | — |
| .xyz | 5.15% | — |
| .top | 3.17% | — |
| .cn(中国) | 1.45% | 主要后缀中最低的 |
即使是表现最好的大型后缀,保护的域名也不到三分之一。在 .com 上——大多数企业所在之处——只有 9.50% 强制实施 DMARC。
这实际上给企业带来多大损失
电子邮件冒充是全球向执法机构报告的一些代价最高的网络犯罪背后的机制——商业电子邮件诈骗。其模式始终如一:
- 客户收到一张来自您地址、附有骗子银行账户信息的”发票”,付了款,几周后才发现这是欺诈——而且往往把它当作您的过失。
- 一名员工收到一封紧急的”来自老板”的请求,要求转账或购买礼品卡。地址确实是您的,于是他照办了。
- 供应商在一封通过了所有视觉检查的邮件中被告知”我们的银行账户信息变了”。
这一切都不需要入侵您的系统。它只需要您的域名没有强制实施 DMARC——而对 89.41% 的域名来说,事实正是如此。
如何判断您是否受到保护(以及如何修复)
您无法从外部判断您是否属于那 10.59%——唯一的方法是检查您的域名。修复是免费的,通常一个下午即可完成,按顺序进行:发布 SPF 和 DKIM,然后将 DMARC 转为强制实施(p=none → quarantine → reject)。最后一步才是真正关上那扇门的一步。
常见问题
有人能冒充我的公司发送电子邮件吗? 如果您的域名没有强制实施 DMARC(隔离或拒绝策略),那么可以——您确切的”发件人”地址可被伪造,而大多数收件箱会将其显示为真实邮件。截至 2026-06-29,89.41% 的已评级域名处于这种状态。
我们已经有 SPF 了——难道还不安全吗?
不安全。SPF 检查技术发送路径,但不检查可见的”发件人”地址。53.21% 的域名发布了 SPF,但如果没有把 DMARC 设为强制实施,您的地址仍可被伪造。您需要把 DMARC 设为 quarantine 或 reject。
一条 DMARC 记录还不够吗?
只有在它强制实施时才够。设为 p=none(仅监控)的记录——14.29% 的域名在使用——对阻止伪造毫无作用。只有 quarantine 或 reject 才有用,而仅有 10.59% 的域名做到了这一点。
我该如何检查我自己的域名? 运行一次免费、私密的检查(见下)。我们只会向经过验证的所有者展示某个域名的结果。
修复这个问题贵吗? 不贵。SPF、DKIM 和 DMARC 都是免费的 DNS 设置。成本是按正确顺序设置它们所需的时间,而非金钱。
检查您的域名是否可被冒充
不要去猜您站在 10.59% 的哪一边。私密且免费地检查您的域名——您会看到您的 DMARC、SPF 和 DKIM 状态,以及究竟需要修复什么。
检查您的域名 → · 修复 DMARC → · 修复 SPF → · 我们如何评级 → · 仅汇总数据。数据在欧盟境内存储和处理。