Defaults.Exposed › 修复
修复你的域名安全——免费分步指南
通俗易懂的指南,教你修复我们评级的每一项问题——SPF、DKIM、DMARC、DNSSEC、TLS、证书以及 HTTP 安全标头。每篇都会说明它是什么、它可能给你的业务带来什么代价,以及如何在你的服务商处准确地进行配置。
- CAA 记录
CAA 记录是你域名设置里的一条简短指令,指定哪些证书公司被允许为你的网站签发那张小锁安全证书。开启它之后,再没有别的公司能悄悄以你的名义创建一张有效证书。 - CDN / WAF 与主机
对你网站背后管线的两次解读:你是否坐落在一面防护盾后面(一个带 Web 应用防火墙的 CDN,如 Cloudflare),它过滤攻击、吸收流量高峰;以及一张地图,说明到底是谁在运行你的 DNS、网站和邮箱。两者在我们的评分中都属于提示性——它们不动你的评分——但它们描述了你的源站服务器对攻击和宕机有多暴露,以及你的提供商有多盘根错节。前面有一面盾、再加上一组合理拆分的提供商,正是有韧性的企业该有的样子。 - DKIM
DKIM 是你公司每一封外发邮件上那枚看不见的防篡改封印。它让收件的邮件服务商能够确认邮件确实出自你手、且抵达时分毫未改。没有它,你的邮件更易被伪造、更易被篡改,也更容易落进垃圾箱。 - DMARC(邮件冒充防护)
DMARC 是唯一一个真正命令全世界邮件服务商拦截那些伪造你公司名义的邮件的设置。SPF 和 DKIM 负责检查锁;DMARC 决定当一封伪造邮件没通过检查时该怎么办——扔掉、标记,还是放行。设错了,你的域名可被随意伪造;设对了,冒充在抵达收件箱前就被拦下。 - DNSSEC
DNSSEC 是给你域名通讯录盖的一枚数字封印。它让互联网能证明这个域名住在哪里这个问题的答案确实来自你、且在途中未被篡改。少了它,答案可被伪造——你的访客就被悄悄送往别处。 - HSTS(严格传输安全)
HSTS 是你的网站给每一个浏览器下的一行指令:「以后永远通过安全、加密的连接来找我——绝不要走不安全的那条。」没有它,你的那把锁可以在共享 WiFi 上被悄悄剥掉,而对你网站的头一次访问就是暴露的。 - HTTPS 与强制安全跳转
HTTPS 就是浏览器地址栏里那把锁——它加密你网站与客户之间往来的一切,让传输途中无人能读取或篡改。强制安全跳转则确保访客即便在地址里没敲「https://」,也会被自动送到那个加密版本上。两者合在一起,是一个网站能被视为安全的最基本前提。 - IPv6 支持
IPv6 是互联网寻址系统更新、容量大得多的版本,之所以引入,是因为旧的那个(IPv4)地址已经用光了。加上 IPv6 支持,意味着你的网站和邮箱在现代网络上、和在旧网络上一样都能被联系到。在我们的评分中这属于提示性——没有它不会拉低你的评分——但它是一个真实世界的触达问题:越来越多的移动端和海外客户通过纯 IPv6 网络连接,而只有你支持它,他们才能顺畅地联系到你。修复是免费的,就在你的 DNS 和主机配置里。 - MIME 嗅探防护(X-Content-Type-Options)
一条简单的响应头,阻止浏览器去猜测某个文件到底是什么。少了它,有人上传到你网站的文件——或你自己页面上的文件——可能被浏览器误判并当作代码运行,而这正是某些攻击把一个看似无害的上传变成窃取客户会话手段的方式。 - MX 记录(邮件接收设置)
MX 记录是一块路标,告诉全世界该把寄往你域名的邮件投递到哪里。它一旦缺失或损坏,所有发给你公司的邮件——客户咨询、密码重置、发票、合同——都会原路退回给发件人。没有 MX,就没有收件箱。 - Referrer-Policy(来源页策略)
Referrer-Policy 是你网站交给每位访客浏览器的一条简单指令,控制当访客点击通往别的网站的链接时,你的网址会随他们带走多少。少了它,他们当时所在那个页面的完整网址——搜索词、账号、重置链接、内部页面路径,统统在内——会被悄悄交给他们接着落地的那个网站,包括广告商、分析公司,以及链接指向的任何地方。 - SPF(发件人策略框架)
SPF 是写在你域名设置里的一行规则,用来声明哪些邮件服务有权以你公司的名义发邮件。没有它,全世界任何人都能冒充你发邮件——而你自己发出的正经邮件,反而更容易被丢进客户的垃圾箱。 - TLS 证书健康度
你的 SSL/TLS 证书是一张数字身份证,向访客证明他真的在和你的网站对话——而不是冒牌货——并驱动浏览器里那把锁。本项检查关注的是:这张证书是否有效且受信任、是否即将过期,以及是否用强壮、现代的密码学构建。 - 内容安全策略(CSP)
内容安全策略是你的网站交给每个访客浏览器的一条安全规则,明确告诉它哪些代码获准运行。没有它,一旦有恶意东西落到页面上——通过一个评论框、一个被黑的插件,或一个第三方脚本——浏览器就会随意运行它,包括在你客户输入时悄悄盗取卡号和密码的代码,而那把锁还显示着。 - 反向 DNS(PTR)
反向 DNS 是为你公司发邮件那台服务器佩戴的身份牌。当 Gmail、Microsoft 365 这样的收件服务商查清发件地址背后是谁、并得到一个经得起核对的名字时,你的邮件就显得合法。一旦没有身份牌——或名字与地址对不上——你那些完全真实的发票和报价就会被当成可疑,被悄悄丢进垃圾箱或拒收。 - 域名服务器配置(多样性与 SOA)
你的域名服务器是告诉整个互联网在哪里找到你网站和邮箱的那本目录。如果它们全都坐落在同一个网络上,而它一旦宕机,你的业务就会在同一刻从互联网上消失——没有网站、没有邮箱、什么都没有;而这些服务器上一个草率的时钟设置,还可能让你做的改动卡上好几天。 - 点击劫持防护(X-Frame-Options)
这是一条简单的指令,告诉浏览器不允许别的网站偷偷把你的网站加载到它们自己的页面里。少了它,骗子就能把你真实的、已登录的页面藏在一个假页面后面,诱骗你的客户点击他们根本不打算点的东西——批准一笔付款、修改密码、授予权限。 - 现代加密(TLS 版本与密码套件)
TLS 是那把锁,它打乱在你访客和你网站之间流动的数据。有两件事让这把锁可信:使用现代版本的 TLS(不是那些老旧、已被攻破的版本),以及使用强壮的密码套件(实际的打乱配方)。本页两者都讲——外加几个不影响你评分、却值得了解的相关设置。 - 跨源隔离响应头(COOP / CORP / COEP)
三条可选的浏览器指令,控制别的网站可以如何与你的网站互动——在弹窗里打开它、嵌入它的图片和脚本,或把它的资源拉进自己的页面。它们是现代加固,而非基础必备,在我们的评分中属于提示性:缺失它们不会拉低你的评分。但其中两条安全的能堵住一处隐蔽的钓鱼和带宽窃取漏洞,而谨慎买家的 IT 团队会注意到它们的存在。