Defaults.Exposed

Defaults.Exposed修复Guides

保险续保表在问 SPF、DKIM 和 DMARC——该怎么答(2026)

发布于 2026-07-08

数据截至 2026-06-29 · 方法论 v7。 基于 261 百万个已评分域名的汇总普查数据——我们从不公布任何单个域名的结果。参见我们如何评分

这道题问的是:有没有人检查过你域名的邮件无法被冒充。用一次免费扫描,两分钟就能拿到一个真实、带日期的答案——而且你远不孤单:在 Defaults.Exposed 普查(截至 2026-06-29)的 261,086,232 个已评分域名中,只有 7.4% 具备保险公司真正想核查的完全对齐、强制执行的配置。

下文依次讲:这道题是什么意思、如何在两分钟内拿到你的答案、这道题的每种问法各需要怎样的诚实“是”、如何拿着报告去找你的保险经纪——以及缺口如何在截止日期前补上。

我的保险续保为什么在问 SPF、DKIM 和 DMARC?

你知道那个时刻。续保材料里某处有这样一行:*“贵司域名在过去 12 个月内是否做过 DMARC、SPF 和 DKIM 卫生状况扫描?”*你不知道。公司里没人知道。于是那封邮件被打上旗标躺在收件箱里,被悄悄回避着,而截止日期越来越近。

保险公司真正想知道的是:**罪犯能不能发出看起来跟贵司发的一模一样的邮件?**小企业最昂贵的网络理赔就是发票欺诈——骗子冒充你给你的客户发邮件,附上“更新后”的银行账户,一笔五位数欧元的付款就此打了水漂。这种冒充风险从外部就能测量,所以核保人会为它定价。

那几个缩写,一次性用大白话讲清:SPF(Sender Policy Framework——一份公开清单,列出允许替你的域名发邮件的服务器)、DKIM(DomainKeys Identified Mail——每封邮件上一枚可验证是否被篡改的签名)、DMARC(Domain-based Message Authentication, Reporting and Conformance——一条公开发布的规则,告诉全世界的收件箱如何处置没通过前两项的邮件)。

至于这道题为什么会出现在表格上:在 Defaults.Exposed 普查(截至 2026-06-29)的 261,086,232 个已评分域名中,89.41% 没有强制执行的 DMARC 策略——也就是说它们可以被冒充。保险公司之所以问,是因为从统计上看,大多数投保人都是敞着门的。如果让你想起这事的不是表格而是某次社交活动上的一个故事,先读你听说的那起发票欺诈——会发生在贵司吗?

当然,邮件只是问卷的一个部分。保险公司和企业买家会核查你域名的完整控制项清单——以及每一项在全网的通过率——见网络保险和供应商问卷会核查你域名的哪些内容。这个页面只陪着你收件箱里那份表格:在截止日期前,如实地把答案写出来。

怎样在两分钟内查到我的答案?

你不需要看懂任何一条 DNS 记录。你需要的是一份带日期、有评分的报告。

  1. defaults.exposed 运行免费扫描。 输入你的域名——就是你邮箱地址里 @ 后面那段。它从外部读取你域名的公开设置,和保险公司的扫描合作方是同一种方式。
  2. 看评分。 报告用直白的语言说明:你的域名有没有 SPF、DKIM 和 DMARC,它们是否对齐,策略是否真的在强制执行。
  3. 保存报告。 它带日期。截至今天,你的域名确实被扫描过了——无论评分如何,这部分问题都可以如实作答。

扫描免费,大约两分钟,数据在欧盟境内存储和处理——如果你的合规答复必须说明评估在哪里进行,这一点用得上。

这道题的每种问法,诚实的“是”各长什么样?

诚实的答案随措辞而不同:

表格问的是……真实的“是”需要扫描能带你到哪一步
“贵司域名在过去 12 个月内是否做过 DMARC、SPF 和 DKIM 卫生状况扫描?”一次带日期的扫描——今天跑一次就符合;报告就是你的证据是,立刻可答
“贵司是否已部署 SPF、DKIM 和 DMARC?”三项都已为你的域名发布评分显示三项俱全即可答是
“贵司是否强制执行 DMARC?”一条指示收件箱采取行动的策略——更强的那个“是”只有报告显示已强制执行才行;已评分域名中 7.4% 达到了
“贵司针对邮件冒充有哪些措施?”强制执行的 DMARC,或如实描述现状外加一份整改计划只要属实,两种都是正当答案

有两件事要抓牢。第一,差评加整改计划是正当的、可承保的答案。“我们扫描了,报告指出了缺口,正在修复中”读起来就是一家会检查自己的公司——这道题筛的正是这个。第二,**绝不要粉饰答案。**投保申请表上的不实陈述可能导致保单失效,也就是说在你最需要的时候理赔被拒。

随续保材料我该交回什么?

附上扫描报告,或把它的日期和评分填进答题框。然后问你的保险经纪一个问题:*“经过评估、强制执行的邮件认证状况,会不会影响保费或条款?”*有些保险公司在定价时会考虑已证明的安全状况;你的保险公司是否如此,那是经纪人的领域,问一句不花钱。

留好这份报告——同一份证据还能回答客户发来的邮件认证安全问卷,那是同一道题,只不过从客户而不是保险公司那里来。

这也跟欧盟法规有关吗?

部分是的——这正是这道题不断出现在欧洲续保表上的原因。NIS2,欧盟的安全指令,要求受覆盖的组织管理供应链安全(第 21(2)(d) 条)和通信安全(第 21(2)(j) 条),而实施条例 (EU) 2024/2690 把邮件安全列入了具体措施。欧洲保险公司越来越多地在问卷中对照这些要求。NIS2 要求 DMARC 吗?讲了它是否直接适用于贵司——但大方向是单行道。

缺口能在我的续保截止日期前补上吗?

几乎可以肯定能。这些是设置,不是采购——一位称职的 IT 联系人通常一个下午就能照着你域名的报告和修复 DMARC 的步骤,把三条记录全部发布或修正。唯一耗时更长的部分,是在不干扰正常邮件的前提下把 DMARC 推进到完全强制执行——一个分几周走的阶段性项目,见从 p=none 到 p=reject 且不丢失正常邮件。就今年的续保而言,一份带日期的扫描加上进行中的修复,本周就能拿出来。

常见问题

如果我的评分很差——还要作答吗? 要,而且要如实。你会站在多数人那边:普查(截至 2026-06-29)的 261,086,232 个已评分域名中,89.41% 没有强制执行的 DMARC 策略。“已扫描、发现缺口、整改进行中”是可承保的答案;粉饰过的不实陈述才是让保单失效的东西。

今天做的扫描算“过去 12 个月内”吗? 算。这道题问的是你作答之前的 12 个月内是否做过扫描——今天跑的一次就落在这个窗口里。按报告日期作答,并在明年续保前重新扫描。

这能降低我的保费吗? 有时能,不作承诺。有些保险公司会把已证明的安全状况反映到定价或条款里;另一些则把这些问题当作承保资格而非折扣依据。附上报告去问你的经纪——那才是把“也许”变成一个欧元数字的方式。

转发报告——答案自己就写出来了

你不需要变成那个懂 DNS 的人。运行免费扫描,然后把报告和这篇文章转发给你的 IT 联系人。报告准确告诉他们缺什么;这个页面告诉他们这道题为什么出现在你的续保表上。等修复后的复扫结果回来,续保答案自己就写出来了:已扫描、有日期、有评分、已整改。收件箱里那封打了旗标的邮件,可以关掉了。

检查你的域名 → · 问卷会核查你域名的哪些内容 → · 如何修复 DMARC → · 仅使用汇总数据。数据在欧盟境内存储和处理。