Defaults.Exposed

Defaults.Exposed修复Guides

改名前留下的那个旧域名,是一扇你没关上的门——如何锁死不发邮件的域名(2026)

发布于 2026-07-08

数据截至 2026-06-29 · 方法论 v7。 基于 261 百万个已评分域名的汇总普查数据——我们从不公开单个域名的结果。参见我们如何评分

一个从不发邮件的域名,照样能被人拿来以你企业的名义发邮件——假发票、伪造的供应商请求、虚假的工资变更通知——除非它的 DNS 明确表态说不行。三条免费记录就能把它锁死,每个域名大约花十分钟。根据 Defaults.Exposed 对 261,086,232 个域名的普查(截至 2026-06-29),有 46.4% 的域名连 SPF 记录都没有。

修法又短又免费:对每一个你拥有但从不用来发信的域名,发布三条小小的 DNS 记录(外加一条可选的第四条),告诉全世界的邮件系统“没有人可以以这个域名的身份发信,任何尝试都应拒收,而且这个域名也不接收任何邮件”。这篇指南会给你确切的记录内容、怎么找回你忘记的那些域名,以及该把什么交给你的 IT 人员。

我们说的是哪些域名?

几乎每家运营超过几年的企业都有这些:

这些域名都不发邮件。但它们全都可以被拿来发——对一台接收邮件的服务器来说,一个没有邮件记录的域名不是“已关闭”,而是“无人认领”。任何人都可以把你的旧名字填进一封诈骗邮件的 From 栏,而接收方没有任何理由拒绝它。

为什么一个什么都不发的域名,能被人拿来冒充我发邮件?

邮件的设计基础是信任:默认情况下,任何地方的任何服务器都可以声称自己在代表任何域名发信。撤销这种信任的记录,只有在有人主动发布之后才会起作用——而在一个停放的域名上,从来没有人发布过。你正在用的那个活跃域名,大概在配邮件时顺带配好了一部分;改名之后留下的那个域名,则什么都没配。

数字说明了这有多普遍。在 Defaults.Exposed 普查评分的 261,086,232 个域名中(截至 2026-06-29),有 46.4% 完全没有发布 SPF 记录,89.41% 没有强制执行的 DMARC 策略——也就是那个告诉接收方该拒收冒充者的设置。停放域名正处在这条曲线的最末端:没人在上面配过邮件,所以也没人发布过那些能关上门的记录。

而且旧名字比一个随便的仿冒域名有迷惑性:一封“来自”客户认识了你十年的那个名字的发票,根本不会让人起疑——这正是你听说过的那个发票欺诈故事,会发生在你公司身上吗 里的场景。如果你怀疑这事已经在发生,先看是不是有人在冒充你发邮件

哪些记录能锁死一个不发邮件的域名?

完整的锁定清单:每个域名十分钟的工作,每条记录都免费,不需要任何邮件服务——只需要能访问该域名的 DNS 设置。

记录放在哪里它告诉全世界什么
SPF该域名本身的 TXT 记录v=spf1 -all没有任何人、任何地方,被授权以这个域名的身份发信
DMARC_dmarc.yourolddomain.com 的 TXT 记录v=DMARC1; p=reject; rua=mailto:[email protected]拒收任何自称是这个域名的邮件——并且给我发报告,让我看到这些尝试
空 MX该域名的 MX 记录,优先级 0,值为 .MX 0 .(RFC 7505)这个域名不接收任何邮件——连投递都不用尝试
DKIM 撤销(可选)*._domainkey.yourolddomain.com 的 TXT 记录v=DKIM1; p=任何自称来自这个域名的邮件签名都已被撤销

前三条是必备组合;第四条是双重保险。DMARC 的报告地址(rua)是“锁上的门”和“带摄像头的锁门”之间的区别:如果有人尝试以你的旧域名发信,报告就是你发现这件事的方式。

我该怎么锁定一个停放的域名?

  1. 先在 defaults.exposed 免费扫描每个域名——每个只要两分钟,就能在动 DNS 之前清楚看到具体缺了哪些记录。
  2. 登录该域名的 DNS 管理——通常是注册商的控制面板。如果是代理机构注册的,这一步就是给代理机构发一封邮件。
  3. **添加 SPF 记录:**在该域名本身发布一条 TXT 记录,值为 v=spf1 -all。必须恰好有一条以 v=spf1 开头的记录。
  4. **添加 DMARC 记录:**在 _dmarc 发布一条 TXT 记录,v=DMARC1; p=reject; rua=mailto:...,把报告指向你真正在用的域名上的一个邮箱。给 IT 人员的提示:跨域名的报告需要在活跃域名上配一条外部授权记录(yourolddomain.com._report._dmarc.your-live-domain.com),否则报告会悄无声息地永远收不到。
  5. **添加空 MX:**一条优先级为 0、值为 . 的 MX 记录——这是声明该域名不接收邮件的标准做法(RFC 7505)。
  6. **可选:添加 DKIM 撤销记录:**在 *._domainkey 发布一条 TXT 记录,v=DKIM1; p=
  7. 重新扫描以确认。 带日期的评分报告就是这扇门已经锁上的证明——留着它,续保时用得上。

有一点要注意:这套记录只适用于真正什么都不发、也不收的域名。如果旧域名还在悄悄地把邮件转发给你,它就不算停放——需要的是真正的记录,见新域名邮件配置清单如何修复 SPF如何修复 DMARC

我该怎么找出自己忘了拥有的那些域名?

大多数企业主都没法凭记忆列出自己名下的域名——这正是问题所在。可以查四个地方:注册商账户(导出完整清单——通常比你记得的要多);旧发票和信用卡账单里被遗忘的注册商续费记录;直接问营销代理机构和你的 IT 承包商——“你们有没有替我们注册过任何域名?”;以及旧的活动记录。然后把找到的每一个都拿到 defaults.exposed 扫描一遍。任由域名过期又是另一回事——任何人都可以重新注册它,这也是为什么值得继续为带着你旧名字的域名每年付十几欧元续费。

常见问题

旧域名只是跳转到我们的网站——这应该算处理好了吧? 不算。跳转处理的是访问这个域名的人;它对以这个域名名义发出的邮件毫无作用——这也是普查中全部 261,086,232 个域名里 46.4% 的默认状态(截至 2026-06-29)。锁定它也不会影响跳转:这些记录只涉及邮件。

这真的能阻止诈骗吗? 它能阻止你这个确切的旧域名,在每一个遵守这些记录的邮件服务商那里被冒用——包括你客户在用的所有大服务商。但它阻止不了仿冒域名,那是另一个问题,见是否有人在伪造你的域名。锁定加监控,是一个停放域名所能处于的最强位置——而目前在全部 261,086,232 个已评分域名中,有 89.41% 连主域名都没有强制执行策略(截至 2026-06-29)。

这要花多少钱、要花多长时间? 不花钱,每个域名大约十分钟——这些记录都是免费的,也不需要订阅任何服务。找出你名下的域名通常比修复它们要花更久的时间。而且是每一个域名都要做,不只是重要的那些:诈骗只需要你漏掉的那一个就够了。

把清单交给你的 IT 人员

把你找到的每一个域名,连同这篇文章(里面有他们需要的确切记录)一起加进发给 IT 人员的清单。让他们做完之后重新运行免费扫描,把评分报告发给你:带日期、用大白话写清楚,证明你名下的每一个名字都已锁定。这正是你想放在网络保险续保表格旁边的那叠文件。

检查你的域名 → · 你听说过的那个发票欺诈故事 → · 如何修复 DMARC → · 仅使用汇总数据。数据在欧盟境内存储和处理。