Defaults.Exposed › 修复 › Guides
改名前留下的那个旧域名,是一扇你没关上的门——如何锁死不发邮件的域名(2026)
发布于 2026-07-08
数据截至 2026-06-29 · 方法论 v7。 基于 261 百万个已评分域名的汇总普查数据——我们从不公开单个域名的结果。参见我们如何评分。
一个从不发邮件的域名,照样能被人拿来以你企业的名义发邮件——假发票、伪造的供应商请求、虚假的工资变更通知——除非它的 DNS 明确表态说不行。三条免费记录就能把它锁死,每个域名大约花十分钟。根据 Defaults.Exposed 对 261,086,232 个域名的普查(截至 2026-06-29),有 46.4% 的域名连 SPF 记录都没有。
修法又短又免费:对每一个你拥有但从不用来发信的域名,发布三条小小的 DNS 记录(外加一条可选的第四条),告诉全世界的邮件系统“没有人可以以这个域名的身份发信,任何尝试都应拒收,而且这个域名也不接收任何邮件”。这篇指南会给你确切的记录内容、怎么找回你忘记的那些域名,以及该把什么交给你的 IT 人员。
我们说的是哪些域名?
几乎每家运营超过几年的企业都有这些:
- 旧名字。 你在 2014 年改了名,把旧域名留了下来,“免得被别人抢注”。它还在某人的信用卡上自动续费,从那以后就没人再看过它。
- 防御性注册。 你在注册
.ie或.de的同时顺手买下的.com、带连字符的版本、常见的拼写变体。 - 代理机构注册的域名。 多年前营销代理机构替你注册的一个活动专用域名——可能压根不在你自己的注册商账户里。
- 只做跳转的域名。 它把访客导向你真正的网站,所以感觉像是“已经处理好了”。其实没有:网页跳转对邮件毫无作用。
这些域名都不发邮件。但它们全都可以被拿来发——对一台接收邮件的服务器来说,一个没有邮件记录的域名不是“已关闭”,而是“无人认领”。任何人都可以把你的旧名字填进一封诈骗邮件的 From 栏,而接收方没有任何理由拒绝它。
为什么一个什么都不发的域名,能被人拿来冒充我发邮件?
邮件的设计基础是信任:默认情况下,任何地方的任何服务器都可以声称自己在代表任何域名发信。撤销这种信任的记录,只有在有人主动发布之后才会起作用——而在一个停放的域名上,从来没有人发布过。你正在用的那个活跃域名,大概在配邮件时顺带配好了一部分;改名之后留下的那个域名,则什么都没配。
数字说明了这有多普遍。在 Defaults.Exposed 普查评分的 261,086,232 个域名中(截至 2026-06-29),有 46.4% 完全没有发布 SPF 记录,89.41% 没有强制执行的 DMARC 策略——也就是那个告诉接收方该拒收冒充者的设置。停放域名正处在这条曲线的最末端:没人在上面配过邮件,所以也没人发布过那些能关上门的记录。
而且旧名字比一个随便的仿冒域名更有迷惑性:一封“来自”客户认识了你十年的那个名字的发票,根本不会让人起疑——这正是你听说过的那个发票欺诈故事,会发生在你公司身上吗 里的场景。如果你怀疑这事已经在发生,先看是不是有人在冒充你发邮件。
哪些记录能锁死一个不发邮件的域名?
完整的锁定清单:每个域名十分钟的工作,每条记录都免费,不需要任何邮件服务——只需要能访问该域名的 DNS 设置。
| 记录 | 放在哪里 | 值 | 它告诉全世界什么 |
|---|---|---|---|
| SPF | 该域名本身的 TXT 记录 | v=spf1 -all | 没有任何人、任何地方,被授权以这个域名的身份发信 |
| DMARC | _dmarc.yourolddomain.com 的 TXT 记录 | v=DMARC1; p=reject; rua=mailto:[email protected] | 拒收任何自称是这个域名的邮件——并且给我发报告,让我看到这些尝试 |
| 空 MX | 该域名的 MX 记录,优先级 0,值为 . | MX 0 .(RFC 7505) | 这个域名不接收任何邮件——连投递都不用尝试 |
| DKIM 撤销(可选) | *._domainkey.yourolddomain.com 的 TXT 记录 | v=DKIM1; p= | 任何自称来自这个域名的邮件签名都已被撤销 |
前三条是必备组合;第四条是双重保险。DMARC 的报告地址(rua)是“锁上的门”和“带摄像头的锁门”之间的区别:如果有人尝试以你的旧域名发信,报告就是你发现这件事的方式。
我该怎么锁定一个停放的域名?
- 先在 defaults.exposed 免费扫描每个域名——每个只要两分钟,就能在动 DNS 之前清楚看到具体缺了哪些记录。
- 登录该域名的 DNS 管理——通常是注册商的控制面板。如果是代理机构注册的,这一步就是给代理机构发一封邮件。
- **添加 SPF 记录:**在该域名本身发布一条 TXT 记录,值为
v=spf1 -all。必须恰好有一条以v=spf1开头的记录。 - **添加 DMARC 记录:**在
_dmarc发布一条 TXT 记录,v=DMARC1; p=reject; rua=mailto:...,把报告指向你真正在用的域名上的一个邮箱。给 IT 人员的提示:跨域名的报告需要在活跃域名上配一条外部授权记录(yourolddomain.com._report._dmarc.your-live-domain.com),否则报告会悄无声息地永远收不到。 - **添加空 MX:**一条优先级为
0、值为.的 MX 记录——这是声明该域名不接收邮件的标准做法(RFC 7505)。 - **可选:添加 DKIM 撤销记录:**在
*._domainkey发布一条 TXT 记录,v=DKIM1; p=。 - 重新扫描以确认。 带日期的评分报告就是这扇门已经锁上的证明——留着它,续保时用得上。
有一点要注意:这套记录只适用于真正什么都不发、也不收的域名。如果旧域名还在悄悄地把邮件转发给你,它就不算停放——需要的是真正的记录,见新域名邮件配置清单、如何修复 SPF 和如何修复 DMARC。
我该怎么找出自己忘了拥有的那些域名?
大多数企业主都没法凭记忆列出自己名下的域名——这正是问题所在。可以查四个地方:注册商账户(导出完整清单——通常比你记得的要多);旧发票和信用卡账单里被遗忘的注册商续费记录;直接问营销代理机构和你的 IT 承包商——“你们有没有替我们注册过任何域名?”;以及旧的活动记录。然后把找到的每一个都拿到 defaults.exposed 扫描一遍。任由域名过期又是另一回事——任何人都可以重新注册它,这也是为什么值得继续为带着你旧名字的域名每年付十几欧元续费。
常见问题
旧域名只是跳转到我们的网站——这应该算处理好了吧? 不算。跳转处理的是访问这个域名的人;它对以这个域名名义发出的邮件毫无作用——这也是普查中全部 261,086,232 个域名里 46.4% 的默认状态(截至 2026-06-29)。锁定它也不会影响跳转:这些记录只涉及邮件。
这真的能阻止诈骗吗? 它能阻止你这个确切的旧域名,在每一个遵守这些记录的邮件服务商那里被冒用——包括你客户在用的所有大服务商。但它阻止不了仿冒域名,那是另一个问题,见是否有人在伪造你的域名。锁定加监控,是一个停放域名所能处于的最强位置——而目前在全部 261,086,232 个已评分域名中,有 89.41% 连主域名都没有强制执行策略(截至 2026-06-29)。
这要花多少钱、要花多长时间? 不花钱,每个域名大约十分钟——这些记录都是免费的,也不需要订阅任何服务。找出你名下的域名通常比修复它们要花更久的时间。而且是每一个域名都要做,不只是重要的那些:诈骗只需要你漏掉的那一个就够了。
把清单交给你的 IT 人员
把你找到的每一个域名,连同这篇文章(里面有他们需要的确切记录)一起加进发给 IT 人员的清单。让他们做完之后重新运行免费扫描,把评分报告发给你:带日期、用大白话写清楚,证明你名下的每一个名字都已锁定。这正是你想放在网络保险续保表格旁边的那叠文件。
检查你的域名 → · 你听说过的那个发票欺诈故事 → · 如何修复 DMARC → · 仅使用汇总数据。数据在欧盟境内存储和处理。