Defaults.Exposed › 修复 › Guides
有人在用你的域名发邮件:应急响应指南(2026)
发布于 2026-07-08
数据截至 2026-06-29 · 方法论 v7。 基于 261 百万个已评分域名的汇总普查数据。参见我们如何评分。
先确认那些假邮件用的是你的精确域名,还是一个仿冒域名,因为两者的修法完全不同。精确域名冒用可以在 DNS 里直接关闭——而大多数域名都还没做到:根据 Defaults.Exposed 对 261,086,232 个已评分域名的普查,89.41% 没有强制执行的 DMARC 策略,46.4% 干脆没有发布 SPF。
这是一份事件处理清单:第一小时——在不把事情弄得更糟的前提下确认发生了什么;第一天——关上那扇属于你的门,或者如果门不是你的,就启动下架流程;第一周——监控、提醒可能受影响的人、强制执行。如果你只是好奇这种事会不会发生在自己身上,先看有人能冒用我的域名吗——这一篇是给已经发生的情况准备的。
首先:这真的是你的域名,还是一个仿冒品?
拿到一封假邮件,逐字符读它的发件地址。接下来的一切都取决于这一步:
| From 地址显示的内容 | 发生了什么 | 你该走哪条路 |
|---|---|---|
[email protected]——你的域名,拼写完全正确 | 冒用:一个陌生人的服务器在 From 栏里伪造了你的域名。你的系统没有被黑。 | DNS 修法——SPF、DKIM、强制执行 DMARC。路径一。 |
[email protected]、yourcompany-billing.com、yourcompany.co——很像,但不是你的 | 别人注册的一个仿冒域名。你的 DNS 根本不会被查询。 | 下架 + 提醒。路径二。 |
| 是你的精确地址,而且这些邮件就躺在你自己的“已发送”文件夹里,或是在回复真实的邮件线程 | 账号被盗——有人进入了一个真实邮箱。这是另一种事件。 | 先改密码、注销所有会话、开启双因素认证、检查转发规则——比什么都优先。 |
数据截至 2026-06-29。
加粗的那一行是最常见、也最容易修复的情况。邮件的核心协议从来没有验证过 From 栏——任何人都能把你的域名填进去——所以修法就是发布 DNS 记录,让接收方能够自行核实。让人不太舒服的普查数字是:261,086,232 个已评分域名中有 121,145,609 个(46.4%)完全没有发布 SPF 记录,而在发布了 SPF 的 138,927,207 个域名里,有 36,014 个以 +all 结尾——字面意义上授权了整个互联网都可以冒充它们发信(数据截至 2026-06-29)。
第一小时:先确认,别急着反应
- 在 defaults.exposed 运行免费扫描。 三十秒,不用注册。它会在你动 DNS 之前,告诉你这个域名目前是否容易被冒用——SPF 是否存在且严格、DMARC 是否强制执行。
- 不要回复那封假邮件,不要点里面的任何东西,也先别群发邮件提醒你的联系人。 用同一个域名发出一封慌张的“别理会我们发的邮件!”群发信,读起来和骗局本身没什么两样。提醒要放到后面,而且要精准、走非邮件渠道。
- 收集一份带完整标头的样本。 让一位收件人把这封假邮件作为附件转发给你(Gmail:“显示原始邮件”→下载;Outlook:“查看邮件源”)。只有 From 栏的截图是不够的——标头才是后面一切工作的证据。
- 读一读接收服务器已经给出的判定结果。 在标头里找到
Authentication-Results:——如果针对你的精确域名出现dmarc=fail,就确认了是在冒用你的域名;如果header.from=里是一个仿冒域名,就确认是路径二。有一点很微妙:接收方是对照 Return-Path 域名(RFC5321.MailFrom,退信地址),而不是收件人看到的 From 标头来评估 SPF 的——一封伪造邮件甚至可能对垃圾邮件发送者自己的域名显示spf=pass,同时在 From 栏里伪造你的域名。DMARC 的对齐检查正好能堵上这个缺口。
路径一——是你的精确域名:第一天该做什么
冒用你的精确域名,只有在你的 DNS 什么都没说、让接收方无法拒收的情况下才行得通。今天你要发布(或收紧)这三条记录;强制执行是这一周的项目。
- **SPF:**发布一条记录,列出你真正的发信方,以
-all结尾(“除此之外,一律失败”)。如果你现在的记录以+all或?all结尾,先修这个——那是你自己发布出来的一扇敞开的门。操作指南见如何修复 SPF,服务商点击路径见 GoDaddy 上的 SPF。 - **DKIM:**在你的邮件服务商以及任何通讯/开票工具里开启域名签名(通常各自只需要几条 CNAME 记录)。
- DMARC:今天就发布
v=DMARC1; p=none; rua=mailto:...,让报告开始流动;p=reject是这一周的项目,不是这一小时的——完整参考见如何修复 DMARC。如果这个域名根本不发任何合法邮件——一个旧品牌、一个停放域名——不用犹豫,今天就直接锁死它:见改名前留下的那个旧域名,是一扇你没关上的门。
在你松一口气之前,先说句实话:一个强制执行的 DMARC 策略会告诉接收服务器把精确域名的伪造邮件丢进垃圾箱或直接拒收——大服务商都会遵守。但它只约束会检查它的接收方,而且它对仿冒域名完全没有任何作用:一旦骗子没法再以 yourcompany.com 的身份发信,注册一个 yourcompany-billing.com 也就几欧元的事。DMARC 缩小了攻击面,但不是故事的终点——第一周要做的那些事对你同样重要。
路径二——是仿冒域名:这不是 DNS 能修的问题
你在自己域名上发布的任何记录,都不会影响一个你不拥有的域名发出的邮件——你的 DNS 甚至根本不会被查询。这时候的打法是下架加提醒:
- 查出仿冒域名背后是谁。 用 RDAP/WHOIS 查询(比如
lookup.icann.org)找到它的注册商,并检查它是否托管了一个网站。 - 向该注册商的滥用举报渠道举报,附上你完整标头的样本——注册商每天都在暂停钓鱼域名;证据清楚就能处理得很快。如果它是一个钓鱼网站,也要举报给托管商、Google Safe Browsing 和 Microsoft SmartScreen。
- 在收件邮箱里把这些邮件标记为钓鱼邮件(Gmail/Outlook 的“举报网络钓鱼”)——这能让各大过滤器比任何一封举报信都更快地学会识别这个仿冒域名。
- 通过非邮件渠道提醒可能受影响的对象——这一步才是真正能阻止钱被转走的关键。给客户、供应商和你的会计打电话或发消息(不要只发邮件):说出那个假域名的名字,让任何“来自你”的银行信息变更都能通过电话核实。这个习惯是应对你听说过的那个发票欺诈故事 的最佳防线。
- 如果仿冒域名滥用了你的商标,可以走 UDRP 投诉来转移该域名——比下架慢,但是永久性的。
而且路径一也要照做:攻击者很少会在真实域名还敞开的情况下费心去搞仿冒域名,而 89.41% 的域名没有强制执行 DMARC(261,086,232 个里只有 27,640,987 个——10.59%——做到了,截至 2026-06-29)。不管怎样,先把自己家的门关上。
第一周:监控、提醒、强制执行
- 阅读你的 DMARC 报告。
rua=标签生效后一两天内,汇总报告就会显示每一台以你域名身份发信的服务器——你自己的和伪造者的都在内,带着数量和判定结果。这是你观察攻击逐渐消退的方式。 - 确认你的合法发信方都能通过。 每一个真实来源(邮件服务商、通讯工具、开票应用、网站联系表单)都必须在你强制执行之前,以对齐的方式通过 SPF 或 DKIM——否则拒收也会连带挡住你自己的邮件。
- 把 DMARC 逐步收紧到
p=quarantine,再到p=reject。 在遭受主动冒用攻击的情况下,你可以把通常要几个月的流程压缩到一两周——但压缩的是阶段的时长,不是跳过阶段本身。分阶段上线方案、pct逐步提高和子域名策略,见从 p=none 到 p=reject 且不误伤合法邮件。 - **给可能收到过假邮件的相关方发一条冷静、精准的通知:**发生了什么、假邮件要求了什么、付款变更要通过电话核实的规则,以及(路径二情况下)需要拦截的那个确切仿冒域名。
- 重新扫描并保留报告。 保险公司和客户越来越常问你为邮件安全做了什么;一份带日期的评分报告能白纸黑字地回答这个问题。
常见问题
我收到了一封来自自己地址的诈骗邮件。我是不是被黑了? 几乎肯定不是——“自己发给自己”的勒索邮件用的是同一种伪造手法,利用的正是你域名不会拒收假邮件这一点。检查一下已发送文件夹和最近的登录记录;如果都干净,那就是冒用,一个强制执行的 DMARC 策略能在遵守它的接收方那里挡住这种手法。截至 2026-06-29,261,086,232 个已评分域名中有 89.41% 还没做到这一点。
DMARC 能挡住仿冒域名发的邮件吗? 不能。你的 DMARC 策略只管辖你的精确域名(及其子域名)——仿冒域名是别人的域名,有自己的 DNS,永远不会被拿去对照你的记录检查。对付仿冒域名靠的是注册商滥用举报、钓鱼举报和对相关方的提醒,不是 DNS。
p=reject 到底多快能止住冒用? DNS 变更几小时内就能传播到接收方,而 Gmail、Outlook 和大多数主流服务商都会执行 DMARC 的判定结果——精确域名的伪造邮件在策略生效当天就会开始减少。有两个诚实的局限:从不检查 DMARC 的小型接收方仍可能投递假邮件,而且在你自己的发信方都对齐之前就强制执行,会连带挡住你自己的合法邮件——加快各阶段的节奏,但不要跳过它们。
把报告发给老板
如果你是负责处理这件事的 IT 承包商:记录生效后,重新运行扫描,把评分报告转发给企业负责人。它会用大白话说明是什么让冒用得以发生、你改了什么、这个域名现在处于什么状态——这是对“我们现在安全了吗?”这个问题的书面回答,也是保险续保或客户问卷需要的证据。如果你就是企业负责人:直接要这份报告,并保留前后对比。
免费检查你的域名是否容易被冒用
私密、仅域名所有者可见地看看一个陌生人的服务器目前能不能冒充你——以及具体该修什么。
检查你的域名 → · 从 p=none 到 p=reject → · 修复 DMARC → · 有人能冒用我的域名吗?→ · 仅使用汇总数据。数据在欧盟境内存储和处理。