Defaults.Exposed

Defaults.Exposed修复Guides

客户的安全问卷在问邮件认证——一个下午答完(并补齐差距)(2026)

发布于 2026-07-08

数据截至 2026-06-29 · 方法论 v7。 基于 261 百万个已评分域名的汇总普查数据——我们从不公布任何单个域名的结果。参见我们如何评分

你的客户之所以来问,是因为欧洲的供应链安全法规现在要求他们核查自己的供应商。这些问题有一个两分钟的起点:一次免费扫描,评分的正是他们要探查的内容。根据 Defaults.Exposed 对 261,086,232 个域名的普查(截至 2026-06-29),只有 7.4% 的域名把邮件认证完全对齐并强制执行——大多数供应商同样还答不出“是”。

这个下午的计划是:运行免费扫描,读完那份一页纸的评分报告,如实回答已经达标的项目,并在当天修好免费的速赢项。对更深层的问题,一份带日期的报告加一段简短的整改说明就是可以接受的过渡性答复——而且比一句没有依据的“是”要好得多。

我们最大的客户为什么突然来问我们的邮件安全?

这不是针对你。如果你的客户属于 NIS2——欧盟的网络与信息安全指令——的适用范围,其第 21(2)(d) 条要求他们管理供应链的安全,而欧盟委员会实施条例 (EU) 2024/2690 具体列明了措施,并明确点名邮件安全。于是采购部门给每家供应商都发问卷;你自己也许并不受 NIS2 约束,但这项义务就是这样层层传导到你身上的。截止日期和后果——能否留在合格供应商名单上——之所以存在,是因为你的客户必须向监管机构证明他们做过核查。(我们写过一篇NIS2 对邮件认证到底怎么说。)保险公司现在也在问同样的问题——如果你的续保表格也开始这么问了,那是这个下午的保险版

这些问题到底是什么意思?

典型供应商问卷里的邮件安全部分,其实是四个披着缩写外衣的问题。先翻译一遍,之后就不再提这些缩写。

问卷问的是用大白话说是什么意思扫描报告如何回答
“你们是否强制执行 DMARC 策略?”(DMARC——基于域名的邮件认证、报告与一致性)你有没有告诉全世界的邮件服务器:拒收伪造你域名的邮件?这是大多数供应商栽跟头的一行:在 261,086,232 个已评分域名中,只有 7.4% 做到了对齐并强制执行(普查截至 2026-06-29)。说明并评分你的策略。“强制执行”指 reject 或 quarantine;“仅监控”目前什么都拦不住——如实说明你属于哪种。
“SPF 是否配置了限制性策略?”(SPF——发件人策略框架)你有没有公布允许以你公司名义发邮件的服务器名单——名单结尾是斩钉截铁(“别人都不行”)还是含糊其辞(“也许还有别人”)?显示名单是否存在、是否有效、结尾是硬还是软。
“出站邮件是否经过数字签名(DKIM)?”(DKIM——域名密钥识别邮件)你的邮件是否带有防篡改签名,证明它来自你的域名——而且是以你的名义,不是服务商的默认名义?显示是否存在以你域名署名的签名——服务商默认签名的陷阱是扫描发现的最常见差距
“你们是否监控域名伪造?”如果有人冒用你的名义发假邮件,你会发现吗——还是第一个信号是一通愤怒的电话?显示报告地址是否已开启,让冒用企图能够传到你这里。

这些问题每一个都能从你域名的公开设置中得到答案——不需要审计、不需要外包机构、不需要访问你的系统。这就是这个下午计划可行的原因。这四项也只是一份更长清单里的邮件部分:网络保险和供应商问卷会核查你域名上的哪些项目把他们探查的每项控制都列成了表,并附有全网通过率。本页则专注于你的这个下午——该答什么,先修什么。

怎么在截止日期前答完?一个下午的计划

  1. defaults.exposed 运行免费扫描——两分钟,在任何人动手之前。 它读取你域名的公开设置,评分的正是上面四个方面。无需注册,不接触你的邮件。
  2. 阅读评分报告。 一页纸、直白语言、带日期——每项评分都对应问卷中的一个问题,让你知道真实答案,而不是靠猜。
  3. 如实回答已经达标的项目。 报告显示通过的地方,答“是”并说明依据(“经独立扫描验证”,附日期)。
  4. 当天修好免费的速赢项。 常见差距都是设置问题,不用花钱买东西:软结尾的发件人名单(SPF 修复)、缺失或卡在监控模式的防伪造规则(DMARC 修复)、以服务商默认名义的签名。全部免费,大多每项只是一条 DNS 记录——把修复页面转发给管理你域名的人,几个“否”就能在问卷交回之前变成“是”。
  5. 对更深层的问题,附上带日期的报告和整改说明。 稳妥地过渡到完全强制执行的策略需要先监控数周——没完成就绝不要声称已完成。“独立扫描见附件;强制执行推进中,目标九月”对任何称职的采购团队都是可以接受的过渡性答复。虚假的“是”则不行:采购团队会复查,而且往往用的正是这类扫描。

这份问卷有没有可能反而对我们有利?

有——因为其他人交回去的是什么样。大多数供应商只答一个干巴巴的“是”,背后什么都没有,而在 261,086,232 个已评分域名中,只有 7.4% 真正具备问卷所探查的对齐并强制执行的姿态(普查截至 2026-06-29)。一份带日期、由独立方评分的报告——哪怕显示存在差距并附整改日期——也胜过没有依据的“是”,因为前者可以核实,后者只是指望。没人要求你完美;要求的是可核查。供应商名单上你的竞争对手,很少有人做得到。

而如果真正让你放不下的,是社交活动上听来的那个发票诈骗故事——同样的设置,同样的两分钟检查

常见问题

如果截止日期前修不完所有问题怎么办? 把真实情况交上去:带日期的报告、本周已修好的项目,以及其余项目的带日期计划。NIS2 供应链审查者评估的是供应商是否在管理风险,而不是是否完美无缺——一份评分报告加一份整改说明就是白纸黑字的风险管理。让审查不过关的是沉默,或者经不起复查的声称。

我的 IT 外包能处理这些吗? 免费的设置项可以——发件人名单、你自己名义的签名、防伪造规则都是常规 DNS 工作,上面的修复页面就是为这种交接写的。外包方合理地认为超出其职责范围的,是判断层面:该强制执行哪种策略、什么时候收紧才安全、期间该对客户说什么。评分报告把这些判断变成一份文件,你们双方都不用即兴发挥。

他们真的会把我们从供应商名单上除名吗? 对于空白答复或被抓到的虚假声称——最终会的;客户要对监管机构负责。对于附有整改日期的诚实差距——极不可能:在全部 261,086,232 个已评分域名中,只有 10.59% 强制执行这些问卷所问的防伪造策略(普查截至 2026-06-29)。诚实加计划能让你留在名单上。

我们不受 NIS2 约束——能不能不理这份问卷? 义务在你的客户身上,而他们履行义务的方式就是选择可核查的供应商。脱颖而出的空间非常大:在全部 261,086,232 个已评分域名中,只有 7.4% 把邮件认证对齐并强制执行(普查截至 2026-06-29)。一个下午就能让你领先那份供应商名单上几乎所有其他名字。

把报告转发给你的 IT 联系人

这些内容一个字都不用重新打。运行免费扫描,然后把两样东西转发给负责你域名的人:评分报告和这篇文章。报告写明了具体要改哪些设置;修复页面给出了步骤。等修正后的报告回来,问卷答案就自己写好了——一项评分对应一项。然后把它存档:下一个客户会问同样的四件事,你的保险续保已经在问了,一份五分钟就能附上的带日期报告,就是“一个下午”与“救火演习”的区别。

检查你的域名 → · 问卷会核查你域名上的什么 → · 你听说的那个发票诈骗故事 → · 仅使用汇总数据。数据在欧盟境内存储和处理。