Defaults.Exposed › 報告
有人能冒充你的企業發送電子郵件嗎?對大多數域名而言,可以(2026)
發布於 2026-06-29
數據截至 2026-06-29 · 方法論 v7。 涵蓋 261 百萬個已評級域名的彙總普查數據。“可被冒充”是指該域名未強制實施 DMARC(沒有隔離或拒絕策略),而這一控制機制正是用來告訴接收方郵件服務器攔截偽造郵件的。參見我們如何評級。
對大多數企業而言,答案是肯定的——有人可以發送看起來完全像是來自您域名的電子郵件。 在我們評級的 261 百萬個域名中,只有 10.59% 強制實施了 DMARC,這是唯一能真正阻止冒充的控制機制。其餘 89.41% 則門戶大開:騙子可以把您的確切地址放進”發件人”欄,而大多數收件箱會將其顯示為真實郵件。這正是虛假髮票、CEO 欺詐付款請求和供應商騙局背後的機制——而且嘗試起來毫無成本。
真的有人能以我的域名身份發送郵件嗎?
如果您的域名沒有強制實施 DMARC,那麼可以。電子郵件在設計時沒有內置驗證發件人的方式,因此”發件人”地址極易偽造。三項分層設置可以解決這個問題——SPF、DKIM 和 DMARC——但只有最後一項設為強制實施時,才會告訴接收服務器真正拒絕或隔離偽造郵件。截至 2026-06-29:
- 75.11% 的域名完全沒有 DMARC 記錄。
- 14.29% 的域名設置了僅監控模式(
p=none)的 DMARC 記錄——在審計中看起來像是有保護,但它告訴接收方什麼都不做,因此偽造郵件仍會送達。 - 只有 10.59% 強制實施了
quarantine或reject策略——這才是阻止冒充的配置。
因此,89.41% 的域名——超過十分之八——如今都可能在電子郵件中被冒充。
“但我們有 SPF”——為什麼那還不夠
這是最常見也最危險的誤解。53.21% 的域名發佈了 SPF 記錄,遠多於強制實施 DMARC 的 10.59%。所有者看到 SPF 就以為自己有了保護。他們並沒有:SPF(和 DKIM)檢查的是技術發送路徑,但它們並不管轄人們實際看到的”發件人”地址。如果沒有把 DMARC 設為強制實施,攻擊者仍可在自己的基礎設施上通過 SPF 檢查並偽造您可見的地址。SPF 是必需的管道;DMARC 強制實施才是那把鎖。
您所在的這片網絡有多脆弱?
強制實施程度因域名後綴而差異巨大。越高越好——這是真正阻止冒充的域名所佔的比例。截至 2026-06-29:
| 域名後綴 | 強制實施 DMARC | 可被冒充 |
|---|---|---|
| .nl(荷蘭) | 29.43% | 29.43% 受保護,其餘暴露 |
| .de(德國) | 21.38% | — |
| .in(印度) | 19.26% | — |
| .uk(英國) | 13.42% | — |
| .com | 9.50% | 這個使用最廣泛的後綴低於 10.59% 的全球平均水平 |
| .net | 10.08% | — |
| .org | 10.01% | — |
| .xyz | 5.15% | — |
| .top | 3.17% | — |
| .cn(中國) | 1.45% | 主要後綴中最低的 |
即使是表現最好的大型後綴,保護的域名也不到三分之一。在 .com 上——大多數企業所在之處——只有 9.50% 強制實施 DMARC。
這實際上給企業帶來多大損失
電子郵件冒充是全球向執法機構報告的一些代價最高的網絡犯罪背後的機制——商業電子郵件詐騙。其模式始終如一:
- 客戶收到一張來自您地址、附有騙子銀行賬戶信息的”發票”,付了款,幾周後才發現這是欺詐——而且往往把它當作您的過失。
- 一名員工收到一封緊急的”來自老闆”的請求,要求轉賬或購買禮品卡。地址確實是您的,於是他照辦了。
- 供應商在一封通過了所有視覺檢查的郵件中被告知”我們的銀行賬戶信息變了”。
這一切都不需要入侵您的系統。它只需要您的域名沒有強制實施 DMARC——而對 89.41% 的域名來說,事實正是如此。
如何判斷您是否受到保護(以及如何修復)
您無法從外部判斷您是否屬於那 10.59%——唯一的方法是檢查您的域名。修復是免費的,通常一個下午即可完成,按順序進行:發佈 SPF 和 DKIM,然後將 DMARC 轉為強制實施(p=none → quarantine → reject)。最後一步才是真正關上那扇門的一步。
常見問題
有人能冒充我的公司發送電子郵件嗎? 如果您的域名沒有強制實施 DMARC(隔離或拒絕策略),那麼可以——您確切的”發件人”地址可被偽造,而大多數收件箱會將其顯示為真實郵件。截至 2026-06-29,89.41% 的已評級域名處於這種狀態。
我們已經有 SPF 了——難道還不安全嗎?
不安全。SPF 檢查技術發送路徑,但不檢查可見的”發件人”地址。53.21% 的域名發佈了 SPF,但如果沒有把 DMARC 設為強制實施,您的地址仍可被偽造。您需要把 DMARC 設為 quarantine 或 reject。
一條 DMARC 記錄還不夠嗎?
只有在它強制實施時才夠。設為 p=none(僅監控)的記錄——14.29% 的域名在使用——對阻止偽造毫無作用。只有 quarantine 或 reject 才有用,而僅有 10.59% 的域名做到了這一點。
我該如何檢查我自己的域名? 運行一次免費、私密的檢查(見下)。我們只會向經過驗證的所有者展示某個域名的結果。
修復這個問題貴嗎? 不貴。SPF、DKIM 和 DMARC 都是免費的 DNS 設置。成本是按正確順序設置它們所需的時間,而非金錢。
檢查您的域名是否可被冒充
不要去猜您站在 10.59% 的哪一邊。私密且免費地檢查您的域名——您會看到您的 DMARC、SPF 和 DKIM 狀態,以及究竟需要修復什麼。
檢查您的域名 → · 修復 DMARC → · 修復 SPF → · 我們如何評級 → · 僅彙總數據。數據在歐盟境內存儲和處理。