Defaults.Exposed › 修復
修復你的網域安全——免費分步指南
通俗易懂的指南,教你修復我們評級的每一項問題——SPF、DKIM、DMARC、DNSSEC、TLS、憑證以及 HTTP 安全標頭。每篇都會說明它是什麼、它可能給你的業務帶來什麼代價,以及如何在你的服務商處準確地進行配置。
- CAA 記錄
CAA 記錄是你網域設定裡的一條簡短指令,指定哪些憑證公司被允許為你的網站簽發那張小鎖安全憑證。開啟它之後,再沒有別的公司能悄悄以你的名義建立一張有效憑證。 - CDN / WAF 與主機
對你網站背後管線的兩次解讀:你是否坐落在一面防護盾後面(一個帶 Web 應用程式防火牆的 CDN,如 Cloudflare),它過濾攻擊、吸收流量高峰;以及一張地圖,說明到底是誰在運行你的 DNS、網站和信箱。兩者在我們的評分中都屬於提示性——它們不動你的評分——但它們描述了你的源站伺服器對攻擊和宕機有多暴露,以及你的提供商有多盤根錯節。前面有一面盾、再加上一組合理拆分的提供商,正是有韌性的企業該有的樣子。 - DKIM
DKIM 是你公司每一封外發郵件上那枚看不見的防篡改封印。它讓收件的郵件服務商能夠確認郵件確實出自你手、且抵達時分毫未改。沒有它,你的郵件更易被偽造、更易被篡改,也更容易落進垃圾箱。 - DMARC(郵件冒充防護)
DMARC 是唯一一個真正命令全世界郵件服務商攔截那些偽造你公司名義的郵件的設定。SPF 和 DKIM 負責檢查鎖;DMARC 決定當一封偽造郵件沒通過檢查時該怎麼辦——扔掉、標記,還是放行。設錯了,你的網域可被隨意偽造;設對了,冒充在抵達收件匣前就被攔下。 - DNSSEC
DNSSEC 是給你網域通訊錄蓋的一枚數位封印。它讓網際網路能證明這個網域住在哪裡這個問題的答案確實來自你、且在途中未被篡改。少了它,答案可被偽造——你的訪客就被悄悄送往別處。 - HSTS(嚴格傳輸安全)
HSTS 是你的網站給每一個瀏覽器下的一行指令:「以後永遠透過安全、加密的連線來找我——絕不要走不安全的那條。」沒有它,你的那把鎖可以在共享 WiFi 上被悄悄剝掉,而對你網站的頭一次訪問就是暴露的。 - HTTPS 與強制安全跳轉
HTTPS 就是瀏覽器網址列裡那把鎖——它加密你網站與客戶之間往來的一切,讓傳輸途中無人能讀取或篡改。強制安全跳轉則確保訪客即便在地址裡沒敲「https://」,也會被自動送到那個加密版本上。兩者合在一起,是一個網站能被視為安全的最基本前提。 - IPv6 支援
IPv6 是網際網路定址系統更新、容量大得多的版本,之所以引入,是因為舊的那個(IPv4)位址已經用光了。加上 IPv6 支援,意味著你的網站和信箱在現代網路上、和在舊網路上一樣都能被聯繫到。在我們的評分中這屬於提示性——沒有它不會拉低你的評分——但它是一個真實世界的觸達問題:越來越多的行動端和海外客戶透過純 IPv6 網路連線,而只有你支援它,他們才能順暢地聯繫到你。修復是免費的,就在你的 DNS 和主機設定裡。 - MIME 嗅探防護(X-Content-Type-Options)
一條簡單的回應標頭,阻止瀏覽器去猜測某個檔案到底是什麼。少了它,有人上傳到你網站的檔案——或你自己頁面上的檔案——可能被瀏覽器誤判並當作程式碼執行,而這正是某些攻擊把一個看似無害的上傳變成竊取客戶工作階段手段的方式。 - MX 記錄(郵件接收設定)
MX 記錄是一塊路標,告訴全世界該把寄往你網域的郵件投遞到哪裡。它一旦缺失或損壞,所有發給你公司的郵件——客戶諮詢、密碼重置、發票、合約——都會原路退回給發件人。沒有 MX,就沒有收件匣。 - Referrer-Policy(來源頁策略)
Referrer-Policy 是你網站交給每位訪客瀏覽器的一條簡單指令,控制當訪客點擊通往別的網站的連結時,你的網址會隨他們帶走多少。少了它,他們當時所在那個頁面的完整網址——搜尋詞、帳號、重置連結、內部頁面路徑,統統在內——會被悄悄交給他們接著落地的那個網站,包括廣告商、分析公司,以及連結指向的任何地方。 - SPF(發件人策略框架)
SPF 是寫在你網域設定裡的一行規則,用來聲明哪些郵件服務有權以你公司的名義發郵件。沒有它,全世界任何人都能冒充你發郵件——而你自己發出的正經郵件,反而更容易被丟進客戶的垃圾箱。 - TLS 憑證健康度
你的 SSL/TLS 憑證是一張數位身份證,向訪客證明他真的在和你的網站對話——而不是冒牌貨——並驅動瀏覽器裡那把鎖。本項檢查關注的是:這張憑證是否有效且受信任、是否即將過期,以及是否用強壯、現代的密碼學構建。 - 內容安全策略(CSP)
內容安全策略是你的網站交給每個訪客瀏覽器的一條安全規則,明確告訴它哪些程式碼獲准執行。沒有它,一旦有惡意東西落到頁面上——透過一個留言框、一個被黑的外掛、或一個第三方腳本——瀏覽器就會隨意執行它,包括在你客戶輸入時悄悄盜取卡號和密碼的程式碼,而那把鎖還顯示著。 - 反向 DNS(PTR)
反向 DNS 是為你公司發郵件那台伺服器佩戴的身份牌。當 Gmail、Microsoft 365 這樣的收件服務商查清發件地址背後是誰、並得到一個經得起核對的名字時,你的郵件就顯得合法。一旦沒有身份牌——或名字與地址對不上——你那些完全真實的發票和報價就會被當成可疑,被悄悄丟進垃圾箱或拒收。 - 現代加密(TLS 版本與密碼套件)
TLS 是那把鎖,它打亂在你訪客和你網站之間流動的資料。有兩件事讓這把鎖可信:使用現代版本的 TLS(不是那些老舊、已被攻破的版本),以及使用強壯的密碼套件(實際的打亂配方)。本頁兩者都講——外加幾個不影響你評分、卻值得了解的相關設定。 - 網域名稱伺服器設定(多樣性與 SOA)
你的網域名稱伺服器是告訴整個網際網路在哪裡找到你網站和信箱的那本目錄。如果它們全都坐落在同一個網路上,而它一旦宕機,你的業務就會在同一刻從網際網路上消失——沒有網站、沒有信箱、什麼都沒有;而這些伺服器上一個草率的時鐘設定,還可能讓你做的改動卡上好幾天。 - 跨源隔離回應標頭(COOP / CORP / COEP)
三條可選的瀏覽器指令,控制別的網站可以如何與你的網站互動——在彈出視窗裡打開它、嵌入它的圖片和腳本,或把它的資源拉進自己的頁面。它們是現代加固,而非基礎必備,在我們的評分中屬於提示性:缺失它們不會拉低你的評分。但其中兩條安全的能堵住一處隱蔽的網路釣魚和頻寬竊取漏洞,而謹慎買家的 IT 團隊會注意到它們的存在。 - 點擊劫持防護(X-Frame-Options)
這是一條簡單的指令,告訴瀏覽器不允許別的網站偷偷把你的網站載入到它們自己的頁面裡。少了它,騙子就能把你真實的、已登入的頁面藏在一個假頁面後面,誘騙你的客戶點擊他們根本不打算點的東西——批准一筆付款、修改密碼、授予權限。