Defaults.Exposed › 修復 › Guides
改名前留下的那個舊網域,是一扇你沒關上的門——如何鎖死不發郵件的網域(2026)
發布於 2026-07-08
資料截至 2026-06-29 · 方法論 v7。 基於 261 百萬個已評分網域的彙總普查資料——我們從不公開單個網域的結果。參見我們如何評分。
一個從不發郵件的網域,照樣能被人拿來以你企業的名義發郵件——假發票、偽造的供應商請求、虚假的工資變更通知——除非它的 DNS 明確表態說不行。三條免費記錄就能把它鎖死,每個網域大約花十分鐘。根據 Defaults.Exposed 對 261,086,232 個網域的普查(截至 2026-06-29),有 46.4% 的網域連 SPF 記錄都沒有。
修法又短又免費:對每一個你擁有但從不用來發信的網域,發布三條小小的 DNS 記錄(外加一條可選的第四條),告訴全世界的郵件系統“沒有人可以以這個網域的身份發信,任何嘗試都應拒收,而且這個網域也不接收任何郵件”。這篇指南會給你確切的記錄內容、怎麼找回你忘記的那些網域,以及該把什麼交給你的 IT 人員。
我們說的是哪些網域?
几乎每家運營超過几年的企業都有這些:
- 舊名字。 你在 2014 年改了名,把舊網域留了下來,“免得被別人抢注”。它還在某人的信用卡上自動續費,從那以後就沒人再看過它。
- 防御性註冊。 你在註冊
.ie或.de的同時順手買下的.com、帶連字元的版本、常見的拼寫變體。 - 代理機構註冊的網域。 多年前營銷代理機構替你註冊的一個活動專用網域——可能壓根不在你自己的註冊商帳戶裡。
- 只做跳轉的網域。 它把訪客導向你真正的網站,所以感覺像是“已經處理好了”。其實沒有:網頁跳轉對郵件毫无作用。
這些網域都不發郵件。但它們全都可以被拿來發——對一台接收郵件的伺服器來說,一個沒有郵件記錄的網域不是“已關閉”,而是“无人認領”。任何人都可以把你的舊名字填進一封詐騙郵件的 From 栏,而接收方沒有任何理由拒絕它。
為什麼一個什麼都不發的網域,能被人拿來冒充我發郵件?
郵件的設計基礎是信任:默認情况下,任何地方的任何伺服器都可以聲稱自己在代表任何網域發信。撤銷這種信任的記錄,只有在有人主動發布之後才會起作用——而在一個停放的網域上,從來沒有人發布過。你正在用的那個活躍網域,大概在配郵件時順帶配好了一部分;改名之後留下的那個網域,則什麼都沒配。
數字說明了這有多普遍。在 Defaults.Exposed 普查評分的 261,086,232 個網域中(截至 2026-06-29),有 46.4% 完全沒有發布 SPF 記錄,89.41% 沒有強制執行的 DMARC 政策——也就是那個告訴接收方該拒收冒充者的設定。停放網域正處在這條曲線的最末端:沒人在上面配過郵件,所以也沒人發布過那些能關上門的記錄。
而且舊名字比一個隨便的仿冒網域更有迷惑性:一封“來自”客戶認識了你十年的那個名字的發票,根本不會讓人起疑——這正是你听說過的那個發票欺詐故事,會發生在你公司身上嗎 裡的場景。如果你懷疑這事已經在發生,先看是不是有人在冒充你發郵件。
哪些記錄能鎖死一個不發郵件的網域?
完整的鎖定清單:每個網域十分鐘的工作,每條記錄都免費,不需要任何郵件服務——只需要能訪問該網域的 DNS 設定。
| 記錄 | 放在哪裡 | 值 | 它告訴全世界什麼 |
|---|---|---|---|
| SPF | 該網域本身的 TXT 記錄 | v=spf1 -all | 沒有任何人、任何地方,被授權以這個網域的身份發信 |
| DMARC | _dmarc.yourolddomain.com 的 TXT 記錄 | v=DMARC1; p=reject; rua=mailto:[email protected] | 拒收任何自稱是這個網域的郵件——並且給我發報告,讓我看到這些嘗試 |
| 空 MX | 該網域的 MX 記錄,优先級 0,值為 . | MX 0 .(RFC 7505) | 這個網域不接收任何郵件——連投遞都不用嘗試 |
| DKIM 撤銷(可選) | *._domainkey.yourolddomain.com 的 TXT 記錄 | v=DKIM1; p= | 任何自稱來自這個網域的郵件簽名都已被撤銷 |
前三條是必備組合;第四條是双重保險。DMARC 的報告位址(rua)是“鎖上的門”和“帶攝像头的鎖門”之間的區別:如果有人嘗試以你的舊網域發信,報告就是你發現這件事的方式。
我該怎麼鎖定一個停放的網域?
- 先在 defaults.exposed 免費掃描每個網域——每個只要兩分鐘,就能在動 DNS 之前清楚看到具體缺了哪些記錄。
- 登录該網域的 DNS 管理——通常是註冊商的控制面板。如果是代理機構註冊的,這一步就是給代理機構發一封郵件。
- **新增 SPF 記錄:**在該網域本身發布一條 TXT 記錄,值為
v=spf1 -all。必須恰好有一條以v=spf1開头的記錄。 - **新增 DMARC 記錄:**在
_dmarc發布一條 TXT 記錄,v=DMARC1; p=reject; rua=mailto:...,把報告指向你真正在用的網域上的一個郵箱。給 IT 人員的提示:跨網域的報告需要在活躍網域上配一條外部授權記錄(yourolddomain.com._report._dmarc.your-live-domain.com),否則報告會悄无聲息地永遠收不到。 - **新增空 MX:**一條优先級為
0、值為.的 MX 記錄——這是宣告該網域不接收郵件的標準做法(RFC 7505)。 - **可選:新增 DKIM 撤銷記錄:**在
*._domainkey發布一條 TXT 記錄,v=DKIM1; p=。 - 重新掃描以確認。 帶日期的評分報告就是這扇門已經鎖上的證明——留著它,續保時用得上。
有一點要注意:這套記錄只適用於真正什麼都不發、也不收的網域。如果舊網域還在悄悄地把郵件轉發給你,它就不算停放——需要的是真正的記錄,見新網域郵件設定清單、如何修復 SPF 和如何修復 DMARC。
我該怎麼找出自己忘了擁有的那些網域?
大多數企業主都沒法凭記忆列出自己名下的網域——這正是問題所在。可以查四個地方:註冊商帳戶(導出完整清單——通常比你記得的要多);舊發票和信用卡帳單裡被遗忘的註冊商續費記錄;直接問營銷代理機構和你的 IT 承包商——“你們有沒有替我們註冊過任何網域?”;以及舊的活動記錄。然後把找到的每一個都拿到 defaults.exposed 掃描一遍。任由網域到期又是另一回事——任何人都可以重新註冊它,這也是為什麼值得繼續為帶著你舊名字的網域每年付十几歐元續費。
常見問題
舊網域只是跳轉到我們的網站——這應該算處理好了吧? 不算。跳轉處理的是訪問這個網域的人;它對以這個網域名義發出的郵件毫无作用——這也是普查中全部 261,086,232 個網域裡 46.4% 的默認狀態(截至 2026-06-29)。鎖定它也不會影響跳轉:這些記錄只涉及郵件。
這真的能阻止詐騙嗎? 它能阻止你這個確切的舊網域,在每一個遵守這些記錄的郵件服務商那裡被冒用——包括你客戶在用的所有大服務商。但它阻止不了仿冒網域,那是另一個問題,見是否有人在偽造你的網域。鎖定加監控,是一個停放網域所能處於的最強位置——而目前在全部 261,086,232 個已評分網域中,有 89.41% 連主網域都沒有強制執行政策(截至 2026-06-29)。
這要花多少钱、要花多長時間? 不花钱,每個網域大約十分鐘——這些記錄都是免費的,也不需要訂閱任何服務。找出你名下的網域通常比修復它們要花更久的時間。而且是每一個網域都要做,不只是重要的那些:詐騙只需要你漏掉的那一個就夠了。
把清單交給你的 IT 人員
把你找到的每一個網域,連同這篇文章(裡面有他們需要的確切記錄)一起加進發給 IT 人員的清單。讓他們做完之後重新執行免費掃描,把評分報告發給你:帶日期、用大白話寫清楚,證明你名下的每一個名字都已鎖定。這正是你想放在網路保險續保表格旁邊的那叠文件。
檢查你的網域 → · 你听說過的那個發票欺詐故事 → · 如何修復 DMARC → · 僅使用彙總資料。資料在歐盟境內儲存和處理。