Defaults.Exposed

Defaults.Exposed修復Guides

有人在用你的網域發郵件:應急回應指南(2026)

發布於 2026-07-08

資料截至 2026-06-29 · 方法論 v7。 基於 261 百萬個已評分網域的彙總普查資料。參見我們如何評分

先確認那些假郵件用的是你的精確網域,還是一個仿冒網域,因為兩者的修法完全不同。精確網域冒用可以在 DNS 裡直接關閉——而大多數網域都還沒做到:根據 Defaults.Exposed 對 261,086,232 個已評分網域的普查,89.41% 沒有強制執行的 DMARC 政策,46.4% 干脆沒有發布 SPF。

這是一份事件處理清單:第一小時——在不把事情弄得更糟的前提下確認發生了什麼;第一天——關上那扇屬於你的門,或者如果門不是你的,就啟動下架流程;第一周——監控、提醒可能受影響的人、強制執行。如果你只是好奇這種事會不會發生在自己身上,先看有人能冒用我的網域嗎——這一篇是給已經發生的情况準備的。

首先:這真的是你的網域,還是一個仿冒品?

拿到一封假郵件,逐字元讀它的發件位址。接下來的一切都取決於這一步:

From 位址顯示的內容發生了什麼你該走哪條路
[email protected]——你的網域,拼寫完全正確冒用:一個陌生人的伺服器在 From 栏裡偽造了你的網域。你的系統沒有被黑。DNS 修法——SPF、DKIM、強制執行 DMARC。路径一。
[email protected]yourcompany-billing.comyourcompany.co——很像,但不是你的別人註冊的一個仿冒網域。你的 DNS 根本不會被查詢。下架 + 提醒。路径二。
是你的精確位址,而且這些郵件就躺在你自己的“已發送”文件夹裡,或是在回復真實的郵件線程帳號被盗——有人進入了一個真實郵箱。這是另一種事件。先改密碼、注銷所有工作階段、開啟双因素驗證、檢查轉發規則——比什麼都优先。

資料截至 2026-06-29。

加粗的那一行是最常見、也最容易修復的情况。郵件的核心協定從來沒有驗證過 From 栏——任何人都能把你的網域填進去——所以修法就是發布 DNS 記錄,讓接收方能夠自行核實。讓人不太舒服的普查數字是:261,086,232 個已評分網域中有 121,145,609 個(46.4%)完全沒有發布 SPF 記錄,而在發布了 SPF 的 138,927,207 個網域裡,有 36,014 個以 +all 結尾——字面意義上授權了整個互聯網都可以冒充它們發信(資料截至 2026-06-29)。

第一小時:先確認,別急著反應

  1. defaults.exposed 執行免費掃描。 三十秒,不用註冊。它會在你動 DNS 之前,告訴你這個網域目前是否容易被冒用——SPF 是否存在且嚴格、DMARC 是否強制執行。
  2. 不要回復那封假郵件,不要點裡面的任何東西,也先別群發郵件提醒你的聯繫人。 用同一個網域發出一封慌張的“別理會我們發的郵件!”群發信,讀起來和騙局本身沒什麼兩樣。提醒要放到後面,而且要精準、走非郵件渠道。
  3. 收集一份帶完整標头的樣本。 讓一位收件人把這封假郵件作為附件轉發給你(Gmail:“顯示原始郵件”→下載;Outlook:“查看郵件源”)。只有 From 栏的截圖是不夠的——標头才是後面一切工作的證據。
  4. 讀一讀接收伺服器已經給出的判定結果。 在標头裡找到 Authentication-Results:——如果針對你的精確網域出現 dmarc=fail,就確認了是在冒用你的網域;如果 header.from= 裡是一個仿冒網域,就確認是路径二。有一點很微妙:接收方是對照 Return-Path 網域(RFC5321.MailFrom,退信位址),而不是收件人看到的 From 標头來評估 SPF 的——一封偽造郵件甚至可能對垃圾郵件發送者自己的網域顯示 spf=pass,同時在 From 栏裡偽造你的網域。DMARC 的對齊檢查正好能堵上這個缺口。

路径一——是你的精確網域:第一天該做什麼

冒用你的精確網域,只有在你的 DNS 什麼都沒說、讓接收方无法拒收的情况下才行得通。今天你要發布(或收紧)這三條記錄;強制執行是這一周的項目。

  1. **SPF:**發布一條記錄,列出你真正的發信方,以 -all 結尾(“除此之外,一律失敗”)。如果你現在的記錄以 +all?all 結尾,先修這個——那是你自己發布出來的一扇敞開的門。操作指南見如何修復 SPF,服務商點擊路径見 GoDaddy 上的 SPF
  2. **DKIM:**在你的郵件服務商以及任何通讯/開票工具裡開啟網域簽名(通常各自只需要几條 CNAME 記錄)。
  3. DMARC:今天就發布 v=DMARC1; p=none; rua=mailto:...,讓報告開始流動;p=reject 是這一周的項目,不是這一小時的——完整參考見如何修復 DMARC。如果這個網域根本不發任何合法郵件——一個舊品牌、一個停放網域——不用猶豫,今天就直接鎖死它:見改名前留下的那個舊網域,是一扇你沒關上的門

在你松一口气之前,先說句實話:一個強制執行的 DMARC 政策會告訴接收伺服器把精確網域的偽造郵件丢進垃圾箱或直接拒收——大服務商都會遵守。但它只約束會檢查它的接收方,而且它對仿冒網域完全沒有任何作用:一旦騙子沒法再以 yourcompany.com 的身份發信,註冊一個 yourcompany-billing.com 也就几歐元的事。DMARC 縮小了攻擊面,但不是故事的終點——第一周要做的那些事對你同樣重要。

路径二——是仿冒網域:這不是 DNS 能修的問題

你在自己網域上發布的任何記錄,都不會影響一個你不擁有的網域發出的郵件——你的 DNS 甚至根本不會被查詢。這時候的打法是下架加提醒:

  1. 查出仿冒網域背後是誰。 用 RDAP/WHOIS 查詢(比如 lookup.icann.org)找到它的註冊商,並檢查它是否托管了一個網站。
  2. 向該註冊商的濫用舉報渠道舉報,附上你完整標头的樣本——註冊商每天都在暂停釣魚網域;證據清楚就能處理得很快。如果它是一個釣魚網站,也要舉報給托管商、Google Safe Browsing 和 Microsoft SmartScreen。
  3. 在收件郵箱裡把這些郵件標記為釣魚郵件(Gmail/Outlook 的“舉報網路釣魚”)——這能讓各大過滤器比任何一封舉報信都更快地學會識別這個仿冒網域。
  4. 通過非郵件渠道提醒可能受影響的對象——這一步才是真正能阻止钱被轉走的關鍵。給客戶、供應商和你的會計打電話或發訊息(不要只發郵件):說出那個假網域的名字,讓任何“來自你”的銀行資訊變更都能通過電話核實。這個習惯是應對你听說過的那個發票欺詐故事 的最佳防線。
  5. 如果仿冒網域濫用了你的商標,可以走 UDRP 投訴來轉移該網域——比下架慢,但是永久性的。

而且路径一也要照做:攻擊者很少會在真實網域還敞開的情况下費心去搞仿冒網域,而 89.41% 的網域沒有強制執行 DMARC(261,086,232 個裡只有 27,640,987 個——10.59%——做到了,截至 2026-06-29)。不管怎樣,先把自己家的門關上。

第一周:監控、提醒、強制執行

  1. 閱讀你的 DMARC 報告。 rua= 標簽生效後一兩天內,彙總報告就會顯示每一台以你網域身份發信的伺服器——你自己的和偽造者的都在內,帶著數量和判定結果。這是你觀察攻擊逐渐消退的方式。
  2. 確認你的合法發信方都能通過。 每一個真實來源(郵件服務商、通讯工具、開票應用、網站聯繫表單)都必須在你強制執行之前,以對齊的方式通過 SPF 或 DKIM——否則拒收也會連帶挡住你自己的郵件。
  3. 把 DMARC 逐步收紧到 p=quarantine,再到 p=reject 在遭受主動冒用攻擊的情况下,你可以把通常要几個月的流程壓縮到一兩周——但壓縮的是階段的時長,不是跳過階段本身。分階段上線方案、pct 逐步提高和子網域政策,見從 p=none 到 p=reject 且不誤伤合法郵件
  4. **給可能收到過假郵件的相關方發一條冷静、精準的通知:**發生了什麼、假郵件要求了什麼、付款變更要通過電話核實的規則,以及(路径二情况下)需要拦截的那個確切仿冒網域。
  5. 重新掃描並保留報告。 保險公司和客戶越來越常問你為郵件安全做了什麼;一份帶日期的評分報告能白紙黑字地回答這個問題。

常見問題

我收到了一封來自自己位址的詐騙郵件。我是不是被黑了? 几乎肯定不是——“自己發給自己”的勒索郵件用的是同一種偽造手法,利用的正是你網域不會拒收假郵件這一點。檢查一下已發送文件夹和最近的登录記錄;如果都干淨,那就是冒用,一個強制執行的 DMARC 政策能在遵守它的接收方那裡挡住這種手法。截至 2026-06-29,261,086,232 個已評分網域中有 89.41% 還沒做到這一點。

DMARC 能挡住仿冒網域發的郵件嗎? 不能。你的 DMARC 政策只管辖你的精確網域(及其子網域)——仿冒網域是別人的網域,有自己的 DNS,永遠不會被拿去對照你的記錄檢查。對付仿冒網域靠的是註冊商濫用舉報、釣魚舉報和對相關方的提醒,不是 DNS。

p=reject 到底多快能止住冒用? DNS 變更几小時內就能傳播到接收方,而 Gmail、Outlook 和大多數主流服務商都會執行 DMARC 的判定結果——精確網域的偽造郵件在政策生效當天就會開始減少。有兩個誠實的局限:從不檢查 DMARC 的小型接收方仍可能投遞假郵件,而且在你自己的發信方都對齊之前就強制執行,會連帶挡住你自己的合法郵件——加快各階段的節奏,但不要跳過它們。

把報告發給老板

如果你是負責處理這件事的 IT 承包商:記錄生效後,重新執行掃描,把評分報告轉發給企業負責人。它會用大白話說明是什麼讓冒用得以發生、你改了什麼、這個網域現在處於什麼狀態——這是對“我們現在安全了嗎?”這個問題的書面回答,也是保險續保或客戶問卷需要的證據。如果你就是企業負責人:直接要這份報告,並保留前後對比。

免費檢查你的網域是否容易被冒用

私密、僅網域所有者可見地看看一個陌生人的伺服器目前能不能冒充你——以及具體該修什麼。

檢查你的網域 → · 從 p=none 到 p=reject → · 修復 DMARC → · 有人能冒用我的網域嗎?→ · 僅使用彙總資料。資料在歐盟境內儲存和處理。