Defaults.Exposed

Defaults.Exposed修復Guides

客戶的安全問卷在問郵件驗證——一個下午答完(並補齊差距)(2026)

發布於 2026-07-08

資料截至 2026-06-29 · 方法論 v7。 基於 261 百萬個已評分網域的彙總普查資料——我們從不公布任何單個網域的結果。參見我們如何評分

你的客戶之所以來問,是因為歐洲的供應鏈安全法規現在要求他們核查自己的供應商。這些問題有一個兩分鐘的起點:一次免費掃描,評分的正是他們要探查的內容。根據 Defaults.Exposed 對 261,086,232 個網域的普查(截至 2026-06-29),只有 7.4% 的網域把郵件驗證完全對齊並強制執行——大多數供應商同樣還答不出“是”。

這個下午的計劃是:執行免費掃描,讀完那份一頁紙的評分報告,如實回答已經達標的項目,並在當天修好免費的速贏項。對更深層的問題,一份帶日期的報告加一段簡短的整改說明就是可以接受的過渡性答復——而且比一句沒有依據的“是”要好得多。

我們最大的客戶為什麼突然來問我們的郵件安全?

這不是針對你。如果你的客戶屬於 NIS2——歐盟的網路與資訊安全指令——的適用範圍,其第 21(2)(d) 條要求他們管理供應鏈的安全,而歐盟委員會實施條例 (EU) 2024/2690 具體列明了措施,並明確點名郵件安全。於是採購部門給每家供應商都發問卷;你自己也許並不受 NIS2 約束,但這項義務就是這樣層層傳導到你身上的。截止日期和後果——能否留在合格供應商名單上——之所以存在,是因為你的客戶必須向監管機構證明他們做過核查。(我們寫過一篇NIS2 對郵件驗證到底怎麼說。)保險公司現在也在問同樣的問題——如果你的續保表格也開始這麼問了,那是這個下午的保險版

這些問題到底是什麼意思?

典型供應商問卷裡的郵件安全部分,其實是四個披著縮寫外衣的問題。先翻譯一遍,之後就不再提這些縮寫。

問卷問的是用大白話說是什麼意思掃描報告如何回答
“你們是否強制執行 DMARC 政策?”(DMARC——基於網域的郵件驗證、報告與一致性)你有沒有告訴全世界的郵件伺服器:拒收偽造你網域的郵件?這是大多數供應商栽跟头的一行:在 261,086,232 個已評分網域中,只有 7.4% 做到了對齊並強制執行(普查截至 2026-06-29)。說明並評分你的政策。“強制執行”指 reject 或 quarantine;“僅監控”目前什麼都拦不住——如實說明你屬於哪種。
“SPF 是否設定了限制性政策?”(SPF——發件人政策框架)你有沒有公布允許以你公司名義發郵件的伺服器名單——名單結尾是斩钉截铁(“別人都不行”)還是含糊其辭(“也許還有別人”)?顯示名單是否存在、是否有效、結尾是硬還是軟。
“出站郵件是否經過數字簽名(DKIM)?”(DKIM——網域金鑰識別郵件)你的郵件是否帶有防篡改簽名,證明它來自你的網域——而且是以你的名義,不是服務商的默認名義?顯示是否存在以你網域署名的簽名——服務商默認簽名的陷阱是掃描發現的最常見差距
“你們是否監控網域偽造?”如果有人冒用你的名義發假郵件,你會發現嗎——還是第一個信號是一通愤怒的電話?顯示報告位址是否已開啟,讓冒用企圖能夠傳到你這裡。

這些問題每一個都能從你網域的公開設定中得到答案——不需要審計、不需要外包機構、不需要訪問你的系統。這就是這個下午計劃可行的原因。這四項也只是一份更長清單裡的郵件部分:網路保險和供應商問卷會核查你網域上的哪些項目把他們探查的每項控制都列成了表,並附有全網通過率。本頁則專注於你的這個下午——該答什麼,先修什麼。

怎麼在截止日期前答完?一個下午的計劃

  1. defaults.exposed 執行免費掃描——兩分鐘,在任何人動手之前。 它讀取你網域的公開設定,評分的正是上面四個方面。无需註冊,不接触你的郵件。
  2. 閱讀評分報告。 一頁紙、直白語言、帶日期——每項評分都對應問卷中的一個問題,讓你知道真實答案,而不是靠猜。
  3. 如實回答已經達標的項目。 報告顯示通過的地方,答“是”並說明依據(“經獨立掃描驗證”,附日期)。
  4. 當天修好免費的速贏項。 常見差距都是設定問題,不用花钱買東西:軟結尾的發件人名單(SPF 修復)、缺失或卡在監控模式的防偽造規則(DMARC 修復)、以服務商默認名義的簽名。全部免費,大多每項只是一條 DNS 記錄——把修復頁面轉發給管理你網域的人,几個“否”就能在問卷交回之前變成“是”。
  5. 對更深層的問題,附上帶日期的報告和整改說明。 稳妥地過渡到完全強制執行的政策需要先監控數周——沒完成就絕不要聲稱已完成。“獨立掃描見附件;強制執行推進中,目標九月”對任何稱職的採購團隊都是可以接受的過渡性答復。虚假的“是”則不行:採購團隊會復查,而且往往用的正是這類掃描。

這份問卷有沒有可能反而對我們有利?

有——因為其他人交回去的是什麼樣。大多數供應商只答一個干巴巴的“是”,背後什麼都沒有,而在 261,086,232 個已評分網域中,只有 7.4% 真正具備問卷所探查的對齊並強制執行的姿態(普查截至 2026-06-29)。一份帶日期、由獨立方評分的報告——哪怕顯示存在差距並附整改日期——也勝過沒有依據的“是”,因為前者可以核實,後者只是指望。沒人要求你完美;要求的是可核查。供應商名單上你的競爭對手,很少有人做得到。

而如果真正讓你放不下的,是社交活動上听來的那個發票詐騙故事——同樣的設定,同樣的兩分鐘檢查

常見問題

如果截止日期前修不完所有問題怎麼辦? 把真實情况交上去:帶日期的報告、本周已修好的項目,以及其余項目的帶日期計劃。NIS2 供應鏈審查者評估的是供應商是否在管理風險,而不是是否完美无缺——一份評分報告加一份整改說明就是白紙黑字的風險管理。讓審查不過關的是沉默,或者經不起復查的聲稱。

我的 IT 外包能處理這些嗎? 免費的設定項可以——發件人名單、你自己名義的簽名、防偽造規則都是常規 DNS 工作,上面的修復頁面就是為這種交接寫的。外包方合理地認為超出其職責範圍的,是判斷層面:該強制執行哪種政策、什麼時候收紧才安全、期間該對客戶說什麼。評分報告把這些判斷變成一份文件,你們双方都不用即興發挥。

他們真的會把我們從供應商名單上除名嗎? 對於空白答復或被抓到的虚假聲稱——最終會的;客戶要對監管機構負責。對於附有整改日期的誠實差距——極不可能:在全部 261,086,232 個已評分網域中,只有 10.59% 強制執行這些問卷所問的防偽造政策(普查截至 2026-06-29)。誠實加計劃能讓你留在名單上。

我們不受 NIS2 約束——能不能不理這份問卷? 義務在你的客戶身上,而他們履行義務的方式就是選擇可核查的供應商。脫颖而出的空間非常大:在全部 261,086,232 個已評分網域中,只有 7.4% 把郵件驗證對齊並強制執行(普查截至 2026-06-29)。一個下午就能讓你領先那份供應商名單上几乎所有其他名字。

把報告轉發給你的 IT 聯繫人

這些內容一個字都不用重新打。執行免費掃描,然後把兩樣東西轉發給負責你網域的人:評分報告和這篇文章。報告寫明了具體要改哪些設定;修復頁面給出了步驟。等修正後的報告回來,問卷答案就自己寫好了——一項評分對應一項。然後把它存檔:下一個客戶會問同樣的四件事,你的保險續保已經在問了,一份五分鐘就能附上的帶日期報告,就是“一個下午”與“救火演習”的區別。

檢查你的網域 → · 問卷會核查你網域上的什麼 → · 你听說的那個發票詐騙故事 → · 僅使用彙總資料。資料在歐盟境內儲存和處理。