本文轉(zhuǎn)自奶爸博客；

最近 「??注意：“域名大盜”出現(xiàn)，小心你們的域名了！」這個(gè)事件在國(guó)別域名圈引起軒然大波，奶爸也是十分驚詫，這種社工技術(shù)只是十年前在各種黑客教程中看到過，沒想到現(xiàn)在在身邊就發(fā)生了。這幾天把自己的域名及域名郵箱都檢查加固了一下，分享給大家。

首先這個(gè)問題發(fā)生的原因是有人拿 whois 信息中的郵箱通過仿冒發(fā)件人，模仿域名持有人直接通過郵件聯(lián)系轉(zhuǎn)移或修改持有人信息。我們基于這一點(diǎn)，反向加固我們的域名和郵箱。

域名安全 Checklist

• 開啟 Whois 隱私，支持開啟 Whois 隱私的域名可以開啟 Whois 隱私，讓攻擊者無法知道持有人郵箱

• 開啟域名（轉(zhuǎn)移）鎖，gTLD 和 newgTLD 一般都支持，有些 ccTLD 需要在你的注冊(cè)商管理后臺(tái)查看有沒有 lock 選項(xiàng)

• 避免使用不安全的郵箱，在文章最后說

• 最后是 經(jīng)常查看你的 Whois 郵箱，攻擊者只能假冒發(fā)件人，如果攻擊者想要收到郵件，還是需要留自己的郵箱，這樣你可能會(huì)收到注冊(cè)商回復(fù)給攻擊者的郵件，多留意異常郵件

郵箱安全 Checklist

• 設(shè)置 SPF，這是一個(gè) TXT 類型的 DNS 記錄，比如你的郵箱是 hi@example.com 就添加 v=spf1 include:_spf.google.com -all 的 TXT 記錄到 example.com，這個(gè)記錄的作用是檢查發(fā)出郵件的服務(wù)器是否是你授權(quán)的服務(wù)器

• 設(shè)置 DKIM，這也是一個(gè) TXT 類型的 DNS 記錄，這個(gè)記錄需要你的郵件服務(wù)提供商提供給你，主機(jī)名是 [selector]._domainkey.example.com 請(qǐng)自行搜索比如「飛書郵箱 dkim」自行配置，這個(gè)作用是發(fā)信服務(wù)商會(huì)對(duì)發(fā)出的郵件進(jìn)行簽名，接收方會(huì)根據(jù) selector 查詢公鑰驗(yàn)證簽名

• 設(shè)置 DMARC，這也是一個(gè) TXT 類型的 DNS 記錄，這個(gè)記錄可以自行配置，主機(jī)名是 _dmarc.example.com 記錄值是 v=DMARC1; p=reject; rua=mailto:你的接收dmarc報(bào)告的郵箱; pct=100; adkim=s; aspf=s 這里的 p=reject 的意思是遵循 DMARC 規(guī)則的郵局系統(tǒng)在發(fā)現(xiàn) SPF、DKIM 校驗(yàn)不通過時(shí)會(huì)直接拒收，不會(huì)出現(xiàn)在用戶收件箱。而其他選項(xiàng)均會(huì)被用戶看到。

• 你可以通過 dig TXT _dmarc.qq.com 查看任意郵件服務(wù)商的 DMARC 策略

• 如果你配置了 DMARC 你可能會(huì)頻繁收到 DMARC 相關(guān)的報(bào)告，你可以選擇使用 Cloudflare 提供的 DMARC 管理服務(wù) 可視化的處理這些報(bào)告，配置很簡(jiǎn)單，Cloudflare 的管理后臺(tái) Email 菜單下啟用一下即可，具體查看文檔
  

不安全郵箱

如果不完全遵守DMARC規(guī)范會(huì)出現(xiàn)什么問題？我給自己的 QQ 郵箱發(fā)了兩封郵件測(cè)試，下面一封是通過自己的域名郵箱發(fā)出，第二封是使用 https://emkei.cz仿冒發(fā)件人發(fā)出

這兩封郵件不仔細(xì)看的話根本沒有差異，的差異是仿冒的郵件只有一個(gè)國(guó)內(nèi)產(chǎn)品隨處可見的這種提醒，我一般是忽略的，真的太不安全了，內(nèi)容發(fā)件人收件人完全一樣，郵件在收件箱并不在垃圾箱，除了這個(gè)「橫幅」只能看原始郵件發(fā)現(xiàn)問題。

可想而知如果域名管理方使用這種郵箱必然會(huì)被社工成功。