2026西湖龙井茶官网DTC发售:茶农直供,政府溯源防伪到农户家
大多数域名存在六到十个其所有者并不知晓的安全配置错误。
这并非因为所有者粗心大意。而是因为域名系统(DNS)是一个历经四十年构建的分层系统,每一层都添加了自身的记录、要求和故障模式——而且,某一层的配置错误通常在攻击者率先发现之前,没有任何可见的症状。
一个开放的 DNS 解析器。一个指向已删除的赫罗库(Heroku)应用的悬空规范名称(CNAME)记录。一个响应用户枚举查询的简单邮件传输协议(SMTP)服务器。一条签名已过期的域名系统安全扩展(DNSSEC)链。这些情况都不会出现在可用性监控中。它们都不会触发警报。然而,它们全部可被利用。
结构化安全审计会系统地检查每一层。本文将详细介绍全部 30 项检查——每项检查测试的内容、实际中失败意味着什么,以及为何需要进行该项检查。
审计的组织方式
这 30 项检查分为五个类别,每个类别针对同一域名的不同攻击面。
| 类别 | 检查数量 | 涵盖内容 |
|---|---|---|
| 电子邮件安全 | 8 | 身份验证、送达率、黑名单状态 |
| DNS 安全 | 10 | 记录完整性、配置、加密技术 |
| 基础设施安全 | 6 | 服务器暴露情况、区域数据、冗余性 |
| 合规性映射 | 4 | 网络与信息系统安全指令 2(NIS2)、通用数据保护条例(GDPR)、国际标准化组织 27001(ISO 27001)、支付卡行业数据安全标准(PCI-DSS) |
| 附加检查 | 2 | 证书和域名过期情况 |
每项检查会产生三种结果之一:通过、带有严重程度评级的失败,或警告。每次失败都会生成一份修复指南。综合结果是一个从 0 到 100 的电子邮件健康评分。
类别 1:电子邮件安全(8 项检查)
这八项检查涵盖了决定外发电子邮件是否能进入收件箱的所有因素,以及您的域名是否会被伪造以发送您从未发送过的电子邮件。
检查 1:发件人策略框架(SPF)记录验证
测试内容:您的根域名下是否存在以 v=spf1 开头的文本(TXT)记录,该记录在语法上是否有效,以及它是否列出了所有经授权的发送服务且未超过 10 次 DNS 查找的限制。
失败表现:没有 SPF 记录意味着互联网上的任何服务器都可以发送声称来自您域名的电子邮件,而接收服务器没有任何机制来验证其为伪造。损坏的 SPF 记录(语法无效或超过 10 次查找限制)会产生 SPF 永久错误(PermError),许多接收服务器会将其视为硬性失败。
双记录失败尤为常见:公司在添加第二个 SPF TXT 记录时,未编辑现有记录,而是直接新增。在同一域名上拥有两个 v=spf1 记录会立即使两者均失效。您发送的每封电子邮件都会在 SPF 检查中失败。其症状(电子邮件进入垃圾邮件文件夹)会在几天后出现,且很难追溯回此次 DNS 变更。
重要性:SPF 是收件箱提供商检查的第一层身份验证。如果没有它,您的域名就无法控制谁可以以您的名义发送电子邮件。
检查 2:域名密钥识别邮件(DKIM)签名验证
测试内容:您的活跃电子邮件选择器是否存在 DKIM TXT 记录,密钥是否存在(未被 p= 撤销),以及密钥长度是否为 2048 位或更高。
失败表现:缺少 DKIM 意味着您发送的每封电子邮件都未经签名。接收服务器无法验证电子邮件确实来自您——它被视为未经身份验证。脆弱的 1024 位密钥可能在计算上
免责声明:本文内容来自互联网,该文观点不代表本站观点。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请到页面底部单击反馈,一经查实,本站将立刻删除。
