

上個月我們接到一位老朋友的電話。他公司的財務被客戶投訴:「你們寄來的發票 email 說要改收款帳號,我照做了,結果錢入到詐騙集團帳戶。」老闆本人一頭霧水,因為公司內部根本沒發那封信。
查了半天發現:他們公司網域的 DNS 上根本沒有設 SPF、DKIM、DMARC 任何一條記錄。詐騙集團隨便找一台雲端主機,用他公司網域當寄件人發信,全球任何一台 email server 都無法辨別真偽。這種攻擊在資安圈叫做「email spoofing」,中小企業是重災區。
根據 Verizon 2026 Data Breach Investigations Report 統計,2026 年商業電子郵件詐騙(Business Email Compromise, BEC)造成的財務損失比 2025 增加 27%,中小企業占受害者比例達 62%。同一份報告點出:僅 38% 的中小企業有正確配置 DMARC。這篇就是要幫你補上這塊。
整篇文章走 6 段:先拆 3 種最常見的釣魚攻擊模式,再逐條講 SPF / DKIM / DMARC / BIMI 4 條防護配置怎麼做,最後給你一份可以直接執行的 30 天內部應變 SOP。
3 種常見冒名詐騙攻擊模式拆解
先建立敵情。中小企業最常被三種模式攻擊,看攻擊怎麼發生比看防護規格重要 10 倍。
模式一:Direct Domain Spoofing(直接冒名)
攻擊者用你的網域(例:boss@yourcompany.com)當寄件人,直接寄詐騙信給你的客戶。技術門檻極低,只要一台 SMTP server + 你公司的網域字串就行。這種攻擊只要在 DNS 設好 SPF + DMARC 就能擋 90%。
模式二:Display Name Spoofing(顯示名稱冒名)
攻擊者用「陳老闆 <chen-boss@random-domain.com>」這種格式寄信。email client 只顯示前面的「陳老闆」,收件人看不到後面的假網域。這種攻擊 SPF / DMARC 擋不到,需要靠員工訓練 + email client 端的 anti-phishing 標籤。
模式三:Lookalike Domain(相似網域)
攻擊者註冊很像你網域的替身,例如把 foreverwebs.com 註冊成 foreverwebs.co、forevervvebs.com、foreverwebs.support。這種攻擊技術上是合法的(新網域註冊沒違法),需要靠 domain monitoring 服務 + BIMI 徽章來讓收件人看見「這是不是官方網域」。
攻擊模式 | 技術門檻 | 主要防護 | 擋成率 |
|---|---|---|---|
Direct Spoofing | 極低 | SPF + DMARC | 90%+ |
Display Name Spoofing | 低 | 員工訓練 + email client 標籤 | 60% 到 80% |
Lookalike Domain | 中 | Domain monitoring + BIMI | 40% 到 60% |
防護一:SPF(Sender Policy Framework)— 白名單機制
SPF 是四條防護裡最基礎的一條,也是最容易在 30 分鐘內部署完的。原理:在你的網域 DNS 上加一條 TXT 記錄,列出「哪些 mail server 有權用你的網域寄信」。收件方 mail server 收到信時,會查你的 SPF 記錄,比對寄件 server 是不是在白名單上。
多數中小企業會用 Google Workspace 或 Microsoft 365,SPF 記錄長這樣:
# Google Workspace 用戶
v=spf1 include:_spf.google.com ~all
# Microsoft 365 用戶
v=spf1 include:spf.protection.outlook.com ~all
# 同時用 Google + 電子報服務(例:Mailchimp)
v=spf1 include:_spf.google.com include:servers.mcsv.net ~all關鍵的最後一段:~all 是 soft fail、-all 是 hard fail。中小企業第一次部署建議先用 ~all(違反時收件方標為可疑,不直接退信),觀察 2 週確認沒漏掉合法寄件人,再升級到 -all(直接退信)。
常見踩雷:中小企業員工用 Gmail 個人帳號代表公司對外寄信,這種信 SPF 一定 fail。解法:所有代表公司的信一律走公司網域信箱,禁止用個人 Gmail 掛公司頭銜。
防護二:DKIM(DomainKeys Identified Mail)— 數位簽章
DKIM 是 SPF 的補位。原理:寄件方在信件 header 加上數位簽章,收件方用你公佈在 DNS 的公鑰驗證簽章。攻擊者就算冒用你的網域,也做不出正確簽章。
Google Workspace 開 DKIM 的步驟:Admin console → Apps → Google Workspace → Gmail → Authenticate email → Generate new record → 拿到 TXT 記錄後貼到你 DNS provider 上(例:Cloudflare、GoDaddy、AWS Route 53),再回 Admin console 按 Start authentication。整個流程約 30 分鐘 + DNS 生效等待 4 到 24 小時。
Microsoft 365 步驟類似,在 Microsoft Defender portal 開啟 DKIM,會給你兩組 CNAME 記錄要加到 DNS。開完後強烈建議去 MXToolbox 的 DKIM 驗證工具 檢查一次配置是否正確。
常見踩雷:DKIM key 建議 2048-bit 而非 1024-bit(後者已被視為不安全),且要每 6 到 12 個月 rotate 一次。多數中小企業配好 DKIM 之後就再也不動,這在資安審計上會被扣分。
ℹ️我們做過這件事
順帶說一下,我們公司自己每天就在跑這套 email 防護:SPF / DKIM / DMARC 三條都是 hard fail 模式,加上 BIMI 徽章,內部團隊每季稽核一次 DMARC 報告。這裡分享的配置與 SOP 都是我們實際落地過、確認不會誤擋合法信才寫的。
如果你也在想「我們公司的 email 到底安不安全、DNS 上到底有沒有這幾條記錄」,這類 email 資安與網域治理在我們的 客製化網站與系統開發 服務範圍內。我們很樂意先幫你聊聊現在客戶端有沒有出現過可疑信、公司網域目前配置到哪一步,一起看看 30 天內能從哪一塊補齊。
防護三:DMARC(Domain-based Message Authentication)— 政策與報表
DMARC 是 SPF + DKIM 的總指揮。原理:告訴收件方「當 SPF 或 DKIM 驗證失敗時,你要怎麼處理這封信」,同時每天寄一份「誰在冒用我的網域」報告給你。
DMARC 記錄範例(放在 _dmarc.yourdomain.com TXT):
# 第 1 階段:只監控,不擋(部署後 2 到 4 週)
v=DMARC1; p=none; rua=mailto:dmarc-reports@yourcompany.com; ruf=mailto:dmarc-forensic@yourcompany.com; fo=1
# 第 2 階段:擋部分(生效 4 週後)
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc-reports@yourcompany.com
# 第 3 階段:完全擋(觀察沒問題後)
v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourcompany.comDMARC 部署最大的坑是「太早跳到 p=reject」。中小企業行銷部門常用電子報服務、業務用 CRM 代寄,這些第三方 server 常常沒同步到 SPF / DKIM,一開 reject 就會誤擋合法信。標準做法:p=none 觀察 2 到 4 週 → p=quarantine pct=25 → 50 → 100 → 換 p=reject。整個過程約 60 到 90 天。
DMARC 報表建議用第三方工具接收與解析。免費選擇:dmarcian、Postmark DMARC monitor;付費選擇:Valimail、EasyDMARC。中小企業用免費版就夠,關鍵是每週至少看一次 report,看有沒有陌生 IP 在冒用你的網域。
防護四:BIMI(Brand Indicators for Message Identification)— 品牌徽章
BIMI 是 DMARC 的延伸應用。原理:在客戶信箱 Gmail、Yahoo、Apple Mail 的收件匣裡,直接顯示你的公司 logo 徽章。這件事不是純美觀——BIMI 徽章要求 DMARC p=reject(或 quarantine 100%),所以看到徽章的收件人會下意識覺得「這封信可信度高」,反過來沒徽章的信更容易被懷疑。
BIMI 部署三個前置:一是 DMARC 政策至少 p=quarantine pct=100,最好 p=reject;二是準備 SVG Tiny 1.2 格式的 logo(其他 SVG 版本不 accept);三是 Gmail / Yahoo 從 2026 年起要求 VMC 憑證(Verified Mark Certificate,年費約 $1,500 美元),VMC 由 DigiCert、Entrust 等 CA 發行。
部署階段 | 時間投入 | 費用 | 主要收益 |
|---|---|---|---|
SPF 配置 | 30 分鐘 | $0 | 擋 Direct Spoofing 90%+ |
DKIM 開啟 | 30 分鐘 | $0 | 補位 SPF、防篡改 |
DMARC p=none 監控 | 1 小時 | $0 | 收 report、看誰在冒用 |
DMARC p=reject | 2 到 3 個月漸進 | $0 | 完全擋 Direct Spoofing |
BIMI + VMC | 1 到 2 週 | $1,500 / 年 | 客戶收件匣顯示品牌 logo |
Domain monitoring | 持續 | $50 到 $200 / 月 | 擋 Lookalike Domain |
中小企業建議路徑:SPF + DKIM + DMARC p=none 是必修($0 + 90 分鐘),DMARC p=reject 是進階必修($0 + 3 個月漸進部署),BIMI + Domain monitoring 屬於「有預算就上」(年約 $2,000 美元)。
30 天內部應變 SOP:3 個階段、5 個關鍵動作、2 條救援機制
配置講完,換談萬一還是有客戶收到冒名信、或員工誤開釣魚連結時怎麼止血。這是我們替客戶做過的簡化版 SOP。
階段一:Day 0 到 Day 3 立刻止血
- 1. 全公司對外公告:官方溝通只走 official@yourcompany.com、電話僅認 02-xxxx-xxxx 這條,其他一律不認。同步發 LINE 官方帳號、公司網站首頁 banner。
- 2. 通知已知客戶名單:財務、業務主管盤點過去 3 個月往來客戶,用電話(不是 email)逐一通知「若近期收到我們要求改收款帳號的 email,一律先電話確認」。
- 3. 內部改密碼與 MFA:全公司強制改 email 密碼、開 MFA、撤銷所有第三方 OAuth 授權。
階段二:Day 4 到 Day 14 補配置
- 1. DNS 加 SPF + DKIM + DMARC p=none 觀察。開始收 DMARC report。
- 2. 稽核所有第三方代寄服務:電子報(Mailchimp、SendGrid)、CRM(HubSpot、Salesforce)、通知服務(Twilio),確保每個都在 SPF 白名單、DKIM 已授權。
- 3. 員工訓練:全員 30 分鐘釣魚攻擊辨識課,重點放在 Display Name Spoofing 與 Lookalike Domain 兩種攻擊(這兩種 SPF / DMARC 擋不到)。
階段三:Day 15 到 Day 30 強化
- 1. DMARC 從 p=none 升 p=quarantine pct=25,觀察 report 兩週,沒誤擋再升 pct=100。
- 2. 部署 domain monitoring(DomainTools、CSC、或免費的 dnstwist),監控相似網域註冊。
- 3. 建立資安事件通報 SOP:客戶投訴 email 詐騙 → 第一時間到 DMARC report 找異常 IP → 通報刑事局。
兩條救援機制
第一條:客戶端補救專線。萬一客戶已經匯錢到詐騙帳戶,第一時間協助客戶到警政署 165 反詐騙專線 + 銀行圈存。企業要有一位窗口(通常是財務主管)24 小時內回覆客戶。第二條:法務諮詢。跟一位熟悉資安 / 網路詐騙的律師簽 retainer(每月 $200 到 $500 美元),事件發生 48 小時內先諮詢,決定要不要告詐騙集團 + 是否需要對客戶做賠償聲明。
常見誤區:只做 SPF 不做 DMARC 等於白做
我們看過最多的錯誤配置:中小企業 IT 只設了 SPF,沒設 DKIM 也沒設 DMARC。這種配置對 Direct Spoofing 幾乎沒防護,因為缺了 DMARC 的政策層,收件方 mail server 看到 SPF fail 也只是打個標籤,不會擋信或退信。
配置組合 | 擋 Direct Spoofing | 擋 Display Name | 擋 Lookalike Domain |
|---|---|---|---|
只 SPF | 30% | 0 | 0 |
只 SPF + DKIM | 50% | 0 | 0 |
SPF + DKIM + DMARC p=none | 60% | 0 | 0 |
SPF + DKIM + DMARC p=quarantine | 85% | 0 | 0 |
SPF + DKIM + DMARC p=reject | 95%+ | 0 | 0 |
以上 + BIMI + Domain monitor | 95%+ | 30% | 50% |
看完這張表會發現一個殘酷事實:三種攻擊裡,DNS 配置擋得住的只有 Direct Spoofing。Display Name 與 Lookalike Domain 這兩塊,員工訓練與 domain monitoring 才是關鍵。所以 30 天 SOP 裡才會把員工訓練排在階段二。
下一步:把 email 資安放進今年的必修清單
看到這裡,如果你也在想「我們公司的 DNS 上到底有沒有 SPF、DKIM、DMARC,有的話配到哪一階段」——這是很多中小企業老闆從沒問過 IT 的問題。有時候 IT 自己也沒配全。
可以把你公司網域丟過來,我們陪你 看一下目前的 email 資安配置狀態,一起評估 30 天內能補齊到哪一步。這階段我們陪你想,後面真的要做 DNS 配置修改、DMARC 監控整合或 domain monitoring 導入再談範圍跟費用。
ℹ️我們怎麼看
Email 冒名詐騙這件事的走向很像 2015 年前後的 HTTPS 普及:一開始只有大公司做,5 年後變成所有網站的必修。我們的判斷是:3 年後中小企業沒配 DMARC p=reject,會被視為「基礎資安沒做好」的訊號,可能連銀行、政府標案、大客戶合作審核都過不了。對中小企業老闆而言,現在不用急著追 BIMI 徽章這種進階款,但要開始做兩件事:一是 30 天內把 SPF + DKIM + DMARC p=none 部署完(免費 + 90 分鐘),二是把「員工釣魚攻擊訓練」納入每年新人 onboarding。這比買什麼防毒軟體都划算。
Email 冒名詐騙防護 checklist 下載
把上面 4 條配置 + 30 天 SOP + 3 個階段動作整理成一張 A4 checklist,IT 主管與資安負責人可以直接印出來當 30 天執行進度表。下載 Email 冒名詐騙防護 checklist(PDF)
Q我們公司只有 5 個人,需要做 DMARC 嗎?
要。DMARC 的必要性跟公司規模無關,跟「有沒有客戶收到你的 email 覺得可信」有關。5 人公司的老闆親筆信被冒用,一次就可能損失一位客戶。SPF + DKIM + DMARC p=none 對小公司來說是免費 90 分鐘完成的工作,沒理由不做。
QDMARC 直接跳 p=reject 可以嗎?想省時間。
不建議。第三方代寄服務(電子報、CRM、通知服務)常常沒同步到 SPF / DKIM 白名單,直接 p=reject 會誤擋合法信,客戶收不到訂單通知、行銷部門電子報全爆。標準路徑是 p=none 觀察 2 週 → quarantine pct=25 → 50 → 100 → reject,全程約 60 到 90 天。
QBIMI 憑證年費 $1,500 美元對中小企業是不是太貴?
看客戶結構。B2C 電商、需要客戶信任的服務業(診所、律所、財管)建議上 BIMI,因為徽章對客戶信任有明顯提升;純 B2B 或內部系統為主的公司可以先跳過 BIMI,先把 DMARC p=reject 完成即可。
Q員工用 Gmail 個人帳號代表公司對外寄信,SPF 會 fail 嗎?
會。這種信 SPF 一定 fail,但因為寄件人網域不是你公司的網域,所以你的 DMARC 也管不到。真正的解法是內部政策:所有對外代表公司的信一律走公司網域信箱,禁止用個人 Gmail 掛公司頭銜。這件事比技術配置重要。
Q客戶已經匯錢到詐騙帳戶了,我們公司有賠償責任嗎?
要看契約與台灣民法。如果你沒做 SPF / DKIM / DMARC,客戶可能主張你「未盡合理注意義務」,賠償責任會爭議。如果你已做完基本配置且有 email 資安 SOP,可主張已盡義務。這也是為什麼要做——不只是擋詐騙,也是保護公司免於未來訴訟。建議諮詢法務。
AUTHOR
恆遠數位編輯團隊
想了解更多?看看我們的相關服務
相關文章

中小企業老闆 AI 寫程式合規稽核完整指南:Cursor / Copilot / Claude Code 4 條法遵紅線、5 個資料外洩情境、3 條稽核模板

企業機密資料 secrets 管理採購完整指南:HashiCorp Vault / AWS Secrets Manager / Doppler / 自架 4 條路徑、5 個決策節點、3 種團隊規模預算

我們公司怎麼跑出 20+ AI 流程?系列第 5 篇:內部週報 dashboard 自動生成 SOP,4 個資料來源、3 條品質規則、2 個 human-in-the-loop 節點

AI 生成音訊與語音商用著作權合規完整指南:ElevenLabs / Suno / Descript 5 條紅線 + 3 種商用場景踩雷

中小企業客戶入口網站採購完整指南:Zendesk / Salesforce Experience Cloud / 自架 3 條路徑、6 個決策、5 條合約紅線、90 天上線 SOP

留言(0)
尚無留言,成為第一個留言的人吧!