公司網域 email 冒名詐騙止血 SOP 封面

公司網域 email 冒名詐騙止血 SOP:SPF / DKIM / DMARC / BIMI 4 條防護配置 + 3 種釣魚攻擊拆解完整指南

恆遠數位編輯團隊13 分鐘閱讀
複製引文
公司網域 email 冒名詐騙止血 SOP 封面
公司網域 email 冒名詐騙止血 SOP 封面

上個月我們接到一位老朋友的電話。他公司的財務被客戶投訴:「你們寄來的發票 email 說要改收款帳號,我照做了,結果錢入到詐騙集團帳戶。」老闆本人一頭霧水,因為公司內部根本沒發那封信。

查了半天發現:他們公司網域的 DNS 上根本沒有設 SPF、DKIM、DMARC 任何一條記錄。詐騙集團隨便找一台雲端主機,用他公司網域當寄件人發信,全球任何一台 email server 都無法辨別真偽。這種攻擊在資安圈叫做「email spoofing」,中小企業是重災區。

根據 Verizon 2026 Data Breach Investigations Report 統計,2026 年商業電子郵件詐騙(Business Email Compromise, BEC)造成的財務損失比 2025 增加 27%,中小企業占受害者比例達 62%。同一份報告點出:僅 38% 的中小企業有正確配置 DMARC。這篇就是要幫你補上這塊。

整篇文章走 6 段:先拆 3 種最常見的釣魚攻擊模式,再逐條講 SPF / DKIM / DMARC / BIMI 4 條防護配置怎麼做,最後給你一份可以直接執行的 30 天內部應變 SOP。

3 種常見冒名詐騙攻擊模式拆解

先建立敵情。中小企業最常被三種模式攻擊,看攻擊怎麼發生比看防護規格重要 10 倍。

模式一:Direct Domain Spoofing(直接冒名)

攻擊者用你的網域(例:boss@yourcompany.com)當寄件人,直接寄詐騙信給你的客戶。技術門檻極低,只要一台 SMTP server + 你公司的網域字串就行。這種攻擊只要在 DNS 設好 SPF + DMARC 就能擋 90%。

模式二:Display Name Spoofing(顯示名稱冒名)

攻擊者用「陳老闆 <chen-boss@random-domain.com>」這種格式寄信。email client 只顯示前面的「陳老闆」,收件人看不到後面的假網域。這種攻擊 SPF / DMARC 擋不到,需要靠員工訓練 + email client 端的 anti-phishing 標籤。

模式三:Lookalike Domain(相似網域)

攻擊者註冊很像你網域的替身,例如把 foreverwebs.com 註冊成 foreverwebs.co、forevervvebs.com、foreverwebs.support。這種攻擊技術上是合法的(新網域註冊沒違法),需要靠 domain monitoring 服務 + BIMI 徽章來讓收件人看見「這是不是官方網域」。

攻擊模式

技術門檻

主要防護

擋成率

Direct Spoofing

極低

SPF + DMARC

90%+

Display Name Spoofing

員工訓練 + email client 標籤

60% 到 80%

Lookalike Domain

Domain monitoring + BIMI

40% 到 60%

防護一:SPF(Sender Policy Framework)— 白名單機制

SPF 是四條防護裡最基礎的一條,也是最容易在 30 分鐘內部署完的。原理:在你的網域 DNS 上加一條 TXT 記錄,列出「哪些 mail server 有權用你的網域寄信」。收件方 mail server 收到信時,會查你的 SPF 記錄,比對寄件 server 是不是在白名單上。

多數中小企業會用 Google Workspace 或 Microsoft 365,SPF 記錄長這樣:

Bash
# Google Workspace 用戶
v=spf1 include:_spf.google.com ~all

# Microsoft 365 用戶
v=spf1 include:spf.protection.outlook.com ~all

# 同時用 Google + 電子報服務(例:Mailchimp)
v=spf1 include:_spf.google.com include:servers.mcsv.net ~all

關鍵的最後一段:~all 是 soft fail、-all 是 hard fail。中小企業第一次部署建議先用 ~all(違反時收件方標為可疑,不直接退信),觀察 2 週確認沒漏掉合法寄件人,再升級到 -all(直接退信)。

常見踩雷:中小企業員工用 Gmail 個人帳號代表公司對外寄信,這種信 SPF 一定 fail。解法:所有代表公司的信一律走公司網域信箱,禁止用個人 Gmail 掛公司頭銜。

防護二:DKIM(DomainKeys Identified Mail)— 數位簽章

DKIM 是 SPF 的補位。原理:寄件方在信件 header 加上數位簽章,收件方用你公佈在 DNS 的公鑰驗證簽章。攻擊者就算冒用你的網域,也做不出正確簽章。

Google Workspace 開 DKIM 的步驟:Admin console → Apps → Google Workspace → Gmail → Authenticate email → Generate new record → 拿到 TXT 記錄後貼到你 DNS provider 上(例:Cloudflare、GoDaddy、AWS Route 53),再回 Admin console 按 Start authentication。整個流程約 30 分鐘 + DNS 生效等待 4 到 24 小時。

Microsoft 365 步驟類似,在 Microsoft Defender portal 開啟 DKIM,會給你兩組 CNAME 記錄要加到 DNS。開完後強烈建議去 MXToolbox 的 DKIM 驗證工具 檢查一次配置是否正確。

常見踩雷:DKIM key 建議 2048-bit 而非 1024-bit(後者已被視為不安全),且要每 6 到 12 個月 rotate 一次。多數中小企業配好 DKIM 之後就再也不動,這在資安審計上會被扣分。

ℹ️我們做過這件事

順帶說一下,我們公司自己每天就在跑這套 email 防護:SPF / DKIM / DMARC 三條都是 hard fail 模式,加上 BIMI 徽章,內部團隊每季稽核一次 DMARC 報告。這裡分享的配置與 SOP 都是我們實際落地過、確認不會誤擋合法信才寫的。

如果你也在想「我們公司的 email 到底安不安全、DNS 上到底有沒有這幾條記錄」,這類 email 資安與網域治理在我們的 客製化網站與系統開發 服務範圍內。我們很樂意先幫你聊聊現在客戶端有沒有出現過可疑信、公司網域目前配置到哪一步,一起看看 30 天內能從哪一塊補齊。

防護三:DMARC(Domain-based Message Authentication)— 政策與報表

DMARC 是 SPF + DKIM 的總指揮。原理:告訴收件方「當 SPF 或 DKIM 驗證失敗時,你要怎麼處理這封信」,同時每天寄一份「誰在冒用我的網域」報告給你。

DMARC 記錄範例(放在 _dmarc.yourdomain.com TXT):

Bash
# 第 1 階段:只監控,不擋(部署後 2 到 4 週)
v=DMARC1; p=none; rua=mailto:dmarc-reports@yourcompany.com; ruf=mailto:dmarc-forensic@yourcompany.com; fo=1

# 第 2 階段:擋部分(生效 4 週後)
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc-reports@yourcompany.com

# 第 3 階段:完全擋(觀察沒問題後)
v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourcompany.com

DMARC 部署最大的坑是「太早跳到 p=reject」。中小企業行銷部門常用電子報服務、業務用 CRM 代寄,這些第三方 server 常常沒同步到 SPF / DKIM,一開 reject 就會誤擋合法信。標準做法:p=none 觀察 2 到 4 週 → p=quarantine pct=25 → 50 → 100 → 換 p=reject。整個過程約 60 到 90 天。

DMARC 報表建議用第三方工具接收與解析。免費選擇:dmarcian、Postmark DMARC monitor;付費選擇:Valimail、EasyDMARC。中小企業用免費版就夠,關鍵是每週至少看一次 report,看有沒有陌生 IP 在冒用你的網域。

防護四:BIMI(Brand Indicators for Message Identification)— 品牌徽章

BIMI 是 DMARC 的延伸應用。原理:在客戶信箱 Gmail、Yahoo、Apple Mail 的收件匣裡,直接顯示你的公司 logo 徽章。這件事不是純美觀——BIMI 徽章要求 DMARC p=reject(或 quarantine 100%),所以看到徽章的收件人會下意識覺得「這封信可信度高」,反過來沒徽章的信更容易被懷疑。

BIMI 部署三個前置:一是 DMARC 政策至少 p=quarantine pct=100,最好 p=reject;二是準備 SVG Tiny 1.2 格式的 logo(其他 SVG 版本不 accept);三是 Gmail / Yahoo 從 2026 年起要求 VMC 憑證(Verified Mark Certificate,年費約 $1,500 美元),VMC 由 DigiCert、Entrust 等 CA 發行。

部署階段

時間投入

費用

主要收益

SPF 配置

30 分鐘

$0

擋 Direct Spoofing 90%+

DKIM 開啟

30 分鐘

$0

補位 SPF、防篡改

DMARC p=none 監控

1 小時

$0

收 report、看誰在冒用

DMARC p=reject

2 到 3 個月漸進

$0

完全擋 Direct Spoofing

BIMI + VMC

1 到 2 週

$1,500 / 年

客戶收件匣顯示品牌 logo

Domain monitoring

持續

$50 到 $200 / 月

擋 Lookalike Domain

中小企業建議路徑:SPF + DKIM + DMARC p=none 是必修($0 + 90 分鐘),DMARC p=reject 是進階必修($0 + 3 個月漸進部署),BIMI + Domain monitoring 屬於「有預算就上」(年約 $2,000 美元)。

30 天內部應變 SOP:3 個階段、5 個關鍵動作、2 條救援機制

配置講完,換談萬一還是有客戶收到冒名信、或員工誤開釣魚連結時怎麼止血。這是我們替客戶做過的簡化版 SOP。

階段一:Day 0 到 Day 3 立刻止血

  • 1. 全公司對外公告:官方溝通只走 official@yourcompany.com、電話僅認 02-xxxx-xxxx 這條,其他一律不認。同步發 LINE 官方帳號、公司網站首頁 banner。
  • 2. 通知已知客戶名單:財務、業務主管盤點過去 3 個月往來客戶,用電話(不是 email)逐一通知「若近期收到我們要求改收款帳號的 email,一律先電話確認」。
  • 3. 內部改密碼與 MFA:全公司強制改 email 密碼、開 MFA、撤銷所有第三方 OAuth 授權。

階段二:Day 4 到 Day 14 補配置

  • 1. DNS 加 SPF + DKIM + DMARC p=none 觀察。開始收 DMARC report。
  • 2. 稽核所有第三方代寄服務:電子報(Mailchimp、SendGrid)、CRM(HubSpot、Salesforce)、通知服務(Twilio),確保每個都在 SPF 白名單、DKIM 已授權。
  • 3. 員工訓練:全員 30 分鐘釣魚攻擊辨識課,重點放在 Display Name Spoofing 與 Lookalike Domain 兩種攻擊(這兩種 SPF / DMARC 擋不到)。

階段三:Day 15 到 Day 30 強化

  • 1. DMARC 從 p=none 升 p=quarantine pct=25,觀察 report 兩週,沒誤擋再升 pct=100。
  • 2. 部署 domain monitoring(DomainTools、CSC、或免費的 dnstwist),監控相似網域註冊。
  • 3. 建立資安事件通報 SOP:客戶投訴 email 詐騙 → 第一時間到 DMARC report 找異常 IP → 通報刑事局。

兩條救援機制

第一條:客戶端補救專線。萬一客戶已經匯錢到詐騙帳戶,第一時間協助客戶到警政署 165 反詐騙專線 + 銀行圈存。企業要有一位窗口(通常是財務主管)24 小時內回覆客戶。第二條:法務諮詢。跟一位熟悉資安 / 網路詐騙的律師簽 retainer(每月 $200 到 $500 美元),事件發生 48 小時內先諮詢,決定要不要告詐騙集團 + 是否需要對客戶做賠償聲明。

常見誤區:只做 SPF 不做 DMARC 等於白做

我們看過最多的錯誤配置:中小企業 IT 只設了 SPF,沒設 DKIM 也沒設 DMARC。這種配置對 Direct Spoofing 幾乎沒防護,因為缺了 DMARC 的政策層,收件方 mail server 看到 SPF fail 也只是打個標籤,不會擋信或退信。

配置組合

擋 Direct Spoofing

擋 Display Name

擋 Lookalike Domain

只 SPF

30%

0

0

只 SPF + DKIM

50%

0

0

SPF + DKIM + DMARC p=none

60%

0

0

SPF + DKIM + DMARC p=quarantine

85%

0

0

SPF + DKIM + DMARC p=reject

95%+

0

0

以上 + BIMI + Domain monitor

95%+

30%

50%

看完這張表會發現一個殘酷事實:三種攻擊裡,DNS 配置擋得住的只有 Direct Spoofing。Display Name 與 Lookalike Domain 這兩塊,員工訓練與 domain monitoring 才是關鍵。所以 30 天 SOP 裡才會把員工訓練排在階段二。

下一步:把 email 資安放進今年的必修清單

看到這裡,如果你也在想「我們公司的 DNS 上到底有沒有 SPF、DKIM、DMARC,有的話配到哪一階段」——這是很多中小企業老闆從沒問過 IT 的問題。有時候 IT 自己也沒配全。

可以把你公司網域丟過來,我們陪你 看一下目前的 email 資安配置狀態,一起評估 30 天內能補齊到哪一步。這階段我們陪你想,後面真的要做 DNS 配置修改、DMARC 監控整合或 domain monitoring 導入再談範圍跟費用。

ℹ️我們怎麼看

Email 冒名詐騙這件事的走向很像 2015 年前後的 HTTPS 普及:一開始只有大公司做,5 年後變成所有網站的必修。我們的判斷是:3 年後中小企業沒配 DMARC p=reject,會被視為「基礎資安沒做好」的訊號,可能連銀行、政府標案、大客戶合作審核都過不了。對中小企業老闆而言,現在不用急著追 BIMI 徽章這種進階款,但要開始做兩件事:一是 30 天內把 SPF + DKIM + DMARC p=none 部署完(免費 + 90 分鐘),二是把「員工釣魚攻擊訓練」納入每年新人 onboarding。這比買什麼防毒軟體都划算。

Email 冒名詐騙防護 checklist 下載

把上面 4 條配置 + 30 天 SOP + 3 個階段動作整理成一張 A4 checklist,IT 主管與資安負責人可以直接印出來當 30 天執行進度表。下載 Email 冒名詐騙防護 checklist(PDF)

Q我們公司只有 5 個人,需要做 DMARC 嗎?

要。DMARC 的必要性跟公司規模無關,跟「有沒有客戶收到你的 email 覺得可信」有關。5 人公司的老闆親筆信被冒用,一次就可能損失一位客戶。SPF + DKIM + DMARC p=none 對小公司來說是免費 90 分鐘完成的工作,沒理由不做。

QDMARC 直接跳 p=reject 可以嗎?想省時間。

不建議。第三方代寄服務(電子報、CRM、通知服務)常常沒同步到 SPF / DKIM 白名單,直接 p=reject 會誤擋合法信,客戶收不到訂單通知、行銷部門電子報全爆。標準路徑是 p=none 觀察 2 週 → quarantine pct=25 → 50 → 100 → reject,全程約 60 到 90 天。

QBIMI 憑證年費 $1,500 美元對中小企業是不是太貴?

看客戶結構。B2C 電商、需要客戶信任的服務業(診所、律所、財管)建議上 BIMI,因為徽章對客戶信任有明顯提升;純 B2B 或內部系統為主的公司可以先跳過 BIMI,先把 DMARC p=reject 完成即可。

Q員工用 Gmail 個人帳號代表公司對外寄信,SPF 會 fail 嗎?

會。這種信 SPF 一定 fail,但因為寄件人網域不是你公司的網域,所以你的 DMARC 也管不到。真正的解法是內部政策:所有對外代表公司的信一律走公司網域信箱,禁止用個人 Gmail 掛公司頭銜。這件事比技術配置重要。

Q客戶已經匯錢到詐騙帳戶了,我們公司有賠償責任嗎?

要看契約與台灣民法。如果你沒做 SPF / DKIM / DMARC,客戶可能主張你「未盡合理注意義務」,賠償責任會爭議。如果你已做完基本配置且有 email 資安 SOP,可主張已盡義務。這也是為什麼要做——不只是擋詐騙,也是保護公司免於未來訴訟。建議諮詢法務。

分享文章

AUTHOR

恆遠數位編輯團隊

查看作者頁

留言(0)

尚無留言,成為第一個留言的人吧!

需要網站系統架設或軟體開發?

無論是品牌官網、客製化系統還是應用程式,我們的團隊擁有豐富經驗,歡迎聯繫我們,讓專業為您的事業加分。