Actionable Knowledge

风险处理指南

检测只是开始。这里把常见结果翻译成处理顺序、验证方法和容易踩坑的边界。

Guide 01

域名风险报告怎么读

先处理证据明确、影响直接的问题,再看需要上下文解释的信誉线索。一个高分不代表网站没有漏洞,一个低分也不一定意味着正在被攻击。

第一优先:连续性

域名到期、证书过期、DNS 地址或权威委派错误会直接导致业务中断,应立即确认负责人和修复期限。

第二优先:浏览器基线

安全头和 TLS 配置通常有明确修复路径,但 CSP 等策略上线前必须在真实页面验证兼容性。

第三优先:信誉

黑名单或多引擎命中需要结合记录时间、列表类型、访问日志和当前业务行为解释。

最后:形成复查

记录修复前报告、变更内容和修复后结果;DNS 与缓存传播期间不要过早判断失败。

推荐处理顺序

  1. 确认域名和证书到期日、自动续费与联系人。
  2. 核对 DNS、HTTPS 和关键安全头是否符合预期。
  3. 查看异常信誉线索,并用服务器、CDN 与身份日志交叉验证。
生成域名报告

Guide 02

IP 信誉命中怎么判断

IP 信誉是时间相关的外部信号,不是身份判决。云主机、共享出口、移动网络和已重新分配的地址都可能带来历史噪音。

先确认时间

确保告警中的 IP、事件时间和查询结果属于同一使用周期,避免拿历史租户记录判断当前资产。

再确认类别

垃圾邮件、代理、扫描和恶意软件控制是不同问题,需要不同日志与处置方式。

不要直接封禁

对真实用户场景应优先增加验证、限速或二次确认,并监控误判和申诉。

处置要闭环

停止异常流量、修复主机或联系供应商后,按列表要求申请复核并持续观察。

最低证据组合

  1. 外部信誉记录的来源、类别和时间。
  2. 内部连接、登录、邮件或终端日志。
  3. 资产归属、业务用途和当前负责人确认。
查询公网 IP

Guide 03

DMARC 不要一步跳到 reject

DMARC 的核心不是“有没有一条记录”,而是所有合法邮件能否通过 SPF 或 DKIM 对齐。过早拒收可能让官网、工单、营销或第三方平台的正常邮件一起失败。

阶段一:盘点

列出所有合法发信平台、退信域、DKIM 选择器和业务负责人,清理未知或停用来源。

阶段二:观察

使用 p=none 收集汇总报告,至少覆盖正常业务周期,并确认主要来源已经对齐。

阶段三:渐进限制

从较低比例的 quarantine 开始,持续监控退信和用户反馈,再逐步提高比例。

阶段四:拒收

只有在合法来源清晰、例外已处理、恢复流程可用时,才评估 p=reject。

上线前检查

  1. 报告邮箱可以正常接收并有人负责分析。
  2. 官网、工单、营销和员工邮件均已完成对齐测试。
  3. 保留回退记录,并准备处理误拦和第三方变更。
检查邮箱域

Guide 04

邮箱出现在泄露记录后怎么办

泄露记录意味着某个历史系统暴露过相关数据,不等于邮箱本身当前已被接管。处理重点是识别受影响账号、切断密码复用并检查异常会话。

先确认来源

记录事件名称、暴露时间和可能泄露的数据类型,谨慎对待要求输入密码的所谓查询页面。

处理密码复用

为受影响账号更换独立密码,并检查其他网站是否复用了相同或相似密码。

保护当前会话

启用多因素认证,退出其他会话,检查邮箱转发规则、恢复方式和近期登录。

降低再次暴露

按用途使用别名,减少主邮箱公开范围,并为重要账号设置独立恢复渠道。

出现异常登录时

  1. 先在可信设备上修改密码并撤销其他会话。
  2. 检查恢复邮箱、手机号、转发规则和授权应用。
  3. 保存告警与登录记录,必要时联系平台和组织安全团队。
查看泄露自查指南