公司信箱被冒名寄信怎麼辦？SPF、DKIM、DMARC 與寄信紀錄基礎排查

客戶收到「看起來像你公司寄出的信」，不一定代表你的信箱帳號已經被盜。Email 很容易被偽造寄件人，所以要先分清楚：是帳號真的被登入寄信，還是有人在外部冒用你的網域寄信。

這篇文章整理公司信箱被冒名寄信時的基礎排查順序，重點是防禦、判斷與修正 DNS / Email 設定。

你會先搞懂這幾件事

• 寄件人名稱可以偽造，不等於你的帳號真的被登入。
• SPF、DKIM、DMARC 是讓收件方判斷信件可信度的重要 DNS 設定。
• 如果帳號真的被盜，通常要看登入紀錄、寄信紀錄、密碼與 2FA。
• 不要只把信件轉寄給工程師，要保留完整 header 才能判讀。

先分三種情況

三種情況處理方式不同。只改密碼不一定能解決網域冒名；只改 DNS 也不能解決帳號被盜。

請先保留完整信件 header

要判斷信件來源，不能只看寄件人名稱或截圖。請保留完整 header，通常可以在信件功能裡找到：

• Show original
• View source
• View raw message
• 檢視原始郵件

header 裡常見重點：

Received:
Return-Path:
Authentication-Results:
spf=
dkim=
dmarc=

如果你要請人協助排查，請提供完整 header，但要注意裡面可能含有信箱地址、IP、主機名稱等資訊，不要公開貼到論壇或社群。

SPF 是什麼

SPF 用來告訴收件方：「哪些伺服器可以代表我的網域寄信」。

常見問題：

• SPF 沒設定。
• SPF 包含錯誤寄信服務。
• 同一個網域有多筆 SPF TXT 記錄。
• 換信箱服務後，舊 SPF 沒清掉。
• 網站表單用不同 SMTP，但 SPF 沒包含。

如果 SPF 設錯，合法信可能進垃圾信；如果 SPF 太寬鬆，冒名信更容易混過去。

DKIM 是什麼

DKIM 會讓寄出的信件帶有簽章，收件方可以用 DNS 裡的公鑰驗證信件是否被授權寄出、途中是否被改動。

常見問題：

• 沒有啟用 DKIM。
• DNS selector 記錄放錯。
• 換主機或信箱服務後，DKIM key 沒更新。
• 信件經過轉寄或中繼後簽章失敗。

公司信箱如果有 DKIM，建議啟用。cPanel、Google Workspace、Microsoft 365、部分 Email hosting 都有對應設定方式。

DMARC 是什麼

DMARC 會告訴收件方：「如果 SPF / DKIM 驗證失敗，應該怎麼處理」。

常見政策：

新手不要一開始就直接設 p=reject。如果你的合法寄信來源還沒盤點完，可能會讓正常信件寄不出去或被拒收。

如果是帳號真的被登入

如果確認是信箱帳號真的被登入寄信，先做：

• 立刻更換密碼。
• 登出所有裝置或撤銷既有 session。
• 啟用 2FA，如果服務支援。
• 檢查自動轉寄規則。
• 檢查是否有陌生 App password。
• 檢查寄件備份、寄信佇列與大量退信。
• 檢查同密碼是否用在其他服務。

如果同一個使用者也能登入 cPanel、網站後台、DNS 或雲端平台，這些帳號也要一起檢查。

如果是網站或主機在寄垃圾信

WordPress 表單、外掛、舊程式或被植入的 PHP 檔也可能造成大量寄信。你可以搭配檢查：

• cPanel Email Deliverability。
• cPanel Track Delivery。
• 主機寄信佇列。
• WordPress SMTP 外掛設定。
• 最近新增或更新的外掛。
• wp-content/uploads/ 是否有陌生 PHP 檔。

如果主機已經被列入黑名單，先不要急著只申請移除。要先找出寄信來源，不然解除後還是會再被列。

延伸閱讀

• 網域信箱 DNS 設定教學：MX、SPF、DKIM、DMARC
• cPanel 主機安全檢查清單：SSL、PHP、檔案權限、備份與 2FA
• 中小企業資安健檢清單：DNS、Email、SSL、備份與帳號權限

需要協助判斷目前環境是否安全？

如果你已經收到冒名寄信、退信暴增或黑名單通知，但不確定是帳號被盜、DNS 設定錯誤，還是網站程式被濫用，可以到侃瑞科技官方網站取得初步判斷。

查看資安健檢服務