中小企業資安健檢清單：DNS、Email、SSL、備份與帳號權限

中小企業不一定一開始就需要高強度滲透測試，但應該先做好基本盤點：有哪些網域、主機、網站、信箱、DNS、SSL、備份、帳號與權限。很多事故不是因為沒有買昂貴工具，而是最基本的資產和責任邊界沒整理。

這份清單適合用來做第一次資安健檢，也適合網站搬遷、主機升級、接手前任系統或導入 AI 工具前使用。

你會先搞懂這幾件事

• 先盤點資產，比一開始就掃工具更重要。
• DNS、Email、SSL、備份與帳號權限是中小企業最常見基礎風險。
• 弱點掃描報告需要解讀，不是看到紅色就全部恐慌。
• 能自己處理的先修，牽涉正式服務或客戶資料時要找人協助。
• 資安不是一次專案，而是要有固定檢查節奏。

1. 先盤點自己有哪些網域、主機、網站與帳號

先建立一張資產表：

如果連有哪些東西都不清楚，後面掃描、修補與備份都會很難做。

2. DNS 與網域管理權限

請確認：

• 網域註冊商帳號是否有人能登入。
• 是否啟用 2FA。
• DNS 目前由哪個平台管理。
• NameServer 是否正確。
• 離職人員是否仍保有管理權限。
• 重要 DNS 記錄是否有備份或截圖。

可以搭配 網址、網域與 IP 基礎教學 與 whois / nslookup 查詢教學。

3. Email SPF、DKIM、DMARC

Email 是公司最常被冒名的入口之一。請檢查：

• SPF 是否包含實際寄信平台。
• DKIM 是否通過。
• DMARC 是否有設定政策與報告信箱。
• 是否有沒人在用但仍可登入的舊信箱。
• 管理員與財務相關信箱是否啟用 2FA。

如果信件常被退信或進垃圾信，可以先看 Email DNS 設定教學。

4. SSL 與 HTTPS

請確認：

• 主要網站是否使用 HTTPS。
• HTTP 是否會導向 HTTPS。
• SSL 憑證是否即將到期。
• 是否有 mixed content。
• 內部系統或管理後台是否仍使用未加密連線。

SSL 不是只為了搜尋排名，也是登入、表單、Cookie 與使用者信任的基本要求。

5. 網站與主機更新

不同環境的更新責任不同：

如果你不確定自己用的是哪一種，可以先看 虛擬主機、虛擬伺服器和 VPS 比較。

6. 帳號權限與 2FA

請整理：

• 目前有哪些管理員。
• 哪些人能改 DNS。
• 哪些人能登入主機或 cPanel。
• 哪些人能接觸付款、金鑰、客戶資料。
• 哪些帳號已離職或不再需要。

原則是：能給編輯就不要給管理員；能給專用 key 就不要共用一把；能開 2FA 就先開。

7. 備份是否存在且能還原

請確認：

• 網站檔案與資料庫是否都有備份。
• Email、DNS、設定檔是否有備份或紀錄。
• 備份是否在主機以外的位置。
• 你知道還原流程。
• 最近一次還原測試是什麼時候。

備份最大的問題不是沒有，而是「以為有」。可以參考 cPanel 網站備份與還原教學 與 VPS 自動備份教學。

8. 監控與告警

至少要知道：

• 網站掛掉誰會收到通知。
• SSL 到期誰會知道。
• 主機資源異常誰會看。
• Email 被退信或寄信量暴增誰會處理。
• API Key 或 AI 工具用量暴增是否有告警。

沒有告警的系統，常常是客戶先發現問題。

9. 弱點掃描與報告解讀

掃描前請確認只針對自有或已授權系統。掃描後不要只看紅色數量，而要整理：

• 哪些服務公開暴露。
• 哪些弱點有官方修補。
• 哪些是誤判或已被 backport 修補。
• 哪些會影響資料、登入、寄信或付款。
• 哪些需要維護窗口。

延伸閱讀：VPS 弱點掃描前要先知道什麼？ 與 弱點報告解讀入門。

如果你正在補齊日常維護，也可以接著看 Linux 伺服器更新後要不要重開機？ 與 備份有做不代表救得回來。

10. 什麼情況需要外部協助

建議找外部協助的情況：

• 你不知道網域、主機、DNS、Email 分別由誰管理。
• 掃描報告列出 Critical / High，但你不知道是否真的受影響。
• 網站疑似被駭、信箱被濫用或主機出現陌生登入。
• 有客戶資料、付款、公司內部資料或 AI 工具 secrets。
• 你需要把修補安排成不影響營運的維護計畫。

需要協助判斷目前環境是否安全？

如果你已經有網站、VPS、cPanel、WordPress、AI 工具或掃描報告，但不確定哪些問題要先處理，可以到侃瑞科技官方網站取得初步判斷。

查看資安健檢服務

延伸閱讀

• 伺服器資安教學入口
• cPanel 主機安全檢查清單
• 公司信箱被冒名寄信怎麼辦？
• AI 工具部署在 VPS 上之前，應該先檢查哪些安全設定？