網域安全應涵蓋註冊商 MFA、轉移鎖、DNS 權限、DNSSEC、CAA、子網域清冊與懸空記錄清理。
網域是所有服務的共同根
網站、郵件、憑證、API 與品牌信任都依賴 DNS。攻擊者若接管註冊商或 DNS 帳號,可以把流量導向其他主機、攔截郵件、申請憑證或建立看似官方的子網域。
因此網域續費與 DNS 不能只由單一個人記得。建立組織帳號、雙重驗證、緊急聯絡與到期監控,並保留離線復原資訊。
保護註冊商與 DNS 平台
- 使用抗釣魚 MFA,優先安全金鑰或 Passkey。
- 啟用網域轉移鎖、重要變更通知與付款備援。
- 管理者使用個人帳號,不共用密碼;離職立即撤權。
- API Token 限制到必要 zone 與動作,設定到期並定期輪替。
帳號復原信箱本身也要使用不同的強驗證與可靠網域,避免形成循環依賴。
DNSSEC 與 CAA 各自解決不同問題
DNSSEC 讓解析器驗證 DNS 回答是否由權威區域簽署,可降低傳輸中的偽造;但 DS 與金鑰輪替錯誤會造成整個網域無法解析,上線前必須確認註冊商與 DNS 供應商流程。
CAA 限制哪些憑證機構可為網域簽發憑證,並可提供事件聯絡資訊。它不能阻止 DNS 帳號已被接管的攻擊,也不取代憑證透明度監控。
清理懸空 DNS 與子網域
子網域接管常出現在 CNAME 或其他記錄仍指向已刪除的雲端網站、儲存桶或 SaaS 專案,而外部人可以重新註冊該資源。停用服務時應先移除 DNS,再刪除供應商資源,並在變更後持續確認。
建立全部 A、AAAA、CNAME、MX、TXT、NS 與委派子區域清冊,標記負責人與用途。定期檢查無法解析、供應商錯誤頁與未知資源。
變更要可追溯、可回復
DNS 變更前降低 TTL 只影響後續快取,不會讓既有快取立刻消失。記錄原值、預定時間、驗證方式與回復條件;高風險 NS、MX、CAA 與驗證 TXT 由第二人覆核。
完成後從權威伺服器與多個公共解析器查詢,確認 IPv4、IPv6、郵件、憑證與子網域都符合預期。不要只看管理介面顯示「已儲存」。
監控真正重要的變化
監控網域到期、NS、DS、MX、CAA、主要 A/AAAA、憑證透明度與 DNS 平台登入。告警要附上舊值、新值、時間與變更來源,才能快速判斷是否授權。
發現未授權變更時,先保全註冊商與 DNS 帳號、撤銷 Token、恢復可信記錄,再檢查是否簽發新憑證或重設郵件帳號。不要只把 A 記錄改回就結案。
