網站維運

網域與 DNS 接管防護:別讓過期帳號與懸空 CNAME 接手品牌

網域安全應涵蓋註冊商 MFA、轉移鎖、DNS 權限、DNSSEC、CAA、子網域清冊與懸空記錄清理。

網域與 DNS 接管防護:別讓過期帳號與懸空 CNAME 接手品牌

網域安全應涵蓋註冊商 MFA、轉移鎖、DNS 權限、DNSSEC、CAA、子網域清冊與懸空記錄清理。

01

網域是所有服務的共同根

網站、郵件、憑證、API 與品牌信任都依賴 DNS。攻擊者若接管註冊商或 DNS 帳號,可以把流量導向其他主機、攔截郵件、申請憑證或建立看似官方的子網域。

因此網域續費與 DNS 不能只由單一個人記得。建立組織帳號、雙重驗證、緊急聯絡與到期監控,並保留離線復原資訊。

02

保護註冊商與 DNS 平台

  • 使用抗釣魚 MFA,優先安全金鑰或 Passkey。
  • 啟用網域轉移鎖、重要變更通知與付款備援。
  • 管理者使用個人帳號,不共用密碼;離職立即撤權。
  • API Token 限制到必要 zone 與動作,設定到期並定期輪替。

帳號復原信箱本身也要使用不同的強驗證與可靠網域,避免形成循環依賴。

03

DNSSEC 與 CAA 各自解決不同問題

DNSSEC 讓解析器驗證 DNS 回答是否由權威區域簽署,可降低傳輸中的偽造;但 DS 與金鑰輪替錯誤會造成整個網域無法解析,上線前必須確認註冊商與 DNS 供應商流程。

CAA 限制哪些憑證機構可為網域簽發憑證,並可提供事件聯絡資訊。它不能阻止 DNS 帳號已被接管的攻擊,也不取代憑證透明度監控。

04

清理懸空 DNS 與子網域

子網域接管常出現在 CNAME 或其他記錄仍指向已刪除的雲端網站、儲存桶或 SaaS 專案,而外部人可以重新註冊該資源。停用服務時應先移除 DNS,再刪除供應商資源,並在變更後持續確認。

建立全部 A、AAAA、CNAME、MX、TXT、NS 與委派子區域清冊,標記負責人與用途。定期檢查無法解析、供應商錯誤頁與未知資源。

05

變更要可追溯、可回復

DNS 變更前降低 TTL 只影響後續快取,不會讓既有快取立刻消失。記錄原值、預定時間、驗證方式與回復條件;高風險 NS、MX、CAA 與驗證 TXT 由第二人覆核。

完成後從權威伺服器與多個公共解析器查詢,確認 IPv4、IPv6、郵件、憑證與子網域都符合預期。不要只看管理介面顯示「已儲存」。

06

監控真正重要的變化

監控網域到期、NS、DS、MX、CAA、主要 A/AAAA、憑證透明度與 DNS 平台登入。告警要附上舊值、新值、時間與變更來源,才能快速判斷是否授權。

發現未授權變更時,先保全註冊商與 DNS 帳號、撤銷 Token、恢復可信記錄,再檢查是否簽發新憑證或重設郵件帳號。不要只把 A 記錄改回就結案。