文章总结： 域名被注册商suspend导致全站nxdomain，根因是攻击者伪造该域名发垃圾邮件被SpamhausDBL拉黑；30分钟内通过Cloudflare添加v=spf1-all与p=reject的DMARC记录、向Spamhaus申请delist并提交ticket给注册商即恢复，事后需全员邮件组、DNS监控及全域名补SPF+DMARC并引入声誉监控防止重演 综合评分： 82 文章分类： 应急响应,安全运营,漏洞预警,办公安全,WEB安全

主站解析失效的真凶：注册商封禁 + Spamhaus + SPF & DMARC 快速修复

原创

imBobby

imBobby的自留地

2026年1月15日 09:01 广东

01

背景

大家早上好啊！

昨天下午运维 Leader 私聊我，问我最近有没有改过 DNS 上的设置（我前一阵子给全域加上了 DNSSEC），他担心是我搞安全时不小心改掉了什么配置没跟他说，导致全站 DNS 解析失效；并且给我看了 nslookup 的结果，发现压根解析不出来 IP，直接报错 nxdomain。

我自己也查了一下 nslookup，发现确实是 nxdomain; 我换 8.8.8.8 来 dig 一下，发现也解不出来 IP；再向上查询到权威 DNS 服务器，发现权威 DNS 服务器返回的结果也是 nxdomain。

这时候我就感觉不太对劲了，假设是 DNSSEC 这里的记录配错了，也不会出 nxdomain 啊，最多就是个 servfail 的报错，于是我就想着不会是 tmd 域名没续费吧…

我让运维查了一下，发现续费到明年，而且还是自动续费。

这时候我就和运维 Leader 大眼瞪小眼了，我们汗流浃背翻来覆去查了半天才发现，原来是域名被注册商 suspend 了（我们的 DNS 托管在 Cloudflare 上，但注册商是 Spaceship，只不过我们把 NS 记录指向了 Cloudflare）

我登录 Spaceship 的后台看，发现域名状态是 “suspended”，并且有一条消息说：

We have recently received some reports indicating that there might be unsolicited email activity associated with your domain. The following domain registered under your Spaceship account has been flagged by an anti-spam organization:

The Spamhaus Project Ltd. DBL:

XXX.XXX

Please note that such reports can have an impact on the reputation of our company. Therefore, please request the delisting of your domain name from The Spamhaus Project Ltd. Please refer to the DBL listing at https://check.spamhaus.org/

这我就明白了，这是域名被攻击者伪造发了大量垃圾邮件钓鱼之类的，被 Spamhaus 列入黑名单了。

Spamhaus Project Ltd. DBL（Domain Block List）是由 Spamhaus Project 维护的一个域名黑名单数据库，专门用于识别与垃圾邮件、钓鱼网站或恶意活动相关的域名。它是电子邮件反垃圾系统的重要组成部分之一。

我们可以这样认为，DBL 的本质是域名信誉库，消费方是邮件过滤链路；被列入后，轻则邮件投递受损（丢信之类），重则触发注册商风控导致域名被暂停。

这时候该怎么处理呢？实际上我们压根没在这个域名设定任何邮箱，所以我做邮件安全防护的时候也没想到会有人利用这个域名发垃圾邮件钓鱼…

02

解决方案

其实解决方案很简单：

SPF 记录 + DMARC 记录。

至于 DKIM 记录，由于我们压根没发邮件，所以就不设定了。

于是我让运维在 Cloudflare 上添加了以下两条 DNS 记录：

_type=TXT_name=@_content=v=spf1 -all_ttl=auto_type=TXT_name=_dmarc_content=v=DMARC1; p=reject; sp=reject; aspf=s; adkim=s; rua=mailto:dmarc-report@xxx; fo=1; pct=100_ttl=auto

接下来我火速去找 Spamhaus 联系方式，按照提示提交了 delist 请求并发送邮件。

做完上面的事，再拿着处理完的 ticket 证明去找 spaceship，全流程大概不到 30 分钟，Spamhaus 和 spaceship 这两边我都联系好处理完，域名状态也从 “suspended” 变成了 “active”。

接下来再去 nslookup 就能解析出 IP 了。

03

总结

如果域名被 suspend 了，第一时间去注册商后台确认状态和原因，按理说发现 nxdomain 的时候，我们简单排查之后发现一切正常，就不该怀疑自己有问题了，去找域名注册商问一下就好了，特别是当我检查权威 DNS 服务器时，发现权威 DNS 服务器返回的结果也是 nxdomain 的时候，就可以去找注册商了。

处理完之后我和运维都长出了一口气，感叹幸亏这个域名下的服务并不重要，没有对外提供什么关键服务，否则估计我们就可以走人了。

事后回看发现，其实注册商早就给我们 CTO 的邮箱发过警告邮件了，只是我们没注意到罢了，所以其实这个锅应该不是运维和安全来背；另一方面及时监控很重要很重要，巧合的地方是这个域名实际上对我们的业务没那么重要，所以挂了一阵子（CTO 都不知道，还是有客户反馈说怎么这个域名下的服务都访问不了）修好就可以，没啥影响。

04

经验教训

1. 我们这流程有很大的问题，其实注册商早就发邮件给 CTO 了，但是他没注意，这里需要把一个邮件组给到注册商，确保相关人员都能收到类似的警告邮件

2. 运维团队居然没有域名和 DNS 的监控，这个必须补上

3. 全域名（我们一共有十几个）补上 SPF 和 DMARC 记录，防止类似的事情再次发生

4. 可选项是做一个域名声誉监控，实时监测全部域名的声誉状态，到底有没有被列到黑名单里等等

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：imBobby的自留地 imBobby《主站解析失效的真凶：注册商封禁 + Spamhaus + SPF & DMARC 快速修复》