Defaults.Exposed

Defaults.Exposed › Доклади

Публикуване на сляпо: повечето DMARC записи не искат никакви доклади

Публикувано 2026-07-03 · обновено 2026-07-03

Данни към 2026-06-29 · методология v7. Данни от преброяването за всеки домейн, публикуващ разпознаваем DMARC запис, дедублирани по домейн. Присъствието на rua= се измерва за всички записи, така че точното му припокриване с отделна политика не е изводимо — там, където тази статия прави твърдения за това припокриване, тя посочва граници, не точни кръстосани таблици. Всички данни са обобщени — никога не публикуваме оценката на отделен бизнес.

Повечето DMARC записи не наблюдават

От 65 милиона домейна, публикуващи DMARC запис, само 23 милиона — 35.7% — включват тага rua=, искащ обобщени доклади. Останалите 64.3% публикуват на сляпо: има политика в записа, но никой не е поискал да бъде информиран какво се случва под нея. Това са 42 милиона домейна с DMARC запис, който не може да им покаже нищо.

DMARC запис без отчитане е звънец без никой вкъщи. Пощенските приемащи системи изрядно проверяват всяко съобщение срещу него — а техните констатации, списъкът на всеки, изпращащ като ваш домейн, не отиват никъде. Механизмът работи; собственикът просто не слуша.

Какво реално прави rua=

DMARC има две половини. Политиковата половина (p=none, quarantine или reject) казва на приемащите какво да правят с поща, неуспяваща удостоверяването. Половината за отчитане — тагът rua=, адрес на пощенска кутия — моли приемащите да ви изпращат ежедневни обобщени доклади: кои сървъри са изпращали като ваш домейн, колко поща и дали е преминала SPF и DKIM.

Тази втора половина е целият контур за обратна връзка. Докладите са начинът да откривате платформата за бюлетини, която никой не е документирал, инструмента за фактуриране, свързан от маркетинга, скрития изпращач в друг регион — преди да приложите и да ги счупите. Без rua= нито едно от тези сведения никога не достига до вас. Добавянето му струва едно DNS редактиране: добавете rua=mailto:[email protected] (или адрес на услуга за мониторинг) към съществуващия запис.

Пропастта между Стъпки 2 и 3: публикуван и сляп

В шестте стъпки на DMARC зрялост Стъпка 3 — Наблюдение — започва, когато DMARC е публикуван и обобщените доклади текат. Запис без rua= не отговаря на изискванията. Той стои в пропастта между Стъпки 2 и 3 — публикуван и сляп — място, което моделът умишлено оставя без собствен номер.

Това е важно, защото всяка следваща стъпка зависи от докладите. Не можете да идентифицирате изпращачите си (Стъпка 4) от доклади, които никога не получавате; не можете да прилагате безопасно (Стъпка 5) без да знаете изпращачите си. Слепият запис не е ранна стъпка в пътуването — той е спирка встрани от него. И преброяването подсказва, че повечето притежатели на записи са паркирани там или наоколо: 57.5% от всички DMARC записи никога не достигат прилагане.

По-лошо от безполезен, защото изглежда като напредък

Липсващият DMARC запис поне изглежда като това, което е: пропуск. Слепият изглежда като отметка. Някой е стартирал контролен списък за съответствие, или ръководство за доставяемост, или еднолинейна поправка от доставчик — публикувал е v=DMARC1; p=none — и скенерът е светнал зелено. Организацията сега се чувства по-напред от организацията без никакъв запис, докато функционално е на същото място: без видимост, без прилагане, без път към нито едното.

Последствието е тихо и кумулативно. Слепите записи не се провалят шумно; те просто никога не генерират доказателствата, които биха оправдали следващото действие. Години по-късно записът все още казва p=none, никой не може да посочи кои изпращачи са легитимни и прилагането изглежда по-рисковано от всякога — именно защото никога не са събирани доклади.

Какво може и какво не може да каже преброяването

Тъй като присъствието на rua= се измерва за всички 65 милиона записа — не в кръстосана таблица по политика — точният брой на p=none записи, които са и слепи, не е изводим от тези маргинали. Границите са все пак категорични. 37 милиона записа (57.4% от притежателите на записи) са при p=none; само 23 милиона записа в цялото преброяване искат доклади. Така най-много 23 милиона от тези p=none записи могат да получават доклади — и поне 14 милиона от тях определено не получават, дори ако всеки адрес за отчитане в преброяването принадлежи на домейн с p=none. Независимо как реално се разпределя припокриването, милиони домейни стоят в „режим на наблюдение” с изключен монитор.

Поправката с едно редактиране

Ако вашият DMARC запис няма таг rua=, поправката е едно DNS промяна и е безопасна при всяко ниво на политика:

  1. Изберете дестинация за отчитане — пощенска кутия, която реално ще обработвате, или безплатна/платена услуга за DMARC мониторинг, превръщаща XML в нещо четимо.
  2. Добавете я към записа: v=DMARC1; p=none; rua=mailto:[email protected]. Ако дестинацията е на различен домейн, този домейн трябва да оторизира получаването на вашите доклади (малък допълнителен DNS запис от негова страна).
  3. Изчакайте няколко дни, след това прочетете. Докладите пристигат ежедневно от основните приемащи системи. Това, което показват — всеки изпращач като ваш домейн — е картата за останалото от пътуването.

Тогава записът спира да е мебел и започва да е инструмент. (Поправете DMARC →.)

Често задавани въпроси

Какво е DMARC rua доклад? Обобщен XML доклад, изпращан от участващи пощенски приемащи системи (обикновено ежедневно) до адреса в тага rua= на вашия запис, обобщаващ кои източници са изпращали поща като ваш домейн и дали е преминала подравняването на SPF и DKIM. Не съдържа съдържание на съобщения — само изпращаща инфраструктура и броя преминавания/грешки.

Безполезен ли е DMARC без rua? Не безполезен — прилагащата политика все още блокира подправянето без него. Но при p=none, запис без rua= не блокира нищо и не ви показва нищо — единствената му оставаща задача е да отметва минималното изискване на доставчиците на пощенски кутии. И дори прилагащите домейни без отчитане губят засичането на отклонения, което поддържа прилагането безопасно при появата на нови изпращачи. p=none не е защита при всеки случай — без доклади то дори не е подготовка.

Може ли rua= да сочи към произволна пощенска кутия? Да, включително такава на различен домейн — повечето услуги за мониторинг работят именно така. Приемащият домейн публикува малък запис за верификация, оторизиращ вашите доклади. Важното е нещо реално да обработва XML; пощенска кутия, която никой не чете, е слепота с допълнителни стъпки.

Разкриват ли обобщените доклади лични данни? Не. Обобщените доклади rua съдържат статистика за изпращащ-源 и удостоверяване, не тела на съобщения или списъци с получатели. (Отделните доклади за грешки ruf= могат да съдържат фрагменти от съобщения, затова много приемащи системи вече не ги изпращат — rua е важният.)

Проверете дали записът ви наблюдава

DMARC запис, неискащ доклади, е едно от най-лесните открития за поправяне в цялото пътуване — едно DNS редактиране превръща сляп в Наблюдаващ. Можете да проверите частно и безплатно и да видите кои от 34-те проверки преминавате и как да поправите тези, които не преминавате.

Проверете домейна си → · 6-те стъпки на DMARC зрялост → · Стълбът DMARC → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.