Defaults.Exposed › Доклади
Публикуване на сляпо: повечето DMARC записи не искат никакви доклади
Публикувано 2026-07-03 · обновено 2026-07-03
Данни към 2026-06-29 · методология v7. Данни от преброяването за всеки домейн, публикуващ разпознаваем DMARC запис, дедублирани по домейн. Присъствието на
rua=се измерва за всички записи, така че точното му припокриване с отделна политика не е изводимо — там, където тази статия прави твърдения за това припокриване, тя посочва граници, не точни кръстосани таблици. Всички данни са обобщени — никога не публикуваме оценката на отделен бизнес.
Повечето DMARC записи не наблюдават
От 65 милиона домейна, публикуващи DMARC запис, само 23 милиона — 35.7% — включват тага rua=, искащ обобщени доклади. Останалите 64.3% публикуват на сляпо: има политика в записа, но никой не е поискал да бъде информиран какво се случва под нея. Това са 42 милиона домейна с DMARC запис, който не може да им покаже нищо.
DMARC запис без отчитане е звънец без никой вкъщи. Пощенските приемащи системи изрядно проверяват всяко съобщение срещу него — а техните констатации, списъкът на всеки, изпращащ като ваш домейн, не отиват никъде. Механизмът работи; собственикът просто не слуша.
Какво реално прави rua=
DMARC има две половини. Политиковата половина (p=none, quarantine или reject) казва на приемащите какво да правят с поща, неуспяваща удостоверяването. Половината за отчитане — тагът rua=, адрес на пощенска кутия — моли приемащите да ви изпращат ежедневни обобщени доклади: кои сървъри са изпращали като ваш домейн, колко поща и дали е преминала SPF и DKIM.
Тази втора половина е целият контур за обратна връзка. Докладите са начинът да откривате платформата за бюлетини, която никой не е документирал, инструмента за фактуриране, свързан от маркетинга, скрития изпращач в друг регион — преди да приложите и да ги счупите. Без rua= нито едно от тези сведения никога не достига до вас. Добавянето му струва едно DNS редактиране: добавете rua=mailto:[email protected] (или адрес на услуга за мониторинг) към съществуващия запис.
Пропастта между Стъпки 2 и 3: публикуван и сляп
В шестте стъпки на DMARC зрялост Стъпка 3 — Наблюдение — започва, когато DMARC е публикуван и обобщените доклади текат. Запис без rua= не отговаря на изискванията. Той стои в пропастта между Стъпки 2 и 3 — публикуван и сляп — място, което моделът умишлено оставя без собствен номер.
Това е важно, защото всяка следваща стъпка зависи от докладите. Не можете да идентифицирате изпращачите си (Стъпка 4) от доклади, които никога не получавате; не можете да прилагате безопасно (Стъпка 5) без да знаете изпращачите си. Слепият запис не е ранна стъпка в пътуването — той е спирка встрани от него. И преброяването подсказва, че повечето притежатели на записи са паркирани там или наоколо: 57.5% от всички DMARC записи никога не достигат прилагане.
По-лошо от безполезен, защото изглежда като напредък
Липсващият DMARC запис поне изглежда като това, което е: пропуск. Слепият изглежда като отметка. Някой е стартирал контролен списък за съответствие, или ръководство за доставяемост, или еднолинейна поправка от доставчик — публикувал е v=DMARC1; p=none — и скенерът е светнал зелено. Организацията сега се чувства по-напред от организацията без никакъв запис, докато функционално е на същото място: без видимост, без прилагане, без път към нито едното.
Последствието е тихо и кумулативно. Слепите записи не се провалят шумно; те просто никога не генерират доказателствата, които биха оправдали следващото действие. Години по-късно записът все още казва p=none, никой не може да посочи кои изпращачи са легитимни и прилагането изглежда по-рисковано от всякога — именно защото никога не са събирани доклади.
Какво може и какво не може да каже преброяването
Тъй като присъствието на rua= се измерва за всички 65 милиона записа — не в кръстосана таблица по политика — точният брой на p=none записи, които са и слепи, не е изводим от тези маргинали. Границите са все пак категорични. 37 милиона записа (57.4% от притежателите на записи) са при p=none; само 23 милиона записа в цялото преброяване искат доклади. Така най-много 23 милиона от тези p=none записи могат да получават доклади — и поне 14 милиона от тях определено не получават, дори ако всеки адрес за отчитане в преброяването принадлежи на домейн с p=none. Независимо как реално се разпределя припокриването, милиони домейни стоят в „режим на наблюдение” с изключен монитор.
Поправката с едно редактиране
Ако вашият DMARC запис няма таг rua=, поправката е едно DNS промяна и е безопасна при всяко ниво на политика:
- Изберете дестинация за отчитане — пощенска кутия, която реално ще обработвате, или безплатна/платена услуга за DMARC мониторинг, превръщаща XML в нещо четимо.
- Добавете я към записа:
v=DMARC1; p=none; rua=mailto:[email protected]. Ако дестинацията е на различен домейн, този домейн трябва да оторизира получаването на вашите доклади (малък допълнителен DNS запис от негова страна). - Изчакайте няколко дни, след това прочетете. Докладите пристигат ежедневно от основните приемащи системи. Това, което показват — всеки изпращач като ваш домейн — е картата за останалото от пътуването.
Тогава записът спира да е мебел и започва да е инструмент. (Поправете DMARC →.)
Често задавани въпроси
Какво е DMARC rua доклад? Обобщен XML доклад, изпращан от участващи пощенски приемащи системи (обикновено ежедневно) до адреса в тага rua= на вашия запис, обобщаващ кои източници са изпращали поща като ваш домейн и дали е преминала подравняването на SPF и DKIM. Не съдържа съдържание на съобщения — само изпращаща инфраструктура и броя преминавания/грешки.
Безполезен ли е DMARC без rua? Не безполезен — прилагащата политика все още блокира подправянето без него. Но при p=none, запис без rua= не блокира нищо и не ви показва нищо — единствената му оставаща задача е да отметва минималното изискване на доставчиците на пощенски кутии. И дори прилагащите домейни без отчитане губят засичането на отклонения, което поддържа прилагането безопасно при появата на нови изпращачи. p=none не е защита при всеки случай — без доклади то дори не е подготовка.
Може ли rua= да сочи към произволна пощенска кутия? Да, включително такава на различен домейн — повечето услуги за мониторинг работят именно така. Приемащият домейн публикува малък запис за верификация, оторизиращ вашите доклади. Важното е нещо реално да обработва XML; пощенска кутия, която никой не чете, е слепота с допълнителни стъпки.
Разкриват ли обобщените доклади лични данни? Не. Обобщените доклади rua съдържат статистика за изпращащ-源 и удостоверяване, не тела на съобщения или списъци с получатели. (Отделните доклади за грешки ruf= могат да съдържат фрагменти от съобщения, затова много приемащи системи вече не ги изпращат — rua е важният.)
Проверете дали записът ви наблюдава
DMARC запис, неискащ доклади, е едно от най-лесните открития за поправяне в цялото пътуване — едно DNS редактиране превръща сляп в Наблюдаващ. Можете да проверите частно и безплатно и да видите кои от 34-те проверки преминавате и как да поправите тези, които не преминавате.
Проверете домейна си → · 6-те стъпки на DMARC зрялост → · Стълбът DMARC → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.