Defaults.Exposed › Доклади
6-те етапа на зрялостта на DMARC
Публикувано 2026-07-03 · обновено 2026-07-03
Данни към 2026-06-29 · методология v7. Това е референтен модел, подкрепен от повтарящо се преброяване; всяко издание измерва отново същата популация, така че числата могат да се проследяват с времето. Всички цифри са обобщени — никога не публикуваме оценката на отделен бизнес.
Публикуването на DMARC не е същото като защитеността
От 261 милиона измерени домейна, 24.89% публикуват DMARC запис — но само 10.59% го прилагат. С други думи: от приблизително 65 милиона домейна, започнали пътуването с DMARC, 57.5% никога не са достигнали частта, блокираща каквото и да е. Те са публикували запис, насочили докладването някъде и са блокирали. По-малки независими проучвания намират същата форма — един доклад от индустрията за 2026 г. го поставя на ~9% прилагащи сред ~938 000 изследвани домейна.
Приемането вече не е проблемът. Защитата е. И домейните блокират по структурна причина: картите, по които всички се ориентират, спират твърде рано. Те завършват преди времето и нито една от тях не дава на най-трудната стъпка собствено наименование.
Където съществуващите карти спират твърде рано
Моделите, по които индустрията се ориентира, са правилни за своята епоха и заслужават честно четене:
- Петфазният модел за разгръщане, популяризиран от dmarcian (чийто основател е съавтор на самия DMARC), обхожда разгръщане → мониторинг → затягане на политиката — и третира достигането на
p=rejectкато крайна точка. - RFC прогресията —
p=none → quarantine → reject— е три нива на прилагане, а не модел на зрялост. Тя не казва нищо за предпоставките и нищо за това, което следва. - „Пълзи, ходи, бягай” е народен модел: правилен по посока, структурно празен.
И трите споделят две ограничения. Първо, спират при p=reject — сякаш прилагането е финалната линия. Не е: самият стандарт се е развил (DMARCbis — RFC 9989, 9990 и 9991 — беше публикуван през май 2026 г., заменяйки оригиналния RFC 7489), и прилагането не прави нищо за транспортната сигурност или доверието към марката. Второ — и това е, което действително блокира домейните — нито един от тях не прави „всеки изпращач е отчетен” именуван етап. За справедливост, ръководствата за разгръщане споменават работата: моделът на dmarcian включва идентификацията на изпращача като задача в рамките на фазата за мониторинг. Но задача, заровена в рамките на фаза, е точно как бива третирана — като част от „мониторинга”, а не като отделното постижение, което е. Наблюдаването на пристигащи доклади се усеща като напредък. Не е, още. Единствената най-голяма причина домейните да стоят при p=none с години е, че могат да виждат пощата си, но не са я отчели — затова не смеят да прилагат, от страх да не счупят нещо реално.
Полезният модел трябва да даде на тази стъпка собствено наименование и собствени критерии за излизане. Този го прави. Наричаме го Модел за зрялост при приемане на DMARC — DAMM: шест етапа, едно действие всеки, и наименование, което може да се цитира.
Моделът
Етап 1 — Незащитен. Без DMARC запис — или SPF и DKIM непълни под него. Всеки може да изпраща имейл от вашия домейн, и никъде нищо не проверява. Действието: конфигурирайте SPF и DKIM за основния си пощенски поток, и потвърдете, че се удостоверяват и съгласуват. DMARC е изграден върху двете; не можете да пропуснете тази основа.
Етап 2 — Удостоверен. SPF и DKIM са правилни и съгласуват за основния ви пощенски поток. Законната ви поща доказва произхода си — но нищо не казва на входящите кутии по света какво да правят с пощата, която не го прави. Действието: публикувайте DMARC запис при p=none с адрес за доклади rua=.
Етап 3 — Наблюдаващ. DMARC е публикуван, обобщените доклади текат, и за първи път можете да видите кой изпраща от вашия домейн. Нищо не е блокирано. Повечето инструменти называт този етап „видимост” — умишлено не го правим, защото виждането на доклади и разбирането им са различни постижения. Действието: идентифицирайте всеки легитимен изпращач, изпращащ от вашия домейн, и осигурете съгласуване на всеки от тях.
Етап 4 — Видимост. Всеки легитимен изпращач е идентифициран и съгласуван — платформата за бюлетин, системата за фактуриране, CRM, нещото, което маркетингът е включил миналата пролет. Познавате пощата си. Нищо легитимно няма да се счупи при прилагане. Това е етапът, пропускан от старите карти, и преградата, която повечето домейни никога не прескачат. Действието: повишете политиката — p=none → p=quarantine (режимът за тест t=y на DMARCbis помага тук) → p=reject.
Етап 5 — Прилаган. p=quarantine или p=reject е активен, а поддомейните са покрити от изрична политика sp=. Пощата, неуспешна при удостоверяване, вече действително се поставя в карантина или отказва при участващите получатели — включително всеки голям доставчик на входящи кутии — така че директното фалшифициране на точния ви домейн спира да попада там, където се проверява DMARC. Действието: добавете слоя за закаляване — np= на DMARCbis и покритие с tree-walk, MTA-STS и TLS-RPT за транспорт, BIMI ако показването на марката е важно за вас.
Етап 6 — Закален и поддържан. Прилагане плюс съвременния стек: покритие на несъществуващи поддомейни (np=) от DMARCbis, MTA-STS и TLS-RPT, осигуряващи пощата при пренос, BIMI там, където носи ползи — и, критично важно, непрекъснат мониторинг за отклонения и нови изпращачи. Това не е значка; то е дисциплина. Появяват се нови изпращачи, доставчиците сменят IP адреси, конфигурациите гният. Действието: останете тук.
Лентата без поща. Измерено в пълния инвентар на домейни — включително мъртви домейни — 51.5% от домейните изобщо нямат пощенска услуга, и за тях пътуването се свежда до една стъпка. Домейн, който никога не изпраща, трябва незабавно да публикува SPF
-allи DMARCp=reject: няма легитимна поща за защита, така че няма какво да наблюдавате и няма преграда за прескачане. Паркираните и неактивните домейни на марката отиват директно към Прилаган с една DNS промяна — и правейки го, затварят един от най-честите вектори за представяне.
Преградата: Етап 3 → 4
Всеки друг преход в този модел е DNS промяна. Тази е изследователска работа — и именно тук месеците умират.
Преминаването от Наблюдаващ към Видимост означава приписване на всеки изпращащ изпращач в докладите ви към реална система: кой ESP, кой CRM, коя поща на регионалния офис, кой SaaS инструмент, включен от някого през 2023 г. и забравен. Означава намиране на изпращачите в сянка, недокументирани от никого. Означава поправяне на съгласуването ESP по ESP, защото всяка платформа има собствен начин за удостоверяване от ваше ime — някои от тях неправилни по подразбиране.
Пропускането на преградата е как DMARC придоби своята страшна репутация. Прилагайте от Наблюдаващ — без Видимост — и ще блокирате нещо реално: изпращане на фактури, поток за нулиране на паролата, бюлетина на изпълнителния директор. После идва паническото връщане към p=none, вътрешният анализ и урокът, научен погрешно от всички: „опитахме DMARC и той счупи имейла.” Повечето ужасни истории за DMARC са точно това — прилагане, опитано един етап по-рано. Преградата не е причина да спрете при Етап 3. Тя е причината Етап 4 да съществува.
Това е и етапът, при който собствениците най-често търсят помощ — IT доставчик или услуга за мониторинг на DMARC може да свърши работата по идентификация на изпращача; етапите остават едни и същи при всички случаи.
Частта, забравена от всички: Етап 5 → 6
Достигането на p=reject спира директното фалшифициране на вашия домейн в реда От:, при получателите, проверяващи го. Това е необходимо — и не е достатъчно. Струва си също да назовем какво прилагането никога не покрива: домейни, наподобяващи вашия (yourc0mpany.com) и представяне само на показваното наименование са изцяло извън обхвата на DMARC, така че прилагането затваря вратата за точния домейн и оставя съседните за бдителност и други контроли.
Прилагането не прави нищо за транспорта: без MTA-STS и TLS-RPT, пощата до вашия домейн все още може да бъде понижена или прихваната при пренос. Не прави нищо за разпознаването на марката: BIMI — вашето лого, показвано при входящата кутия — е сигнал за доверие, а не контрол за сигурност, и е честно да го третирате като такъв (изисква и платен сертификат, поради което е последно, а не първо). А обикновеното p=reject предшества DMARCbis: тагът np= на новите RFC-та и tree-walk затварят пропастта при несъществуващи поддомейни, оставена отворена от по-старите разгръщания.
Домейн при p=reject без нито едно от горните е защитен срещу най-честата атака и неподготвен за останалото. Това е реално разграничение и заслужава собствен етап.
Вашият етап е измерим
Този модел не е само диаграма — етапът на домейна е изчислим, което го отличава от плакат на стена.
Етапи 3 до 6 могат да бъдат изведени от собствените данни за докладване на DMARC на домейна плюс публикуваните му записи: каква политика е активна, дали текат доклади, и дали всеки наблюдаван изпращач се съгласува. Етапи 1 и 2 се оценяват с живо DNS проверяване, тъй като все още не съществуват доклади. Едно честно ограничение: Етап 4 се потвърждава с доказателства с времето — „всеки наблюдаван изпращач се съгласува достатъчно дни в докладването” е силна заместител, но нито един доклад не може да разкрие изпращача, когото все още не сте свързали. И слоят за закаляване на Етап 6 — MTA-STS, TLS-RPT, BIMI — е невидим в DMARC доклади; изисква DNS проверка за виждане. Домейн може да изглежда „завършен” от докладите си и все пак да носи скрита пропаст от Етап 5 → 6. Това е моделът, спрямо който нашият анализ на докладите измерва, заедно с блокерите.
Работен пример
Средна по размер фирма управлява Microsoft 365 зад шлюз за филтриране на поща. SPF завършва с -all, DKIM е конфигуриран, DMARC е публикуван при p=none и докладите текат към инструмент за мониторинг. По старите карти изглежда почти завършено. По тази е Етап 3 — Наблюдаващ: трудната настройка е завършена и домейнът е блокирал точно при преградата — видим, но незащитен. Действието с най-голяма стойност е 3 → 4 → 5: потвърдете, че (вероятно малкото) легитимни изпращачи всички се съгласуват, после повишете политиката поетапно. За домейн в тази форма, това обикновено е седмици внимание, не месеци — преградата е най-висока за онези, които никога не я картографират.
Намерете своя етап
Въпросът за пенсиониране е „имаме ли DMARC?” — 24.89% от домейните могат да кажат да, докато 57.5% от тях остават фалшифицируеми. По-добрият въпрос е „на кой етап сме и кое е единственото действие към следващия?” Всеки домейн в интернет е точно на един от тези шест етапа днес. Знаейки кой, превръщате безпокойството в списък за изпълнение.
Често задавани въпроси
Какво е DAMM? Моделът за зрялост при приемане на DMARC — шестетапният модел на тази страница: Незащитен, Удостоверен, Наблюдаващ, Видимост, Прилаган, Закален. Етапът на домейна е измерим от DNS и данните за DMARC докладване, което го отличава от плакат на стена.
Безполезно ли е публикуването на p=none тогава? Не — той е Етап 3, и Етап 3 носи тежест: докладването е как намирате всеки изпращач преди да прилагате. Само става проблем, когато се третира като крайна точка. Вижте защо p=none не е защита.
Мога ли да прескоча директно до p=reject? Ако домейнът ви не изпраща поща — да, днес, и трябва. Ако изпраща — не: прилагането без Видимост (Етап 4) е как се счупва легитимна поща и се случват връщания. Етапите са безопасният път, не церемония.
Нужен ли ми е BIMI, за да бъда „завършен”? Не. BIMI е слоят за показване на марката на Етап 6 и най-незадължителният елемент в модела — MTA-STS, TLS-RPT и покритието с np= на DMARCbis са частите, материално закалящи домейна. Ако цената на сертификата не е оправдана за вас, пропуснете го и задръжте останалото от Етап 6.
Къде се вписват SPF и DKIM? Под всичко — те са Етапи 1 → 2, и SPF без DMARC защитава по-малко, отколкото повечето собственици допускат. От 2024 г. основните получатели също изискват удостоверяване директно от масовите изпращачи.
Проверете на кой етап е вашият домейн
Тези етапи са модели на популацията — вашият домейн е точно на един от тях, и следващото действие е познаваемо. Можете да проверите частно и безплатно и да видите кои от 34-те проверки минавате и как да поправите тези, които не минавате.
Проверете вашия домейн → · Как оценихме интернет → · Стълбът за DMARC → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.