Defaults.Exposed › DMARC
DMARC: приемане, зрялост и класации
Данни към 2026-06-29 · Издание #1 · данни към 2026-06-29
DMARC е DNS записът, който казва на входящите кутии в света какво да правят с имейл, претендиращ да идва от вашия домейн — да го достави, постави под карантина или отхвърли. Не публикувайте нищо (или го оставете в режим само за наблюдение) и всеки може да сложи вашето име в реда „От” на имейл. Тази секция измерва как целият интернет реално използва DMARC — и дава на резултатите ясни, цитируеми имена.
Преброяване, не извадка: 261 милиона измерени домейна. 10.6% прилагат DMARC; 75.1% не публикуват никакъв запис.
Моделът: Модел на зрялост на приемане на DMARC (DAMM)
Числата за приемане имат смисъл само спрямо карта. Нашата е Моделът на зрялост на приемане на DMARC — DAMM: шест етапа от Незащитен до Закален, едно движение на етап и една честна стена в средата — стъпката от Наблюдение (отчетите текат) до Видимост (всеки изпращач е отчетен), която повечето домейни никога не изкачват. Всяка таблица и доклад в тази секция е DAMM приложен към преброяването.
Време е да даде DAMM.
Постоянните знаменатели
Всяка DMARC страница на този сайт използва едни и същи знаменатели, така че нито една статистика тук не може тихо да смени основата си:
- 65 милиона домейна публикуват DMARC запис — 24.9% от 261 милиона оценени домейна.
- 27.6 милиона прилагат (p=quarantine или p=reject) — 42.5% от записите, 10.6% от всички оценени домейна.
- Цифри към 2026-06-29 (издание #1); обновявани месечно с преброяването.
На кой етап сте? Шест въпроса
Започнете от въпрос 0, след това отговаряйте по ред — първото „не” е вашият етап. Нищо не е необходимо освен поглед към собствените ви DNS записи и входящата кутия — и ако не можете да отговорите на един, не предполагайте: безплатната проверка чете вашия живи DNS и отговаря на въпроси 1, 2, 3 и 5 вместо вас.
0. Изпраща ли изобщо имейл вашият домейн?
Не → пътят ви се свежда до една стъпка: публикувайте SPF v=spf1 -all и DMARC p=reject днес. Домейн, който никога не изпраща, няма легитимна поща за защита — нищо за наблюдение, без стена за изкачване — така че отива директно на Етап 5 — Приложен с една DNS промяна. Да → следващ въпрос.
1. Съществуват ли SPF и DKIM и преминават ли за пощата, която изпращате?
Не → вероятно сте на Етап 1 — Незащитен. Следващата ви стъпка: конфигурирайте SPF и DKIM за основната ви поща и потвърдете, че и двете удостоверяват и съвпадат — съвпадат означава, че домейнът, валидиран от SPF или DKIM, е същият домейн, който човек вижда в видимия ред „От:”, което е съответствието, което DMARC реално тества. DMARC е изграден върху двете. Да → следващ въпрос.
2. Публикувате ли DMARC запис?
Не → вероятно сте на Етап 2 — Удостоверен. Следващата ви стъпка: публикувайте DMARC запис с p=none и rua= адрес за отчитане — един DNS запис, нищо не се чупи. Да → следващ въпрос.
3. Изисква ли вашият запис отчети (rua=), които някой реално получава?
Не → вероятно сте заседнали между Етапи 2 и 3 — публикуван, но сляп. Следващата ви стъпка: добавете rua= адрес (една DNS редакция), за да текат обобщени отчети — запис, който не наблюдава, не може да намери изпращачите, които ще трябва да съвпадат. Да → следващ въпрос.
4. Идентифицирали ли сте всеки легитимен изпращач на пощата на вашия домейн — и съвпада ли всеки един?
Не → вероятно сте на Етап 3 — Наблюдение, пред стената, където повечето домейни спират. Следващата ви стъпка: направете инвентаризация на всяка услуга, изпращаща като вашия домейн (инструментът за бюлетина, системата за фактуриране, CRM-ът) и накарайте всяка да съвпада. Това е и етапът, в който собствениците най-често търсят помощ — IT доставчик или услуга за мониторинг на DMARC може да извърши работата по идентификация на изпращача; етапите остават същите така или иначе. Да → следващ въпрос.
5. Вашата политика p=quarantine или p=reject ли е?
Не → вероятно сте на Етап 4 — Видимост и можете безопасно да приложите. Следващата ви стъпка: повишете политиката на стъпки — none → quarantine → reject. Да → вие сте на Етап 5 — Приложен. Следващата ви стъпка: слоят за закаляване — np= покритие, MTA-STS и TLS-RPT — плюс непрекъснат мониторинг. Това е Етап 6.
Всичките пет да, закаляване на място и някой все още наблюдава отчетите? Това е Етап 6 — Закален. Движението там е да останете: появяват се нови изпращачи, доставчиците сменят IP-та, конфигурациите се влошават. Не сте сигурни за отговор? Стартирайте безплатната проверка — тя урежда въпроси 1, 2, 3 и 5 от вашия живи DNS за по-малко от минута, поверително.
Класациите и месечният доклад
- Зрялост на DMARC по TLD
155 домейн разширения класирани по Резултат на зрялост — лидерите, изоставащите и правилото за замразено членство, което поддържа класацията честна. - Зрялост на DMARC по държава
68 държави класирани чрез техните национални домейн разширения — кой прилага, кой наблюдава, кой не публикува нищо. - DAMMM — месечният доклад за приемане на DMARC
Матрицата за зрялост на приемане на DMARC — Месечна: етапи × популационни срезове, Wall Watch, Blind Watch. Издание #1 е базовата линия.
Задълбочени анализи
- 6-те етапа на зрялост на DMARC — самият модел
- Публикуване на сляпо — повечето DMARC записи не изискват отчети
- SPF не е достатъчен — броят на домейните, разчитащи само на SPF
- Напълно защитените малцина — какво правят по-различно домейните, завършили пътя
Искате ли да знаете где стои вашият домейн? Стартирайте безплатната проверка → — поверително; показваме оценката на домейн само на неговия потвърден собственик.
Как оценяваме → · Само обобщени данни; никога не публикуваме оценката на отделен домейн.