Defaults.Exposed

Defaults.Exposed › প্রতিবেদন

DMARC পরিপক্কতার ৬টি স্তর

প্রকাশিত 2026-07-03 · আপডেট 2026-07-03

2026-06-29 পর্যন্ত পরিসংখ্যান · পদ্ধতি v7। এটি একটি পুনরাবৃত্ত সেন্সাস দ্বারা সমর্থিত একটি রেফারেন্স মডেল; প্রতিটি সংস্করণ একই জনগোষ্ঠী পুনরায় পরিমাপ করে যাতে সময়ের সাথে সংখ্যাগুলো ট্র্যাক করা যায়। সমস্ত পরিসংখ্যান সমষ্টিগত — আমরা কখনো একটি পৃথক ব্যবসার গ্রেড প্রকাশ করি না।

DMARC প্রকাশ করা সুরক্ষিত হওয়ার মতো নয়

261 মিলিয়ন পরিমাপ করা ডোমেইন জুড়ে, 24.89% একটি DMARC রেকর্ড প্রকাশ করে — কিন্তু মাত্র 10.59% একটি প্রয়োগ করে। অন্যভাবে বলতে গেলে: প্রায় 65 মিলিয়ন ডোমেইন যারা DMARC যাত্রা শুরু করেছিল, 57.5% কখনো এমন অংশে পৌঁছায়নি যা কিছু ব্লক করে। তারা একটি রেকর্ড প্রকাশ করেছে, কোথাও রিপোর্টিং নির্দেশ করেছে, এবং থামে। ছোট স্বাধীন গবেষণাগুলো একই আকৃতি খুঁজে পায় — একটি ২০২৬ শিল্প রিপোর্ট এটি পরীক্ষিত ~৯৩৮,০০০ ডোমেইনের মধ্যে প্রায় ~৯% প্রয়োগকারীতে রেখেছে।

গ্রহণ আর সমস্যা নয়। সুরক্ষা হলো। এবং ডোমেইনগুলো একটি কাঠামোগত কারণে থামে: সবাই যে মানচিত্রগুলো ব্যবহার করে সেগুলো সংক্ষিপ্ত। তারা অনেক তাড়াতাড়ি শেষ হয়, এবং তাদের কোনোটিই সবচেয়ে কঠিন পদক্ষেপকে নিজস্ব নাম দেয় না।

বিদ্যমান মানচিত্রগুলো কোথায় সংক্ষিপ্ত

শিল্পটি যে মডেলগুলো দিয়ে নেভিগেট করে সেগুলো তাদের যুগের জন্য সঠিক ছিল, এবং একটি ন্যায্য পাঠের প্রাপ্য:

তিনটিই দুটি সীমা ভাগ করে। প্রথমত, তারা p=reject-এ থামে — যেন প্রয়োগ ফিনিশ লাইন। এটি নয়: মানটি নিজেই এগিয়ে গেছে (DMARCbis — RFC 9989, 9990 এবং 9991 — মে ২০২৬ সালে প্রকাশিত হয়েছে, মূল RFC 7489 প্রতিস্থাপন করে), এবং প্রয়োগ ট্রান্সপোর্ট নিরাপত্তা বা ব্র্যান্ড বিশ্বাসের জন্য কিছুই করে না। দ্বিতীয়ত — এবং এটিই আসলে ডোমেইনগুলোকে আটকে রাখে — তাদের কোনোটিই “প্রতিটি প্রেরকের হিসাব রাখা” কে একটি নামযুক্ত স্তর বানায় না। ন্যায্যভাবে বলতে গেলে, ডিপ্লয়মেন্ট গাইডগুলো কাজটি উল্লেখ করে: dmarcian-এর মডেল তার মনিটরিং পর্যায়ের ভেতরে উৎস সনাক্তকরণ একটি কাজ হিসেবে অন্তর্ভুক্ত করে। কিন্তু একটি পর্যায়ের ভেতরে সমাহিত একটি কাজ ঠিক এভাবেই বিবেচিত হয় — “মনিটরিং”-এর অংশ হিসেবে নয়, আলাদা কৃতিত্ব হিসেবে। রিপোর্ট আসতে দেখা অগ্রগতির মতো মনে হয়। এটি নয়, এখনও। ডোমেইনগুলো বছরের পর বছর p=none-এ থাকার সবচেয়ে বড় কারণ হলো তারা তাদের মেইল দেখতে পারে কিন্তু এটি হিসাব করেনি — তাই তারা প্রয়োগ করতে সাহস করে না, কিছু বাস্তব ভাঙার ভয়ে।

একটি দরকারী মডেলকে সেই পদক্ষেপটিকে নিজস্ব নাম এবং নিজস্ব প্রস্থান মানদণ্ড দিতে হবে। এটি দেয়। আমরা এটিকে DMARC গ্রহণ পরিপক্কতা মডেল — DAMM বলি: ছয়টি স্তর, প্রতিটিতে একটি পদক্ষেপ, এবং একটি নাম যা উদ্ধৃত করা যায়।

মডেল

DMARC পরিপক্কতার ছয়টি স্তর — অরক্ষিত থেকে শক্তিশালী পর্যন্ত, পর্যবেক্ষণ এবং দৃশ্যমানতার মধ্যে দেয়ালটি সহ

স্তর ১ — অরক্ষিত। কোনো DMARC রেকর্ড নেই — বা SPF এবং DKIM এর নিচে অসম্পূর্ণ। যে কেউ আপনার ডোমেইন হিসেবে ইমেইল পাঠাতে পারে, এবং কোথাও কিছু পরীক্ষা করছে না। পদক্ষেপ: আপনার প্রাথমিক মেইলের জন্য SPF এবং DKIM কনফিগার করুন, এবং নিশ্চিত করুন তারা প্রমাণীকরণ এবং সংযুক্ত হয়। DMARC উভয়ের উপর নির্মিত; আপনি এই মেঝে এড়িয়ে যেতে পারবেন না।

স্তর ২ — প্রমাণীকৃত। SPF এবং DKIM আপনার প্রধান মেইল প্রবাহের জন্য সঠিক এবং সংযোজিত। আপনার বৈধ মেইল তার উৎস প্রমাণ করে — কিন্তু বিশ্বের ইনবক্সগুলোকে এমন মেইল সম্পর্কে কী করতে হবে তা বলার কিছু নেই যা করে না। পদক্ষেপ: একটি rua= রিপোর্টিং ঠিকানা সহ p=none-এ একটি DMARC রেকর্ড প্রকাশ করুন।

স্তর ৩ — পর্যবেক্ষণ করছে। DMARC প্রকাশিত, সমষ্টিগত রিপোর্ট প্রবাহিত হচ্ছে, এবং প্রথমবারের মতো আপনি দেখতে পাচ্ছেন কে আপনার ডোমেইন হিসেবে পাঠাচ্ছে। কিছু ব্লক করা নেই। বেশিরভাগ টুল এই স্তরকে “দৃশ্যমানতা” বলে — আমরা ইচ্ছাকৃতভাবে করি না, কারণ রিপোর্ট দেখা এবং সেগুলো বোঝা ভিন্ন কৃতিত্ব। পদক্ষেপ: আপনার ডোমেইন হিসেবে পাঠানো প্রতিটি বৈধ উৎস সনাক্ত করুন, এবং প্রতিটিকে সংযুক্ত করুন।

স্তর ৪ — দৃশ্যমানতা। প্রতিটি বৈধ প্রেরক সনাক্তকৃত এবং সংযুক্ত — নিউজলেটার প্ল্যাটফর্ম, ইনভয়েসিং সিস্টেম, CRM, সেই জিনিস মার্কেটিং গত বসন্তে সাইন আপ করেছিল। আপনি আপনার মেইল জানেন। আপনি প্রয়োগ করলে কিছু বৈধ ভাঙবে না। এটি সেই স্তর যা পুরানো মানচিত্রগুলো এড়িয়ে যায়, এবং দেয়াল যা বেশিরভাগ ডোমেইন কখনো আরোহণ করে না। পদক্ষেপ: নীতি বাড়ান — p=none → p=quarantine (DMARCbis-এর t=y পরীক্ষা মোড এখানে সাহায্য করে) → p=reject

স্তর ৫ — প্রয়োগকৃত। p=quarantine বা p=reject লাইভ, একটি স্পষ্ট sp= নীতি দিয়ে সাবডোমেইন কভার করা। যে মেইল প্রমাণীকরণ ব্যর্থ করে তা এখন অংশগ্রহণকারী রিসিভারদের কাছে প্রকৃতপক্ষে পৃথক বা প্রত্যাখ্যাত হয় — যার মধ্যে প্রতিটি প্রধান মেইলবক্স প্রদানকারী অন্তর্ভুক্ত — তাই আপনার সঠিক ডোমেইনের সরাসরি স্পুফিং যেখানে DMARC পরীক্ষা করা হয় সেখানে ল্যান্ড করা থামায়। পদক্ষেপ: শক্তিশালীকরণ স্তর যোগ করুন — DMARCbis-এর np= এবং ট্রি-ওয়াক কভারেজ, ট্রান্সপোর্টের জন্য MTA-STS এবং TLS-RPT, BIMI যদি ব্র্যান্ড ডিসপ্লে আপনার কাছে গুরুত্বপূর্ণ হয়।

স্তর ৬ — শক্তিশালী ও টেকসই। প্রয়োগ এবং আধুনিক স্ট্যাক: DMARCbis থেকে অ-বিদ্যমান-সাবডোমেইন (np=) কভারেজ, ট্রানজিটে মেইল সুরক্ষিত করতে MTA-STS এবং TLS-RPT, BIMI যেখানে এটি কার্যকর — এবং সবচেয়ে গুরুত্বপূর্ণ, ড্রিফট এবং নতুন প্রেরকদের জন্য ক্রমাগত মনিটরিং। এটি একটি ব্যাজ নয়; এটি একটি শৃঙ্খলা। নতুন প্রেরকরা আসে, প্রদানকারীরা IP পরিবর্তন করে, কনফিগারেশন ক্ষয় হয়। পদক্ষেপ: এখানে থাকুন।

নো-মেইল লেন। সম্পূর্ণ ডোমেইন ইনভেন্টরি জুড়ে পরিমাপ করা — মৃত ডোমেইন সহ — 51.5% ডোমেইন আদৌ কোনো মেইল পরিষেবা চালায় না, এবং তাদের জন্য যাত্রাটি একটি পদক্ষেপে সংকুচিত হয়। এমন একটি ডোমেইন যা কখনো পাঠায় না তার SPF -all এবং DMARC p=reject অবিলম্বে প্রকাশ করা উচিত: কোনো বৈধ মেইল রক্ষা করার নেই, তাই পর্যবেক্ষণ করার কিছু নেই এবং আরোহণের কোনো দেয়াল নেই। পার্ক করা এবং ঘুমন্ত ব্র্যান্ড ডোমেইনগুলো একটি একক DNS পরিবর্তনে সরাসরি প্রয়োগকৃত হয়ে যায় — এবং এটি করা সবচেয়ে সাধারণ ছদ্মবেশ ভেক্টরগুলোর একটি বন্ধ করে।

দেয়াল: স্তর ৩ → ৪

এই মডেলের প্রতিটি অন্য রূপান্তর একটি DNS পরিবর্তন। এটি তদন্তমূলক কাজ — এবং যেখানে মাসগুলো মারা যায়।

পর্যবেক্ষণ থেকে দৃশ্যমানতায় যাওয়ার অর্থ হলো আপনার রিপোর্টে প্রতিটি পাঠানোর উৎসকে একটি বাস্তব সিস্টেমে দায়ী করা: কোন ESP, কোন CRM, কোন আঞ্চলিক অফিসের মেইল রিলে, কোন SaaS টুল কেউ ২০২৩ সালে সংযুক্ত করেছে এবং ভুলে গেছে। এর মানে সেই শ্যাডো-IT প্রেরকদের খুঁজে পাওয়া যা কেউ নথিভুক্ত করেনি। এর মানে ESP-এ ESP সংযোজন ঠিক করা, কারণ প্রতিটি প্ল্যাটফর্মের আপনার পক্ষে প্রমাণীকরণের নিজস্ব উপায় আছে — কিছু ডিফল্টে ভুল।

দেয়াল এড়িয়ে যাওয়া কীভাবে DMARC তার ভয়ঙ্কর খ্যাতি পেয়েছে। দৃশ্যমানতা (স্তর ৪) ছাড়া পর্যবেক্ষণ (স্তর ৩) থেকে প্রয়োগ করুন — এবং আপনি অবশ্যই কিছু বাস্তব ব্লক করবেন: একটি চালান রান, একটি পাসওয়ার্ড-রিসেট প্রবাহ, CEO-র নিউজলেটার। তারপর p=none-এ আতঙ্কিত রোলব্যাক আসে, অভ্যন্তরীণ পোস্ট-মর্টেম, এবং সবাই যে পাঠ ভুলভাবে শেখে: “আমরা DMARC চেষ্টা করেছিলাম এবং এটি ইমেইল ভেঙে দিয়েছে।” বেশিরভাগ DMARC ভয়াবহ গল্প ঠিক এটি — একটি স্তর আগে প্রয়োগের প্রচেষ্টা। দেয়াল স্তর ৩-এ থামার কারণ নয়। এটি স্তর ৪ কেন আছে তার কারণ।

এটিও সেই স্তর যেখানে মালিকরা প্রায়শই সাহায্য নেন — একটি IT প্রদানকারী বা DMARC মনিটরিং সার্ভিস প্রেরক-সনাক্তকরণ কাজ করতে পারে; স্তরগুলো যেভাবেই হোক একই থাকে।

সবাই যে অংশ ভুলে যায়: স্তর ৫ → ৬

p=reject-এ পৌঁছানো এটি পরীক্ষা করে এমন রিসিভারদের কাছে From: লাইনে আপনার ডোমেইনের সরাসরি স্পুফিং থামায়। এটি প্রয়োজনীয় — এবং এটি যথেষ্ট নয়। প্রয়োগ কখনো যা কভার করেনি তা নামকরণ করাও মূল্যবান: লুকঅ্যালাইক ডোমেইন (yourc0mpany.com) এবং ডিসপ্লে-নাম ছদ্মবেশ সম্পূর্ণ DMARC-এর নাগালের বাইরে থাকে, তাই প্রয়োগ সঠিক-ডোমেইন দরজা বন্ধ করে এবং প্রতিবেশীগুলো সতর্কতা এবং অন্যান্য নিয়ন্ত্রণের জন্য ছেড়ে দেয়।

প্রয়োগ ট্রান্সপোর্টের জন্য কিছু করে না: MTA-STS এবং TLS-RPT ছাড়া, আপনার ডোমেইনে মেইল ট্রানজিটে ডাউনগ্রেড বা বাধাগ্রস্ত হতে পারে। এটি ব্র্যান্ড স্বীকৃতির জন্য কিছু করে না: BIMI — আপনার লোগো, ইনবক্সে প্রদর্শিত — একটি বিশ্বাস সংকেত, একটি নিরাপত্তা নিয়ন্ত্রণ নয়, এবং এটিকে এভাবে বিবেচনা করা সৎ (এটির একটি পেইড সার্টিফিকেটও প্রয়োজন, যে কারণে এটি শেষে বসে, প্রথমে নয়)। এবং সাদামাটা p=reject DMARCbis-এর আগে: নতুন RFC-র np= ট্যাগ এবং ট্রি-ওয়াক সেই অ-বিদ্যমান-সাবডোমেইন ফাঁক বন্ধ করে যা পুরানো ডিপ্লয়মেন্টগুলো খোলা রাখে।

উপরের কিছুই না থাকলে p=reject-এ একটি ডোমেইন সবচেয়ে সাধারণ আক্রমণ থেকে সুরক্ষিত এবং বাকিগুলোর জন্য অপ্রস্তুত। এটি একটি বাস্তব পার্থক্য, এবং এটি নিজস্ব স্তরের দাবিদার।

আপনার স্তর পরিমাপযোগ্য

এই মডেলটি শুধু একটি ডায়াগ্রাম নয় — একটি ডোমেইনের স্তর গণনাযোগ্য, যা এটিকে একটি দেয়ালে পোস্টার থেকে আলাদা করে।

স্তর ৩ থেকে ৬ একটি ডোমেইনের নিজস্ব DMARC রিপোর্টিং ডেটা এবং প্রকাশিত রেকর্ড থেকে নেওয়া যেতে পারে: কোন নীতি লাইভ, রিপোর্ট প্রবাহিত হয় কিনা, এবং প্রতিটি পর্যবেক্ষিত প্রেরক সংযোজন করে কিনা। স্তর ১ এবং ২ একটি লাইভ DNS চেক দিয়ে মূল্যায়ন করা হয়, যেহেতু এখনও কোনো রিপোর্ট নেই। প্রতিটি দিকে একটি সৎ সীমা: স্তর ৪ সময়ের সাথে প্রমাণ দ্বারা নিশ্চিত হয় — “প্রতিটি পর্যবেক্ষিত প্রেরক পর্যাপ্ত রিপোর্টিং দিন জুড়ে সংযোজন করে” একটি শক্তিশালী প্রক্সি, কিন্তু কোনো রিপোর্ট আপনি এখনও সংযুক্ত করেননি এমন প্রেরককে প্রকাশ করতে পারে না। এবং স্তর ৬-এর শক্তিশালীকরণ স্তর — MTA-STS, TLS-RPT, BIMI — DMARC রিপোর্টে অদৃশ্য; এটি দেখতে একটি DNS চেক লাগে। একটি ডোমেইন তার রিপোর্ট থেকে “সম্পন্ন” দেখাতে পারে এবং এখনও একটি লুকানো স্তর ৫ → ৬ ফাঁক বহন করতে পারে। এটি মডেল যার বিরুদ্ধে আমাদের নিজস্ব রিপোর্টিং বিশ্লেষণ পরিমাপ করে, বাধা সহ।

একটি কাজের উদাহরণ

একটি মাঝারি আকারের ফার্ম একটি মেইল-ফিল্টারিং গেটওয়ের পেছনে Microsoft 365 চালায়। SPF -all-এ শেষ হয়, DKIM কনফিগার করা, DMARC p=none-এ প্রকাশিত, এবং রিপোর্ট একটি মনিটরিং টুলে প্রবাহিত হয়। পুরানো মানচিত্রে এটি প্রায় সম্পন্ন দেখায়। এটিতে এটি স্তর ৩ — পর্যবেক্ষণ করছে: কঠিন সেটআপ সম্পন্ন, এবং ডোমেইনটি ঠিক দেয়ালে থামে — দৃশ্যমান, সুরক্ষিত নয়। সর্বোচ্চ-মূল্য পদক্ষেপ হলো ৩ → ৪ → ৫: নিশ্চিত করুন (সম্ভবত কম) বৈধ প্রেরকরা সবাই সংযোজন করে, তারপর পর্যায়ক্রমে নীতি বাড়ান। এই আকৃতির একটি ডোমেইনের জন্য, এটি সাধারণত মাসের পরিবর্তে সপ্তাহের মনোযোগ — দেয়ালটি তাদের জন্য সবচেয়ে লম্বা যারা কখনো এটি ম্যাপ করে না।

আপনার স্তর খুঁজুন

অবসরে রাখার প্রশ্ন হলো “আমাদের কি DMARC আছে?” — 24.89% ডোমেইন হ্যাঁ বলতে পারে যখন 57.5% সেগুলো জাল করার যোগ্য থাকে। আরও ভালো প্রশ্ন হলো “আমরা কোন স্তরে আছি, এবং পরবর্তীটিতে যেতে একটি পদক্ষেপ কী?” ইন্টারনেটের প্রতিটি ডোমেইন আজ ঠিক এই ছয়টি স্তরের একটিতে আছে। কোনটি জানা একটি উদ্বেগকে একটি কাজের তালিকায় পরিণত করে।

ইন্টারনেট ছয়টি স্তর জুড়ে কোথায় দাঁড়িয়ে — বেশিরভাগ ডোমেইনে আদৌ কোনো DMARC রেকর্ড নেই; যেগুলোতে আছে তাদের বেশিরভাগ প্রয়োগের আগে আটকে আছে

প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী

DAMM কী? DMARC গ্রহণ পরিপক্কতা মডেল — এই পেজের ছয়-স্তর মডেল: অরক্ষিত, প্রমাণীকৃত, পর্যবেক্ষণ করছে, দৃশ্যমানতা, প্রয়োগকৃত, শক্তিশালী। একটি ডোমেইনের স্তর তার DNS এবং DMARC রিপোর্টিং ডেটা থেকে পরিমাপযোগ্য, যা এটিকে একটি দেয়ালে পোস্টার থেকে আলাদা করে।

p=none প্রকাশ করা কি তাহলে মূল্যহীন? না — এটি স্তর ৩, এবং স্তর ৩ লোড-বেয়ারিং: রিপোর্টিং হলো কীভাবে আপনি প্রয়োগ করার আগে প্রতিটি প্রেরক খুঁজে পান। এটি শুধুমাত্র তখনই একটি সমস্যা হয় যখন এটি একটি গন্তব্য হিসেবে বিবেচিত হয়। দেখুন কেন p=none সুরক্ষা নয়

আমি কি সরাসরি p=reject-এ যেতে পারি? যদি আপনার ডোমেইন কোনো মেইল না পাঠায় — হ্যাঁ, আজ, এবং আপনার উচিত। যদি এটি মেইল পাঠায় — না: দৃশ্যমানতা (স্তর ৪) ছাড়া প্রয়োগ করা হলো বৈধ মেইল ভাঙার এবং রোলব্যাকের পথ। স্তরগুলো নিরাপদ পথ, অনুষ্ঠান নয়।

“সম্পন্ন” হতে কি আমার BIMI দরকার? না। BIMI হলো স্তর ৬-এর ব্র্যান্ড-ডিসপ্লে স্তর এবং মডেলের সবচেয়ে ঐচ্ছিক উপাদান — MTA-STS, TLS-RPT এবং DMARCbis-এর np= কভারেজ হলো সেই অংশ যা একটি ডোমেইনকে উপাদানগতভাবে শক্তিশালী করে। যদি সার্টিফিকেটের খরচ আপনার জন্য ন্যায্য না হয়, এটি বাদ দিন এবং স্তর ৬-এর বাকিটি ধরে রাখুন।

SPF এবং DKIM কোথায় ফিট করে? সবকিছুর নিচে — তারা স্তর ১ → ২, এবং DMARC ছাড়া SPF বেশিরভাগ মালিক ধারণার চেয়ে কম রক্ষা করে। ২০২৪ সাল থেকে, প্রধান রিসিভাররা বাল্ক প্রেরকদের কাছ থেকে সরাসরি প্রমাণীকরণ প্রয়োজন করেছে

আপনার নিজের ডোমেইন কোথায় দাঁড়িয়ে পরীক্ষা করুন

এগুলো জনগোষ্ঠীর প্যাটার্ন — আপনার ডোমেইন ঠিক এগুলোর একটিতে, এবং পরবর্তী পদক্ষেপ জানা যায়। আপনি ব্যক্তিগতভাবে এবং বিনামূল্যে পরীক্ষা করতে পারেন, এবং দেখতে পারেন ৩৪টি চেকের কোনটি আপনি পাস করেন এবং যেগুলো করেন না সেগুলো কীভাবে ঠিক করবেন।

আপনার ডোমেইন পরীক্ষা করুন → · আমরা কীভাবে ইন্টারনেট গ্রেড করেছিলাম → · DMARC স্তম্ভ → · শুধুমাত্র সমষ্টিগত ডেটা। ডেটা EU-তে সংরক্ষিত এবং প্রক্রিয়াজাত।