Defaults.Exposed

Defaults.Exposed › Rapporter

Publicering i blinde: De fleste DMARC-poster beder ikke om rapporter

Udgivet 2026-07-03 · opdateret 2026-07-03

Tal pr. 2026-06-29 · metode v7. Folketællingsdata på tværs af hvert domæne, der publicerer en parsbar DMARC-post, dedupliceret pr. domæne. Tilstedeværelsen af rua= måles på tværs af alle poster, så det nøjagtige overlap med en enkelt politik kan ikke udledes — hvor denne artikel udtaler sig om det overlap, angiver den grænser, aldrig præcise krydstabuleringer. Alle tal er aggregerede — vi offentliggør aldrig en enkelt virksomheds karakter.

De fleste DMARC-poster holder ikke øje

Af de 65 millioner domæner, der publicerer en DMARC-post, indeholder kun 23 millioner — 35.7% — rua=-tagget, der beder om aggregerede rapporter. De øvrige 64.3% publicerer i blinde: en politik står i posten, men ingen har bedt om at få at vide, hvad der sker under den. Det er 42 millioner domæner med en DMARC-post, der ikke kan vise dem noget som helst.

En DMARC-post uden rapportering er en dørklokke uden nogen hjemme. Mailmodtagere tjekker pligtskyldigt hver eneste besked mod den — og deres resultater, listen over alle, der sender som dit domæne, ender ingen steder. Mekanismen virker; ejeren lytter bare ikke.

Hvad rua= egentlig gør

DMARC har to halvdele. Politik-halvdelen (p=none, quarantine eller reject) fortæller modtagerne, hvad de skal gøre med mail, der ikke består autentificering. Rapporterings-halvdelen — rua=-tagget, en postkasseadresse — beder modtagerne om at sende dig daglige aggregerede rapporter: hvilke servere der sendte som dit domæne, hvor meget mail, og om den bestod SPF og DKIM.

Den anden halvdel er hele feedbackløkken. Rapporter er, hvordan du opdager nyhedsbrevsplatformen, ingen dokumenterede, faktureringsværktøjet marketing tilsluttede, skygge-afsenderen i en anden region — før du håndhæver og bryder dem. Uden rua= når ingen af de oplysninger nogensinde frem til dig. At tilføje det koster én DNS-ændring: føj rua=mailto:[email protected] (eller en overvågningstjenestes adresse) til den eksisterende post.

Kløften mellem trin 2 og 3: publiceret og blind

I de seks trin i DMARC-modenhed begynder trin 3 — Observering — når DMARC er publiceret og aggregerede rapporter flyder ind. En post uden rua= kvalificerer ikke. Den ligger i kløften mellem trin 2 og 3 — publiceret og blind — et sted, modellen bevidst efterlader uden sit eget tal.

Det betyder noget, fordi hvert trin efter det afhænger af rapporterne. Du kan ikke identificere dine afsendere (trin 4) ud fra rapporter, du aldrig modtager; du kan ikke håndhæve sikkert (trin 5) uden at kende dine afsendere. En blind post er ikke et tidligt skridt på rejsen — den er en rasteplads lige ved siden af. Og folketællingen antyder, at de fleste postindehavere er parkeret der eller i nærheden: 57.5% af alle DMARC-poster når aldrig håndhævelse.

Værre end ubrugelig, fordi det føles som fremskridt

En manglende DMARC-post ser i det mindste ud, som det den er: et hul. En blind post ser ud som et flueben. Nogen kørte en compliance-tjekliste, eller en leveringsvejledning, eller en enkeltlinjes rettelse fra en leverandør — publicerede v=DMARC1; p=none — og scanneren blev grøn. Organisationen føler sig nu længere fremme end organisationen helt uden post, mens den funktionelt befinder sig samme sted: ingen synlighed, ingen håndhævelse, ingen vej til nogen af delene.

Konsekvensen er stille og kumulativ. Blinde poster fejler ikke højlydt; de genererer bare aldrig de beviser, der ville retfærdiggøre næste skridt. Årevis senere står der stadig p=none i posten, ingen kan sige, hvilke afsendere der er legitime, og at håndhæve føles mere risikabelt end nogensinde — netop fordi der aldrig blev indsamlet nogen rapporter.

Hvad folketællingen kan og ikke kan sige

Fordi tilstedeværelsen af rua= måles på tværs af alle 65 millioner poster — ikke krydstabuleret pr. politik — kan det nøjagtige antal p=none-poster, der også er blinde, ikke udledes af disse margintal. Grænserne er stadig markante. 37 millioner poster (57.4% af postindehaverne) står på p=none; kun 23 millioner poster i hele folketællingen beder om rapporter. Så højst 23 millioner af de p=none-poster kan modtage rapporter — og mindst 14 millioner af dem gør det med sikkerhed ikke, selv hvis hver eneste rapporteringsadresse i folketællingen tilhørte et p=none-domæne. Uanset hvordan overlappet reelt falder ud, sidder millioner af domæner i “overvågningstilstand” med overvågningen taget ud af stikket.

Rettelsen med én ændring

Hvis din DMARC-post ikke har noget rua=-tag, er rettelsen en enkelt DNS-ændring, og den er sikker på ethvert politikniveau:

  1. Vælg en rapporteringsdestination — en postkasse, du rent faktisk behandler, eller en gratis/betalt DMARC-overvågningstjeneste, der forvandler XML’en til noget læsbart.
  2. Føj det til posten: v=DMARC1; p=none; rua=mailto:[email protected]. Hvis destinationen er et andet domæne, skal det domæne godkende at modtage dine rapporter (en lille ekstra DNS-post på dets side).
  3. Vent nogle få dage, og læs så. Rapporter ankommer dagligt fra de store modtagere. Hvad de viser — hver kilde, der sender som dit domæne — er kortet for resten af rejsen.

Så holder posten op med at være møbel og begynder at være et instrument. (Ret DMARC →.)

Ofte stillede spørgsmål

Hvad er en DMARC-rua-rapport? En aggregeret XML-rapport, som deltagende mailmodtagere sender (typisk dagligt) til adressen i din posts rua=-tag, og som opsummerer, hvilke kilder der sendte mail som dit domæne, og om den bestod SPF- og DKIM-justering. Den indeholder intet beskedindhold — kun afsenderinfrastruktur og bestået/ikke-bestået-tal.

Er DMARC uden rua værdiløs? Ikke værdiløs — en håndhævende politik blokerer stadig spoofing uden det. Men ved p=none blokerer en post uden rua= intet og viser dig intet — dens eneste tilbageværende opgave er at sætte flueben i mailudbydernes minimumskrav-boks. Og selv håndhævende domæner uden rapportering mister den drift-detektion, der holder håndhævelsen sikker, efterhånden som nye afsendere dukker op. p=none er ikke beskyttelse uanset hvad — uden rapporter er det ikke engang forberedelse.

Kan rua= pege på en hvilken som helst postkasse? Ja, inklusive en på et andet domæne — de fleste overvågningstjenester fungerer præcis sådan. Det modtagende domæne publicerer en lille verifikationspost, der godkender dine rapporter. Det, der betyder noget, er, at noget rent faktisk behandler XML’en; en postkasse, ingen læser, er blindhed med ekstra trin.

Afslører aggregerede rapporter private data? Nej. rua-aggregerede rapporter indeholder statistik om afsenderkilde og autentificering, ikke beskedindhold eller modtagerlister. (De separate ruf=-fejlrapporter kan indeholde beskedfragmenter, hvilket er grunden til, at mange modtagere ikke længere sender dem — rua er den, der betyder noget.)

Tjek, om din post holder øje

En DMARC-post, der ikke beder om nogen rapporter, er et af de nemmeste fund at rette på hele rejsen — én DNS-ændring gør blind til Observering. Du kan tjekke privat og gratis og se, hvilke af de 34 tjek du består, og hvordan du retter dem, du ikke består.

Tjek dit domæne → · De 6 trin i DMARC-modenhed → · DMARC-søjlen → · Kun aggregerede data. Data lagres og behandles i EU.