Defaults.Exposed

Defaults.Exposed › Rapporter

De 6 stadier af DMARC-modenhed

Udgivet 2026-07-03 · opdateret 2026-07-03

Tal pr. 2026-06-29 · metodologi v7. Dette er en referencemodel understøttet af en tilbagevendende folketælling; hver udgave måler den samme population på ny, så tallene kan følges over tid. Alle tal er aggregerede — vi publicerer aldrig en enkelt virksomheds karakter.

At publicere DMARC er ikke det samme som at være beskyttet

På tværs af 261 millioner målte domæner publicerer 24.89% en DMARC-record — men kun 10.59% håndhæver den. Sagt på en anden måde: af de omkring 65 millioner domæner, der begyndte på DMARC-rejsen, nåede 57.5% aldrig frem til den del, der blokerer noget som helst. De publicerede en record, pegede rapportering et sted hen og gik i stå. Mindre uafhængige undersøgelser finder den samme form — en brancherapport fra 2026 satte tallet til ~9% håndhævelse blandt de ~938.000 domæner, den undersøgte.

Udbredelse er ikke problemet længere. Beskyttelse er. Og domæner går i stå af en strukturel grund: de kort, alle bruger, stopper for tidligt. De slutter for tidligt, og ingen af dem giver det sværeste skridt et navn af sit eget.

Hvor de eksisterende kort stopper for tidligt

De modeller, som branchen navigerer efter, var rigtige for deres tid og fortjener en fair læsning:

Alle tre deler to begrænsninger. For det første stopper de ved p=reject — som om håndhævelse var målstregen. Det er det ikke: selve standarden er gået videre (DMARCbis — RFC 9989, 9990 og 9991 — blev publiceret i maj 2026 og erstatter den oprindelige RFC 7489), og håndhævelse gør intet for transportsikkerhed eller brandtillid. For det andet — og det er dét, der reelt strander domæner — gør ingen af dem “hver afsender gjort rede for” til et navngivet stadie. For at være fair nævner udrulningsguiderne godt arbejdet: dmarcians model inkluderer afsenderidentifikation som en opgave inde i sin overvågningsfase. Men en opgave begravet inde i en fase er præcis, hvordan den bliver behandlet — som en del af “overvågning” snarere end som den separate bedrift, den er. At se rapporter tikke ind føles som fremskridt. Det er det ikke, endnu. Den enkeltstørste grund til, at domæner sidder fast på p=none i årevis, er, at de kan se deres mail, men ikke har gjort rede for den — så de tør ikke håndhæve, af frygt for at ødelægge noget reelt.

En brugbar model skal give det skridt sit eget navn og sine egne exit-kriterier. Denne gør. Vi kalder den DMARC Adoption Maturity Model — DAMM: seks stadier, ét træk hver, og et navn, du kan citere.

Modellen

De seks stadier af DMARC-modenhed — fra Ubeskyttet til Hærdet, med muren mellem Observerer og Synlighed

Stadie 1 — Ubeskyttet. Ingen DMARC-record — eller SPF og DKIM er ufuldstændige nedenunder. Hvem som helst kan sende e-mail som dit domæne, og intet noget sted tjekker. Trækket: konfigurér SPF og DKIM for din primære mail, og bekræft, at de autentificerer og aligner. DMARC bygger på begge; du kan ikke springe dette gulv over.

Stadie 2 — Autentificeret. SPF og DKIM er korrekte og aligner for dit hovedmailflow. Din legitime mail beviser sin oprindelse — men intet fortæller verdens indbakker, hvad de skal gøre ved mail, der ikke gør. Trækket: publicér en DMARC-record på p=none med en rua= rapporteringsadresse.

Stadie 3 — Observerer. DMARC er publiceret, aggregatrapporter strømmer ind, og for første gang kan du se, hvem der sender som dit domæne. Intet bliver blokeret. De fleste værktøjer kalder dette stadie “synlighed” — det gør vi bevidst ikke, fordi at se rapporter og at forstå dem er forskellige bedrifter. Trækket: identificér hver legitim kilde, der sender som dit domæne, og få hver enkelt til at aligne.

Stadie 4 — Synlighed. Hver legitim afsender er identificeret og aligneret — nyhedsbrevsplatformen, faktureringssystemet, CRM’et, den ting marketing tilmeldte sig sidste forår. Du kender din mail. Intet legitimt vil gå i stykker, hvis du håndhæver. Det er dette stadie, de gamle kort springer over, og muren, som de fleste domæner aldrig klatrer over. Trækket: hæv politikken — p=none → p=quarantine (DMARCbis’ t=y testtilstand hjælper her) → p=reject.

Stadie 5 — Håndhævet. p=quarantine eller p=reject er live, med subdomæner dækket af en eksplicit sp= politik. Mail, der fejler autentificering, bliver nu faktisk sat i karantæne eller afvist hos deltagende modtagere — hvilket inkluderer hver stor mailboksudbyder — så direkte spoofing af dit præcise domæne holder op med at lande, hvor DMARC tjekkes. Trækket: tilføj hærdningslaget — DMARCbis’ np= og tree-walk-dækning, MTA-STS og TLS-RPT til transport, BIMI hvis brandvisning betyder noget for dig.

Stadie 6 — Hærdet og vedligeholdt. Håndhævelse plus den moderne stak: dækning af ikke-eksisterende subdomæner (np=) fra DMARCbis, MTA-STS og TLS-RPT, der sikrer mail under transport, BIMI hvor det tjener sig hjem — og, afgørende, kontinuerlig overvågning for drift og nye afsendere. Dette er ikke et mærkat; det er en disciplin. Nye afsendere dukker op, udbydere skifter IP’er, konfigurationer rådner. Trækket: bliv her.

Ingen-mail-banen. Målt på tværs af hele domæneinventaret — døde domæner inkluderet — kører 51.5% af domænerne slet ingen mailtjeneste, og for dem falder rejsen sammen til ét skridt. Et domæne, der aldrig sender, bør publicere SPF -all og DMARC p=reject med det samme: der er ingen legitim mail at beskytte, så der er intet at observere og ingen mur at klatre over. Parkerede og hvilende branddomæner går direkte til Håndhævet i én enkelt DNS-ændring — og ved at gøre det lukkes en af de mest almindelige efterligningsvektorer, der findes.

Muren: Stadie 3 → 4

Hver anden overgang i denne model er en DNS-ændring. Denne er efterforskningsarbejde — og det er her, månederne dør.

At komme fra Observerer til Synlighed betyder at henføre hver sendende kilde i dine rapporter til et reelt system: hvilken ESP, hvilket CRM, hvilket regionskontors mailrelæ, hvilket SaaS-værktøj nogen tilkoblede i 2023 og glemte. Det betyder at finde de shadow-IT-afsendere, ingen dokumenterede. Det betyder at fikse alignment ESP for ESP, for hver platform har sin egen måde at autentificere på dine vegne — nogle af dem forkert som standard.

At springe muren over er, hvordan DMARC fik sit skræmmende ry. Håndhæv fra Observerer — uden Synlighed — og du vil blokere noget reelt: en fakturaudsendelse, et password-nulstillingsflow, direktørens nyhedsbrev. Så kommer den panikslagne tilbagerulning til p=none, den interne post-mortem, og den lektie alle lærer forkert: “vi prøvede DMARC, og det ødelagde e-mailen.” De fleste DMARC-rædselshistorier er præcis dette — håndhævelse forsøgt ét stadie for tidligt. Muren er ikke en grund til at stoppe ved Stadie 3. Den er grunden til, at Stadie 4 eksisterer.

Dette er også det stadie, hvor ejere oftest henter hjælp ind — en it-leverandør eller en DMARC-overvågningstjeneste kan udføre afsenderidentifikationsarbejdet; stadierne forbliver de samme uanset hvad.

Den del alle glemmer: Stadie 5 → 6

At nå p=reject stopper direkte spoofing af dit domæne i From:-linjen, hos de modtagere, der tjekker det. Det er nødvendigt — og det er ikke tilstrækkeligt. Det er også værd at navngive, hvad håndhævelse aldrig dækkede: efterlignende domæner (ditv1rksomhed.dk) og efterligning af visningsnavn ligger fuldstændig uden for DMARC’s rækkevidde, så håndhævelse lukker den præcise-domæne-dør og overlader de nærliggende til årvågenhed og andre kontroller.

Håndhævelse gør intet for transport: uden MTA-STS og TLS-RPT kan mail til dit domæne stadig nedgraderes eller opsnappes under transport. Den gør intet for brandgenkendelse: BIMI — dit logo, vist ved indbakken — er et tillidssignal, ikke en sikkerhedskontrol, og det er ærligt at behandle det som sådan (det kræver også et betalt certifikat, hvilket er grunden til, at det ligger sidst, ikke først). Og almindeligt p=reject er ældre end DMARCbis: de nye RFC’ers np=-tag og tree-walk lukker det ikke-eksisterende-subdomæne-hul, som ældre udrulninger efterlader åbent.

Et domæne på p=reject uden nogen af ovenstående er beskyttet mod det mest almindelige angreb og uforberedt på resten. Det er en reel skelnen, og den fortjener sit eget stadie.

Dit stadie er målbart

Denne model er ikke bare et diagram — et domænes stadie er beregneligt, hvilket er dét, der adskiller den fra en plakat på en væg.

Stadie 3 til 6 kan udledes af et domænes egne DMARC-rapporteringsdata plus dets publicerede records: hvilken politik der er live, om rapporter strømmer, og om hver observeret afsender aligner. Stadie 1 og 2 vurderes med et live DNS-tjek, da der endnu ikke findes rapporter. Én ærlig begrænsning i hver retning: Stadie 4 bekræftes af evidens over tid — “hver observeret afsender aligner på tværs af nok rapporteringsdage” er et stærkt proxy, men ingen rapport kan afsløre den afsender, du endnu ikke har tilkoblet. Og Stadie 6’s hærdningslag — MTA-STS, TLS-RPT, BIMI — er usynligt i DMARC-rapporter; det kræver et DNS-tjek at se. Et domæne kan se “færdigt” ud ud fra sine rapporter og stadig bære et skjult Stadie 5 → 6-hul. Dette er den model, vores egen rapporteringsanalyse måler op imod, med blokeringer og det hele.

Et gennemarbejdet eksempel

En mellemstor virksomhed kører Microsoft 365 bag en mailfiltrerende gateway. SPF slutter på -all, DKIM er konfigureret, DMARC er publiceret på p=none, og rapporter strømmer til et overvågningsværktøj. På de gamle kort ser dette næsten færdigt ud. På dette er det Stadie 3 — Observerer: den svære opsætning er fuldført, og domænet er gået i stå præcis ved muren — synligt, ikke beskyttet. Det mest værdifulde træk er 3 → 4 → 5: bekræft, at de (sandsynligvis få) legitime afsendere alle aligner, og hæv derefter politikken i etaper. For et domæne i denne form er det som regel ugers opmærksomhed, ikke måneders — muren er højest for dem, der aldrig kortlægger den.

Find dit stadie

Spørgsmålet, der skal pensioneres, er “har vi DMARC?” — 24.89% af domænerne kan sige ja, mens 57.5% af dem stadig er spoofbare. Det bedre spørgsmål er “hvilket stadie er vi på, og hvad er det ene træk til det næste?” Hvert domæne på internettet er på præcis ét af disse seks stadier i dag. At vide hvilket ét forvandler en bekymring til en to-do-liste.

Hvor internettet ligger på tværs af de seks stadier — de fleste domæner har slet ingen DMARC-record; de fleste af dem, der har, sidder fast før håndhævelse

Ofte stillede spørgsmål

Hvad er DAMM? DMARC Adoption Maturity Model — modellen i seks stadier på denne side: Ubeskyttet, Autentificeret, Observerer, Synlighed, Håndhævet, Hærdet. Et domænes stadie er målbart ud fra dets DNS og dets DMARC-rapporteringsdata, hvilket er dét, der adskiller den fra en plakat på en væg.

Er det at publicere p=none så værdiløst? Nej — det er Stadie 3, og Stadie 3 er bærende: rapportering er, hvordan du finder hver afsender, før du håndhæver. Det bliver kun et problem, når det behandles som en destination. Se hvorfor p=none ikke er beskyttelse.

Kan jeg springe direkte til p=reject? Hvis dit domæne ikke sender mail — ja, i dag, og det bør du. Hvis det sender mail — nej: at håndhæve uden Synlighed (Stadie 4) er, hvordan legitim mail bliver ødelagt, og tilbagerulninger sker. Stadierne er den sikre vej, ikke ceremoni.

Har jeg brug for BIMI for at være “færdig”? Nej. BIMI er brandvisningslaget i Stadie 6 og det mest valgfrie element i modellen — MTA-STS, TLS-RPT og DMARCbis’ np=-dækning er de dele, der reelt hærder et domæne. Hvis certifikatomkostningen ikke er berettiget for dig, så drop det og hold resten af Stadie 6.

Hvor passer SPF og DKIM ind? Under det hele — de er Stadie 1 → 2, og SPF uden DMARC beskytter mindre, end de fleste ejere antager. Siden 2024 har store modtagere også krævet autentificering direkte fra masseafsendere.

Tjek hvor dit eget domæne står

Disse stadier er populationsmønstre — dit domæne er på præcis ét af dem, og det næste træk kan kendes. Du kan tjekke privat og gratis og se, hvilke af de 34 tjek du består, og hvordan du fikser dem, du ikke gør.

Tjek dit domæne → · Sådan bedømte vi internettet → · DMARC-søjlen → · Kun aggregerede data. Data lagres og behandles i EU.