Defaults.Exposed

Defaults.ExposedRettelserGuides

DMARC p=none til p=reject uden at miste legitim e-mail: Den trinvise udrulning (2026)

Udgivet 2026-07-08

Tal fra 2026-06-29 · metodologi v7. Aggregerede censusdata på tværs af 261 millioner graderede domæner. Se hvordan vi graderer.

Flyt DMARC fra p=none til p=reject i fire trin: overvåg rua-rapporter i 2–4 uger, ret alle legitime afsendere, ramp p=quarantine med pct, og afvis derefter — hop aldrig direkte til reject. 70,368,600 af 261,086,232 graderede domæner sidder stagneret med blød SPF og ingen DMARC-håndhævelse, ifølge Defaults.Exposed-census.

Dette er den operative plan: en trinstabell med udgangskriterier, posten for hvert trin, RFC 7489 pct-subtiliteten, der ændrer, hvad “50%” betyder ved reject, og sp=-tagget for underdomæner. Beslutter du om du skal håndhæve, så læs de 6 trin i DMARC-modenhed først — det er rammen; og hvis politikniveauerne er nye for dig, er hvad p=none, p=quarantine og p=reject faktisk betyder introduktionen. Denne side er selve arbejdet.

Hvorfor kan du ikke hoppe direkte til p=reject?

Fordi p=reject beder enhver modtager, der overholder DMARC, om at afvise mail, der fejler DMARC — og inden du har set dine rapporter, ved du ikke, hvad der fejler. Næsten hvert domæne, der slår overvågning til, opdager legitime afsendere, det har glemt: CRM’et, faktureringssystemet, en kontaktformular. Hop til reject på dag ét, og den mail går ikke til spam; den forsvinder ved SMTP-tidspunktet. At miste et faktureringskørsler lærer en organisation at frygte DMARC, og posten rulles permanent tilbage til p=none — af 261,086,232 graderede domæner er 37,312,637 parkeret præcis der, og kun 10.59% (27,640,987) når nogensinde en håndhævet politik.

Den anden årsag er justering. DMARC godkendes kun, når SPF eller DKIM godkendes og justerer med det synlige Fra-domæne — SPF mod Return-Path (RFC5321.MailFrom)-domænet, DKIM mod signaturens d=. Tredjepartsafsendere godkendes typisk SPF på deres domæne, ikke dit, hvilket er grunden til, at ret-alle-kilder-trinnet primært handler om at aktivere hver leverandørs tilpassede-domæne DKIM — uddybet i DMARC fejler men SPF og DKIM godkendes.

Hvad er de fire udrulningstrin?

TrinPolitikpostpctHvad sker med mail, der fejlerUdgangskriterier
1. Overvågp=none; rua=mailto:…Leveres normalt; du modtager aggregerede rapporter2–4 ugers rapporter; alle afsendere i dem identificeret som legitime eller ej
2. Ret kilderp=none (uændret)Leveres stadig normaltAlle legitime kilder godkendes med DMARC-justering (tilpasset-domæne DKIM pr. afsender); resterende fejl er kun ukendt/spoofer-trafik
3. Quarantine-rampep=quarantine10 → 25 → 50 → 100Samplet andel går til spammapper; den udsamplede andel behandles som p=none (leveres)1–2 uger på pct=100 uden legitim mail i karantæne
4. Afvisp=reject100Afvist ved SMTP-tidspunktet; afsenderen får en returbesked, modtageren ser ingentingLøbende — behold rua permanent for at fange nye afsendere

Data pr. 2026-06-29; politikopførselen per RFC 7489.

Trin 3 er, hvor domæner stagnerer eller panikker. Spammappesortering er genoprettelig — brugere finder mailen, du sænker pct, du retter kilden. Afvisning er ikke genoprettelig, hvilket er grunden til, at quarantine på pct=100 kørende rent er adgangskortet til trin 4.

Hvordan kører du udrulningen, trin for trin?

  1. Kør den gratis scanning på defaults.exposed inden du rører DNS. Den bekræfter din nuværende politik og om SPF og DKIM er på plads nedenunder — de to ben, håndhævelse hviler på.
  2. Slå overvågning til, hvis du ikke har. At udgive p=none med rua= er fem-minutters-trinnet i “DMARC-politik ikke aktiveret”. Indsaml 2–4 ugers rapporter — nok til at fange månedlige afsendere som faktureringskørsler.
  3. Lav en liste over alle kilder i rapporterne. Sortér afsendere i dine egne, dine leverandørers og ukendte. Rå rapporter ankommer som XML — et rapportbehandlingsværktøj (eller din udbyders dashboard) forvandler dem til en læsbar afsenderoversigt.
  4. Sæt hver legitim kilde til at godkendes med justering. Aktivér hver leverandørs tilpassede-domæne DKIM (typisk to CNAME-poster i deres dashboard), så signaturer bærer dit domæne, ikke deres. Foretruk DKIM til justering: det overlever videresendelse, SPF gør ikke.
  5. Vent på en ren fjortende dag. Afslut trin 2 kun, når rapporterede fejl udelukkende er trafik, du ikke genkender — den spoofing, du vil blokere.
  6. Gå til p=quarantine; pct=10 — redigér den eksisterende _dmarc TXT-post (gennemgået eksempel: IONOS DMARC-opsætning), og vær opmærksom på syntaks: en stavefejl i politiktagget kan ugyldiggøre posten helt. Ramp pct til 25, 50, 100 over 2–4 uger, mens du overvåger rapporter og helpdesk-henvendelser. Noget legitimt i spam: sænk pct, ret kilden, genoptag.
  7. Gå til p=reject efter 1–2 rene uger på pct=100. Behold rua= permanent — hvert nyt værktøj, dit firma indfører, er en potentiel fremtidig fejlende afsender.

Hvad gør pct faktisk? RFC 7489-subtiliteten

pct beder modtagere om at anvende din politik på den procentdel af mail, der fejler. Subtiliteten, fra RFC 7489 §6.6.4: mail, der samples ud, falder ikke tilbage til “lever normalt” — den får den næstmildere politik. Under p=quarantine; pct=25 behandles de andre 75% som p=none og leveres. Men under p=reject; pct=50 er de andre 50% i karantæne, ikke leveret. Der er ingen blid reject: i det øjeblik din post siger reject, er enhver fejlende besked i minimum spammappen hos modtagere, der overholder.

Brugt bevidst er det en funktion — p=reject; pct=1 opfører sig som “sæt næsten alt i karantæne, afvis en dryp”, en legitim slutramp. To forbehold: modtagere implementerer ikke alle sampling identisk, så behandl pct som en grov drejeknap; og fjern tagget (eller sæt pct=100), når trin 4 er stabilt, så din post siger, hvad du mener.

Hvad med underdomæner — sp=-tagget?

Som standard arver underdomæner organisationsdomænets politik: p=rejectditdomæne.com dækker også mail.ditdomæne.com. sp=-tagget lader dem afvige, i begge nyttige og farlige retninger. Nyttigt: p=quarantine; sp=reject låser underdomæner, du aldrig sender fra, ned, mens apexen stadig er midt i rampen — spoofere retter sig bevidst mod underdomæner på overvågede domæner. Farligt: et glemt sp=none undtager lydløst alle underdomæner fra den reject-politik, du brugte seks uger på at opnå. Kontrollér det ved trin 4; hvis ét underdomæne genuint har brug for en mere lempelig politik, udgiv en _dmarc-post på det underdomæne i stedet for at løsne dem alle.

Betyder NIS2, at EU-virksomheder skal gøre dette?

DMARC fungerer identisk alle steder — intet i denne plan ændres ved en EU-grænse. Det, der ændres, er compliance-trækket. NIS2 artikel 21(2)(j) kræver, at entiteter inden for scope sikrer deres kommunikation, og Kommissionens gennemførelsesforordning (EU) 2024/2690 præciserer de tekniske krav for de digitale infrastrukturentiteter, den dækker — dens bilag (punkt 6.7.2(k)) kræver en implementeringsplan for udrulning af internationalt anerkendte moderne e-mailsikkerhedsstandarder, og punkt 6.7.2(l) kræver bedste DNS-sikkerhedspraksis. En håndhævet DMARC-politik med SPF og DKIM nedenunder er den anerkendte verificerbare kontrol mod spoofing; p=none er dokumenterbart overvågning, ikke sikring. Er dine kunder inden for scope, spørger deres leverandørspørgeskemaer i stigende grad om præcis dette.

Ofte stillede spørgsmål

Hvor lang tid tager hele udrulningen? Seks til ti uger er typisk: 2–4 ugers overvågning, 1–3 ugers kilderetatring, 2–4 ugers quarantine-rampe, derefter reject. Det er kalendertid, ikke arbejdsindsats — mest ventetid på, at rapporter bekræfter hver ændring. De 89.41% af 261,086,232 graderede domæner uden en håndhævet politik (data pr. 2026-06-29) er for det meste ikke midt i en udrulning; de startede aldrig uret.

Kan jeg springe quarantine over og bruge p=reject med lav pct i stedet? Det kan du — per RFC 7489 §6.6.4 betyder p=reject; pct=10, at 10% afvises og 90% sættes i karantæne, nogenlunde sent trin 3. Men p=quarantine først er nemmere at ræsonnere om, og modtagere varierer i, hvor trofast de sampler. Uanset hvad er trin 1–2 uforhandlelige: ingen håndhævelsesflavour er sikker, mens legitime afsendere stadig fejler.

Hvad med mail, jeg ikke kan rette — videresendere og mailinglister? Videresendelse ødelægger SPF med vilje, og nogle mailinglister omskriver indhold, hvilket også ødelægger DKIM. Justeret DKIM overlever almindelig videresendelse, hvilket klarer det meste; den lille rest er grunden til, at quarantine-trinnet eksisterer — spammappe-mail er genoprettelig, mens du vurderer. Detaljer i videresendt e-mail fejler SPF.

Er det godt nok at stoppe på p=quarantine? Det er det meste af værdien og langt bedre end de 37,312,637 domæner, der er parkeret på p=none (af 261,086,232 graderede, data pr. 2026-06-29) — men spoofet mail når stadig spammapper, hvorfra folk fisker den op. Reject er slutpunktet: kun 10.59% af graderede domæner håndhæver overhovedet, og at færdiggøre det er, hvad kontrollører, forsikringsselskaber og spørgeskemaer anerkender.

Send ejeren rapporten

Kører du denne udrulning for en klient eller arbejdsgiver, er målstregen visuel. Kør den gratis scanning igen, efter p=reject er opløst, og videresend den graderede rapport: domænet bevæger sig til en håndhævet politik, tidsstemplet og på klart sprog. Den ene side besvarer e-mailsikkerhedslinjen på fornyelse af cyberforsikring og NIS2-drevne leverandørspørgeskemaer bedre end et screenshot af et DNS-panel — og den gør seks ugers omhyggeligt, usynligt arbejde synligt for den person, der betaler for det.

Kontrollér din DMARC-politik gratis

Se, hvad din politik er nu — og om SPF og DKIM kan bære håndhævelse — privat og kun for ejeren.

Kontrollér dit domæne → · Ret DMARC → · “DMARC-politik ikke aktiveret” — det ærlige første skridt → · Kun aggregerede data. Data opbevares og behandles i EU.