Defaults.Exposed › Αναφορές
Τα 6 Στάδια Ωριμότητας DMARC
Δημοσιεύτηκε 2026-07-03 · ενημερώθηκε 2026-07-03
Στοιχεία με ημερομηνία αναφοράς 2026-06-29 · μεθοδολογία v7. Πρόκειται για ένα μοντέλο αναφοράς που υποστηρίζεται από μια επαναλαμβανόμενη απογραφή· κάθε έκδοση επαναμετρά τον ίδιο πληθυσμό, ώστε οι αριθμοί να μπορούν να παρακολουθούνται με το πέρασμα του χρόνου. Όλα τα στοιχεία είναι συγκεντρωτικά — δεν δημοσιεύουμε ποτέ τον βαθμό μιας μεμονωμένης επιχείρησης.
Η δημοσίευση DMARC δεν είναι το ίδιο με το να είσαι προστατευμένος
Από τα 261 εκατομμύρια domain που μετρήθηκαν, το 24.89% δημοσιεύει εγγραφή DMARC — αλλά μόνο το 10.59% την επιβάλλει. Με άλλα λόγια: από τα περίπου 65 εκατομμύρια domain που ξεκίνησαν το ταξίδι του DMARC, το 57.5% δεν έφτασε ποτέ στο σημείο που μπλοκάρει οτιδήποτε. Δημοσίευσαν μια εγγραφή, κατεύθυναν την αναφορά κάπου, και κόλλησαν. Μικρότερες ανεξάρτητες μελέτες βρίσκουν το ίδιο σχήμα — μια βιομηχανική αναφορά του 2026 το τοποθέτησε στο ~9% που επιβάλλουν, ανάμεσα στα ~938.000 domain που εξέτασε.
Η υιοθέτηση δεν είναι πλέον το πρόβλημα. Η προστασία είναι. Και τα domain κολλάνε για έναν δομικό λόγο: οι χάρτες που χρησιμοποιούν όλοι σταματούν πριν την ώρα τους. Τελειώνουν πολύ νωρίς, και κανένας τους δεν δίνει στο δυσκολότερο βήμα ένα δικό του όνομα.
Πού σταματούν πριν την ώρα τους οι υπάρχοντες χάρτες
Τα μοντέλα με τα οποία πλοηγείται ο κλάδος ήταν σωστά για την εποχή τους, και αξίζουν μια δίκαιη ανάγνωση:
- Το πενταφασικό μοντέλο ανάπτυξης που διέδωσε η dmarcian (της οποίας ο ιδρυτής συν-συνέγραψε το ίδιο το DMARC) διατρέχει ανάπτυξη → παρακολούθηση → σύσφιξη πολιτικής — και αντιμετωπίζει την επίτευξη του
p=rejectως τον προορισμό. - Η εξέλιξη του RFC —
p=none → quarantine → reject— είναι τρία επίπεδα επιβολής, όχι ένα μοντέλο ωριμότητας. Δεν λέει τίποτα για τις προϋποθέσεις και τίποτα για το τι έρχεται μετά. - Το «σύρσιμο, περπάτημα, τρέξιμο» είναι ένα λαϊκό μοντέλο: κατευθυντικά σωστό, δομικά κενό.
Και τα τρία μοιράζονται δύο περιορισμούς. Πρώτον, σταματούν στο p=reject — σαν η επιβολή να ήταν η γραμμή τερματισμού. Δεν είναι: το ίδιο το πρότυπο έχει προχωρήσει (το DMARCbis — RFC 9989, 9990 και 9991 — δημοσιεύτηκε τον Μάιο του 2026, αντικαθιστώντας το αρχικό RFC 7489), και η επιβολή δεν κάνει τίποτα για την ασφάλεια μεταφοράς ή την εμπιστοσύνη στη μάρκα. Δεύτερον — και αυτός είναι ο περιορισμός που πραγματικά εγκλωβίζει τα domain — κανένας τους δεν κάνει το «κάθε αποστολέας ταυτοποιημένος» ένα ονοματισμένο στάδιο. Για να είμαστε δίκαιοι, οι οδηγοί ανάπτυξης όντως αναφέρουν τη δουλειά: το μοντέλο της dmarcian περιλαμβάνει την ταυτοποίηση πηγών ως εργασία μέσα στη φάση παρακολούθησής του. Αλλά μια εργασία θαμμένη μέσα σε μια φάση αντιμετωπίζεται ακριβώς έτσι — ως μέρος της «παρακολούθησης» παρά ως το ξεχωριστό επίτευγμα που είναι. Το να βλέπεις αναφορές να φτάνουν μοιάζει με πρόοδο. Δεν είναι, ακόμη. Ο μεγαλύτερος λόγος που τα domain παραμένουν στο p=none για χρόνια είναι ότι μπορούν να βλέπουν την αλληλογραφία τους αλλά δεν την έχουν ταυτοποιήσει — οπότε δεν τολμούν να επιβάλουν, από φόβο μήπως σπάσουν κάτι πραγματικό.
Ένα χρήσιμο μοντέλο χρειάζεται να δώσει σε αυτό το βήμα το δικό του όνομα και τα δικά του κριτήρια εξόδου. Αυτό το κάνει. Το ονομάζουμε Μοντέλο Ωριμότητας Υιοθέτησης DMARC — DAMM: έξι στάδια, μία κίνηση το καθένα, και ένα όνομα που μπορείτε να παραθέσετε.
Το μοντέλο
Στάδιο 1 — Απροστάτευτο. Καμία εγγραφή DMARC — ή ελλιπή SPF και DKIM από κάτω. Οποιοσδήποτε μπορεί να στείλει email ως το domain σας, και τίποτα πουθενά δεν ελέγχει. Η κίνηση: διαμορφώστε SPF και DKIM για την κύρια αλληλογραφία σας, και επιβεβαιώστε ότι πιστοποιούνται και ευθυγραμμίζονται. Το DMARC χτίζεται και πάνω στα δύο· δεν μπορείτε να παρακάμψετε αυτό το θεμέλιο.
Στάδιο 2 — Πιστοποιημένο. Το SPF και το DKIM είναι σωστά και ευθυγραμμίζονται για την κύρια ροή αλληλογραφίας σας. Η νόμιμη αλληλογραφία σας αποδεικνύει την προέλευσή της — αλλά τίποτα δεν λέει στα εισερχόμενα του κόσμου τι να κάνουν με την αλληλογραφία που δεν το κάνει. Η κίνηση: δημοσιεύστε μια εγγραφή DMARC στο p=none με μια διεύθυνση αναφοράς rua=.
Στάδιο 3 — Παρατήρηση. Το DMARC είναι δημοσιευμένο, οι συγκεντρωτικές αναφορές ρέουν, και για πρώτη φορά μπορείτε να δείτε ποιος στέλνει ως το domain σας. Τίποτα δεν μπλοκάρεται. Τα περισσότερα εργαλεία ονομάζουν αυτό το στάδιο «ορατότητα» — εμείς σκόπιμα δεν το κάνουμε, επειδή το να βλέπεις αναφορές και το να τις κατανοείς είναι διαφορετικά επιτεύγματα. Η κίνηση: ταυτοποιήστε κάθε νόμιμη πηγή που στέλνει ως το domain σας, και ευθυγραμμίστε την καθεμία.
Στάδιο 4 — Ορατότητα. Κάθε νόμιμος αποστολέας είναι ταυτοποιημένος και ευθυγραμμισμένος — η πλατφόρμα newsletter, το σύστημα τιμολόγησης, το CRM, εκείνο το πράγμα που εγγράφηκε το μάρκετινγκ πέρυσι την άνοιξη. Ξέρετε την αλληλογραφία σας. Τίποτα νόμιμο δεν θα σπάσει αν επιβάλετε. Αυτό είναι το στάδιο που παραλείπουν οι παλιοί χάρτες, και ο τοίχος που τα περισσότερα domain δεν σκαρφαλώνουν ποτέ. Η κίνηση: ανεβάστε την πολιτική — p=none → p=quarantine (η λειτουργία δοκιμής t=y του DMARCbis βοηθά εδώ) → p=reject.
Στάδιο 5 — Επιβαλλόμενο. Το p=quarantine ή το p=reject είναι ενεργό, με τα subdomain καλυμμένα από μια ρητή πολιτική sp=. Η αλληλογραφία που αποτυγχάνει στην πιστοποίηση πλέον όντως τίθεται σε καραντίνα ή απορρίπτεται στους συμμετέχοντες παραλήπτες — που περιλαμβάνουν κάθε μεγάλο πάροχο θυρίδας αλληλογραφίας — οπότε η άμεση πλαστογράφηση του ακριβούς domain σας παύει να προσγειώνεται εκεί όπου ελέγχεται το DMARC. Η κίνηση: προσθέστε το στρώμα θωράκισης — την κάλυψη np= και tree-walk του DMARCbis, MTA-STS και TLS-RPT για τη μεταφορά, BIMI αν σας ενδιαφέρει η προβολή της μάρκας.
Στάδιο 6 — Θωρακισμένο & διατηρούμενο. Επιβολή συν το σύγχρονο πακέτο: κάλυψη ανύπαρκτου subdomain (np=) από το DMARCbis, MTA-STS και TLS-RPT που ασφαλίζουν την αλληλογραφία κατά τη μεταφορά, BIMI όπου αξίζει τον κόπο — και, κρίσιμα, συνεχής παρακολούθηση για απόκλιση και νέους αποστολείς. Αυτό δεν είναι σήμα· είναι πειθαρχία. Νέοι αποστολείς εμφανίζονται, οι πάροχοι αλλάζουν IP, οι διαμορφώσεις σαπίζουν. Η κίνηση: μείνετε εδώ.
Η λωρίδα χωρίς αλληλογραφία. Μετρημένο σε ολόκληρο το απόθεμα domain — συμπεριλαμβανομένων των νεκρών domain — το 51.5% των domain δεν τρέχει καμία υπηρεσία αλληλογραφίας, και γι’ αυτά το ταξίδι συρρικνώνεται σε ένα βήμα. Ένα domain που δεν στέλνει ποτέ θα έπρεπε να δημοσιεύσει αμέσως SPF
-allκαι DMARCp=reject: δεν υπάρχει νόμιμη αλληλογραφία προς προστασία, οπότε δεν υπάρχει τίποτα να παρατηρηθεί και κανένας τοίχος να σκαρφαλωθεί. Τα σταθμευμένα και αδρανή domain μάρκας πηγαίνουν κατευθείαν στο Επιβαλλόμενο με μία μόνο αλλαγή DNS — και κάνοντάς το κλείνουν έναν από τους πιο κοινούς φορείς πλαστοπροσωπίας που υπάρχουν.
Ο τοίχος: Στάδιο 3 → 4
Κάθε άλλη μετάβαση σε αυτό το μοντέλο είναι μια αλλαγή DNS. Αυτή είναι ερευνητική δουλειά — και εδώ πεθαίνουν οι μήνες.
Το να φτάσετε από το Παρατήρηση στο Ορατότητα σημαίνει να αποδώσετε κάθε πηγή αποστολής στις αναφορές σας σε ένα πραγματικό σύστημα: ποιος ESP, ποιο CRM, το ρελέ αλληλογραφίας ποιου περιφερειακού γραφείου, ποιο εργαλείο SaaS που κάποιος συνέδεσε το 2023 και ξέχασε. Σημαίνει να βρείτε τους αποστολείς shadow-IT που κανείς δεν τεκμηρίωσε. Σημαίνει να διορθώσετε την ευθυγράμμιση ESP προς ESP, επειδή κάθε πλατφόρμα έχει τον δικό της τρόπο να πιστοποιεί εκ μέρους σας — μερικές από αυτές λανθασμένα εξ ορισμού.
Το να παρακάμψετε τον τοίχο είναι ο τρόπος με τον οποίο το DMARC απέκτησε την τρομακτική του φήμη. Επιβάλετε από το Παρατήρηση — χωρίς Ορατότητα — και θα μπλοκάρετε κάτι πραγματικό: μια εκτέλεση τιμολόγησης, μια ροή επαναφοράς κωδικού, το newsletter του CEO. Έπειτα έρχεται η πανικόβλητη υπαναχώρηση στο p=none, η εσωτερική διερεύνηση, και το μάθημα που όλοι μαθαίνουν λάθος: «δοκιμάσαμε το DMARC και έσπασε το email». Οι περισσότερες ιστορίες τρόμου του DMARC είναι ακριβώς αυτό — η επιβολή επιχειρήθηκε ένα στάδιο νωρίτερα. Ο τοίχος δεν είναι λόγος να σταματήσετε στο Στάδιο 3. Είναι ο λόγος που υπάρχει το Στάδιο 4.
Αυτό είναι επίσης το στάδιο όπου οι ιδιοκτήτες πιο συχνά φέρνουν βοήθεια — ένας πάροχος IT ή μια υπηρεσία παρακολούθησης DMARC μπορεί να κάνει τη δουλειά ταυτοποίησης αποστολέων· τα στάδια παραμένουν τα ίδια έτσι κι αλλιώς.
Το κομμάτι που όλοι ξεχνούν: Στάδιο 5 → 6
Η επίτευξη του p=reject σταματά την άμεση πλαστογράφηση του domain σας στη γραμμή From:, στους παραλήπτες που το ελέγχουν. Αυτό είναι απαραίτητο — και δεν είναι επαρκές. Αξίζει επίσης να ονομάσουμε τι δεν κάλυψε ποτέ η επιβολή: τα παρόμοια domain (yourc0mpany.com) και η πλαστοπροσωπία ονόματος προβολής βρίσκονται εντελώς εκτός της εμβέλειας του DMARC, οπότε η επιβολή κλείνει την πόρτα του ακριβούς domain και αφήνει τις γειτονικές στην επαγρύπνηση και σε άλλους ελέγχους.
Η επιβολή δεν κάνει τίποτα για τη μεταφορά: χωρίς MTA-STS και TLS-RPT, η αλληλογραφία προς το domain σας μπορεί ακόμη να υποβαθμιστεί ή να υποκλαπεί κατά τη μεταφορά. Δεν κάνει τίποτα για την αναγνώριση της μάρκας: το BIMI — το λογότυπό σας, εμφανιζόμενο στα εισερχόμενα — είναι ένα σήμα εμπιστοσύνης, όχι ένας έλεγχος ασφάλειας, και είναι έντιμο να το αντιμετωπίζουμε ως τέτοιο (απαιτεί επίσης ένα επί πληρωμή πιστοποιητικό, γι’ αυτό βρίσκεται τελευταίο, όχι πρώτο). Και το απλό p=reject προηγείται του DMARCbis: η ετικέτα np= των νέων RFC και το tree-walk κλείνουν το κενό του ανύπαρκτου subdomain που αφήνουν ανοιχτό οι παλαιότερες αναπτύξεις.
Ένα domain στο p=reject χωρίς κανένα από τα παραπάνω είναι προστατευμένο απέναντι στην πιο κοινή επίθεση και απροετοίμαστο για τις υπόλοιπες. Αυτή είναι μια πραγματική διάκριση, και αξίζει το δικό της στάδιο.
Το στάδιό σας είναι μετρήσιμο
Αυτό το μοντέλο δεν είναι απλώς ένα διάγραμμα — το στάδιο ενός domain είναι υπολογίσιμο, κι αυτό είναι που το ξεχωρίζει από μια αφίσα σε έναν τοίχο.
Τα στάδια 3 έως 6 μπορούν να παραχθούν από τα ίδια τα δεδομένα αναφοράς DMARC ενός domain συν τις δημοσιευμένες εγγραφές του: ποια πολιτική είναι ενεργή, αν ρέουν αναφορές, και αν κάθε παρατηρημένος αποστολέας ευθυγραμμίζεται. Τα στάδια 1 και 2 αξιολογούνται με έναν ζωντανό έλεγχο DNS, εφόσον δεν υπάρχουν ακόμη αναφορές. Ένας έντιμος περιορισμός σε κάθε κατεύθυνση: το Στάδιο 4 επιβεβαιώνεται από τεκμήρια με το πέρασμα του χρόνου — το «κάθε παρατηρημένος αποστολέας ευθυγραμμίζεται σε αρκετές ημέρες αναφοράς» είναι ένα ισχυρό υποκατάστατο, αλλά καμία αναφορά δεν μπορεί να αποκαλύψει τον αποστολέα που δεν έχετε συνδέσει ακόμη. Και το στρώμα θωράκισης του Σταδίου 6 — MTA-STS, TLS-RPT, BIMI — είναι αόρατο στις αναφορές DMARC· χρειάζεται έναν έλεγχο DNS για να φανεί. Ένα domain μπορεί να φαίνεται «ολοκληρωμένο» από τις αναφορές του και να κουβαλά ακόμη ένα κρυφό κενό Σταδίου 5 → 6. Αυτό είναι το μοντέλο βάσει του οποίου μετρά η δική μας ανάλυση αναφορών, με τα εμπόδια και όλα.
Ένα λυμένο παράδειγμα
Μια μεσαίου μεγέθους εταιρεία τρέχει Microsoft 365 πίσω από μια πύλη φιλτραρίσματος αλληλογραφίας. Το SPF τελειώνει σε -all, το DKIM είναι διαμορφωμένο, το DMARC είναι δημοσιευμένο στο p=none, και οι αναφορές ρέουν σε ένα εργαλείο παρακολούθησης. Στους παλιούς χάρτες αυτό μοιάζει σχεδόν ολοκληρωμένο. Σε αυτόν είναι Στάδιο 3 — Παρατήρηση: η δύσκολη εγκατάσταση είναι ολοκληρωμένη, και το domain έχει κολλήσει ακριβώς στον τοίχο — ορατό, όχι προστατευμένο. Η κίνηση μεγαλύτερης αξίας είναι 3 → 4 → 5: επιβεβαιώστε ότι οι (πιθανώς λίγοι) νόμιμοι αποστολείς ευθυγραμμίζονται όλοι, μετά ανεβάστε την πολιτική σε στάδια. Για ένα domain αυτού του σχήματος, αυτό είναι συνήθως εβδομάδες προσοχής, όχι μήνες — ο τοίχος είναι πιο ψηλός για όσους δεν τον χαρτογραφούν ποτέ.
Βρείτε το στάδιό σας
Η ερώτηση που πρέπει να αποσυρθεί είναι «έχουμε DMARC;» — το 24.89% των domain μπορεί να πει ναι, ενώ το 57.5% αυτών παραμένει πλαστογραφήσιμο. Η καλύτερη ερώτηση είναι «σε ποιο στάδιο είμαστε, και ποια είναι η μία κίνηση προς το επόμενο;» Κάθε domain στο διαδίκτυο βρίσκεται σήμερα σε ακριβώς ένα από αυτά τα έξι στάδια. Το να ξέρετε ποιο μετατρέπει μια ανησυχία σε μια λίστα εργασιών.
Συχνές ερωτήσεις
Τι είναι το DAMM; Το Μοντέλο Ωριμότητας Υιοθέτησης DMARC — το μοντέλο έξι σταδίων σε αυτή τη σελίδα: Απροστάτευτο, Πιστοποιημένο, Παρατήρηση, Ορατότητα, Επιβαλλόμενο, Θωρακισμένο. Το στάδιο ενός domain είναι μετρήσιμο από το DNS του και τα δεδομένα αναφοράς DMARC του, κι αυτό είναι που το ξεχωρίζει από μια αφίσα σε έναν τοίχο.
Είναι λοιπόν άχρηστη η δημοσίευση του p=none; Όχι — είναι το Στάδιο 3, και το Στάδιο 3 είναι φέρον: η αναφορά είναι ο τρόπος με τον οποίο βρίσκετε κάθε αποστολέα πριν επιβάλετε. Γίνεται πρόβλημα μόνο όταν αντιμετωπίζεται ως προορισμός. Δείτε γιατί το p=none δεν είναι προστασία.
Μπορώ να πάω κατευθείαν στο p=reject; Αν το domain σας δεν στέλνει αλληλογραφία — ναι, σήμερα, και θα έπρεπε. Αν όντως στέλνει αλληλογραφία — όχι: το να επιβάλετε χωρίς Ορατότητα (Στάδιο 4) είναι ο τρόπος με τον οποίο σπάει η νόμιμη αλληλογραφία και συμβαίνουν οι υπαναχωρήσεις. Τα στάδια είναι η ασφαλής διαδρομή, όχι τελετουργία.
Χρειάζομαι BIMI για να είμαι «ολοκληρωμένος»; Όχι. Το BIMI είναι το στρώμα προβολής μάρκας του Σταδίου 6 και το πιο προαιρετικό στοιχείο του μοντέλου — τα MTA-STS, TLS-RPT και η κάλυψη np= του DMARCbis είναι τα μέρη που ουσιαστικά θωρακίζουν ένα domain. Αν το κόστος του πιστοποιητικού δεν δικαιολογείται για εσάς, παραλείψτε το και κρατήστε τα υπόλοιπα του Σταδίου 6.
Πού ταιριάζουν το SPF και το DKIM; Κάτω από τα πάντα — είναι τα Στάδια 1 → 2, και το SPF χωρίς DMARC προστατεύει λιγότερο απ’ όσο υποθέτουν οι περισσότεροι ιδιοκτήτες. Από το 2024, μεγάλοι παραλήπτες έχουν επίσης απαιτήσει πιστοποίηση ρητά από μαζικούς αποστολείς.
Ελέγξτε πού βρίσκεται το δικό σας domain
Αυτά τα στάδια είναι μοτίβα πληθυσμού — το domain σας βρίσκεται σε ακριβώς ένα από αυτά, και η επόμενη κίνηση είναι γνωστή. Μπορείτε να ελέγξετε ιδιωτικά και δωρεάν, και να δείτε ποιους από τους 34 ελέγχους περνάτε και πώς να διορθώσετε αυτούς που δεν περνάτε.
Ελέγξτε το domain σας → · Πώς βαθμολογήσαμε το διαδίκτυο → · Ο πυλώνας DMARC → · Μόνο συγκεντρωτικά δεδομένα. Τα δεδομένα αποθηκεύονται και επεξεργάζονται στην ΕΕ.