Defaults.Exposed › Διορθώσεις › Guides
DMARC p=none σε p=reject Χωρίς Απώλεια Νόμιμου Email: Σταδιακή Εφαρμογή (2026)
Δημοσιεύτηκε 2026-07-08
Στοιχεία έως 2026-06-29 · μεθοδολογία v7. Αθροιστικά δεδομένα απογραφής σε 261 εκατομμύρια βαθμολογημένα domains. Δείτε πώς βαθμολογούμε.
Μεταβείτε από DMARC p=none σε p=reject σε τέσσερα στάδια: παρακολουθήστε αναφορές rua για 2-4 εβδομάδες, διορθώστε κάθε νόμιμο αποστολέα, αυξήστε p=quarantine με pct, και μετά reject — ποτέ μην πηδήξετε κατευθείαν στο reject. 70,368,600 από 261,086,232 βαθμολογημένα domains μένουν μπλοκαρισμένα σε soft SPF χωρίς επιβολή DMARC, σύμφωνα με την απογραφή του Defaults.Exposed.
Αυτό είναι το λειτουργικό εγχειρίδιο: πίνακας σταδίων με κριτήρια εξόδου, η εγγραφή για κάθε στάδιο, η λεπτομέρεια pct του RFC 7489 που αλλάζει τι σημαίνει «50%» στο reject, και ο tag sp= για subdomains. Εάν αποφασίζετε εάν θα επιβάλετε, πρώτα διαβάστε τα 6 στάδια ωριμότητας DMARC — αυτό είναι το πλαίσιο· και εάν τα επίπεδα πολιτικής είναι νέα για εσάς, ο οδηγός τι σημαίνουν p=none, p=quarantine και p=reject είναι η εισαγωγή. Αυτή η σελίδα είναι η εφαρμογή.
Γιατί δεν μπορείτε να πηδήξετε κατευθείαν στο p=reject;
Επειδή το p=reject λέει σε κάθε παραλήπτη που το τιμά να αναπηδά αλληλογραφία που αποτυγχάνει στο DMARC — και μέχρι να δείτε τις αναφορές σας, δεν ξέρετε τι αποτυγχάνει. Σχεδόν κάθε domain που ενεργοποιεί παρακολούθηση ανακαλύπτει νόμιμους αποστολείς που ξέχασε: το CRM, το εργαλείο τιμολόγησης, μια φόρμα επικοινωνίας. Πηδήξτε στο reject την πρώτη μέρα και αυτή η αλληλογραφία δεν πηγαίνει στα ανεπιθύμητα· εξαφανίζεται κατά τη μεταφορά SMTP. Η απώλεια μιας σειράς τιμολογίων διδάσκει έναν οργανισμό να φοβάται το DMARC, και η εγγραφή επαναστρέφεται μόνιμα στο p=none — από 261,086,232 βαθμολογημένα domains, 37,312,637 είναι «παρκαρισμένα» εκεί, και μόνο το 10.59% (27,640,987) φτάνει ποτέ σε επιβαλλόμενη πολιτική.
Ο άλλος λόγος είναι η ευθυγράμμιση. Το DMARC επιτυγχάνει μόνο όταν SPF ή DKIM επιτυγχάνει και ευθυγραμμίζεται με το ορατό From domain — SPF έναντι του Return-Path (RFC5321.MailFrom) domain, DKIM έναντι του d= της υπογραφής. Αποστολείς τρίτων συνήθως επιτυγχάνουν SPF στο δικό τους domain, όχι στο δικό σας, γι’ αυτό το στάδιο διόρθωσης-κάθε-πηγής αφορά κυρίως την ενεργοποίηση DKIM προσαρμοσμένου τομέα κάθε προμηθευτή — αναλύεται στο DMARC αποτυγχάνει αλλά SPF και DKIM επιτυγχάνουν.
Ποια είναι τα τέσσερα στάδια εφαρμογής;
| Στάδιο | Εγγραφή πολιτικής | pct | Τι συμβαίνει στην αλληλογραφία που αποτυγχάνει | Κριτήρια εξόδου |
|---|---|---|---|---|
| 1. Παρακολούθηση | p=none; rua=mailto:… | — | Παραδίδεται κανονικά· λαμβάνετε αθροιστικές αναφορές | 2-4 εβδομάδες αναφορών· κάθε αποστολέας αναγνωρισμένος ως νόμιμος ή μη |
| 2. Διόρθωση πηγών | p=none (αμετάβλητο) | — | Εξακολουθεί να παραδίδεται κανονικά | Κάθε νόμιμη πηγή επιτυγχάνει ευθυγραμμισμένα DMARC (DKIM προσαρμοσμένου τομέα ανά αποστολέα)· αποτυχίες που απομένουν είναι μόνο άγνωστη/πλαστογραφημένη κίνηση |
| 3. Αύξηση Quarantine | p=quarantine | 10 → 25 → 50 → 100 | Το δειγματιζόμενο μερίδιο πηγαίνει σε φακέλους ανεπιθύμητων· το δειγματιζόμενο-εκτός μερίδιο αντιμετωπίζεται ως p=none (παραδίδεται) | 1-2 εβδομάδες στο pct=100 χωρίς καμία νόμιμη αλληλογραφία σε quarantine |
| 4. Reject | p=reject | 100 | Αναπόδοση κατά τη μεταφορά SMTP· ο αποστολέας λαμβάνει αναπόδοση, ο παραλήπτης δεν βλέπει τίποτα | Συνεχής — διατηρήστε rua ενεργό για πάντα για να εντοπίζετε νέους αποστολείς |
Δεδομένα έως 2026-06-29· συμπεριφορά πολιτικής βάσει RFC 7489.
Το στάδιο 3 είναι εκεί που τα domains σταματούν ή πανικοβάλλονται. Η τοποθέτηση σε φακέλους ανεπιθύμητων είναι αναστρέψιμη — οι χρήστες βρίσκουν την αλληλογραφία, χαλαρώνετε pct, διορθώνετε την πηγή. Η απόρριψη δεν είναι αναστρέψιμη, γι’ αυτό η quarantine στο pct=100 που τρέχει καθαρή είναι το εισιτήριο εισόδου στο στάδιο 4.
Πώς εκτελείτε την εφαρμογή, βήμα προς βήμα;
- Εκτελέστε τη δωρεάν σάρωση στο defaults.exposed πριν αγγίξετε DNS. Επιβεβαιώνει την τρέχουσα πολιτική σας και εάν υπάρχουν SPF και DKIM από κάτω — τα δύο σκέλη πάνω στα οποία στηρίζεται η επιβολή.
- Ενεργοποιήστε παρακολούθηση εάν δεν το έχετε κάνει. Η δημοσίευση
p=noneμεrua=είναι το πέντε-λεπτο βήμα στο «DMARC policy not enabled». Συλλέξτε αναφορές 2-4 εβδομάδων — αρκετά για να πιάσετε μηνιαίους αποστολείς όπως σειρές τιμολογίων. - Καταγράψτε κάθε πηγή στις αναφορές. Ταξινομήστε τους αποστολείς σε δικούς σας, των προμηθευτών σας και άγνωστους. Οι ακατέργαστες αναφορές φτάνουν ως XML — ένα εργαλείο επεξεργασίας αναφορών (ή ο πίνακας ελέγχου του παρόχου σας) τα μετατρέπει σε αναγνώσιμη λίστα αποστολέων.
- Κάντε κάθε νόμιμη πηγή να επιτυγχάνει ευθυγραμμισμένα. Ενεργοποιήστε DKIM προσαρμοσμένου τομέα κάθε προμηθευτή (συνήθως δύο εγγραφές CNAME στον πίνακα ελέγχου τους) ώστε οι υπογραφές να φέρουν το domain σας, όχι το δικό τους. Προτιμήστε DKIM για ευθυγράμμιση: επιβιώνει στην προώθηση, το SPF όχι.
- Περιμένετε καθαρή δεκαπενθήμερη. Βγείτε από το στάδιο 2 μόνο όταν οι αποτυχίες που αναφέρονται είναι αποκλειστικά κίνηση που δεν αναγνωρίζετε — η πλαστογράφηση που θέλετε να μπλοκάρετε.
- Μεταβείτε σε
p=quarantine; pct=10— επεξεργαστείτε την υπάρχουσα εγγραφή TXT_dmarc(παράδειγμα: ρύθμιση DMARC στο IONOS) και προσέξτε τη σύνταξη: ένα τυπογραφικό λάθος στο tag πολιτικής μπορεί να ακυρώσει εντελώς την εγγραφή. Αυξήστε το pct σε 25, 50, 100 σε 2-4 εβδομάδες, παρακολουθώντας αναφορές και αιτήματα helpdesk. Οτιδήποτε νόμιμο στα ανεπιθύμητα: μειώστε pct, διορθώστε την πηγή, συνεχίστε. - Μεταβείτε σε
p=rejectμετά από 1-2 καθαρές εβδομάδες στοpct=100. Διατηρήστεrua=ενεργό μόνιμα — κάθε νέο εργαλείο που υιοθετεί η εταιρεία σας είναι ένας μελλοντικός αποτυγχάνων αποστολέας.
Τι κάνει πραγματικά το pct; Η λεπτομέρεια του RFC 7489
Το pct ζητά από τους παραλήπτες να εφαρμόσουν την πολιτική σας σε εκείνο το ποσοστό της αποτυγχάνουσας αλληλογραφίας. Η λεπτομέρεια, από το RFC 7489 §6.6.4: η αλληλογραφία που δειγματίζεται εκτός δεν επιστρέφει στο «παράδοση κανονικά» — λαμβάνει την επόμενη λιγότερο αυστηρή πολιτική. Με p=quarantine; pct=25, το άλλο 75% αντιμετωπίζεται ως p=none και παραδίδεται. Αλλά με p=reject; pct=50, το άλλο 50% τίθεται σε quarantine, όχι παραδίδεται. Δεν υπάρχει ήπιο reject: τη στιγμή που η εγγραφή σας λέει reject, κάθε αποτυγχάνον μήνυμα είναι τουλάχιστον σε φάκελο ανεπιθύμητων σε παραλήπτες που τιμούν.
Χρησιμοποιούμενο σκόπιμα, αυτό είναι χαρακτηριστικό — p=reject; pct=1 συμπεριφέρεται ως «τοποθέτηση σχεδόν πάντα σε quarantine, απόρριψη σταγόνας», μια νόμιμη τελική εισαγωγή. Δύο προειδοποιήσεις: οι παραλήπτες δεν εφαρμόζουν όλοι δειγματοληψία με τον ίδιο τρόπο, οπότε αντιμετωπίστε pct ως κατά προσέγγιση ρύθμιση· και αφαιρέστε το tag (ή ορίστε pct=100) μόλις σταθεροποιηθεί το στάδιο 4, ώστε η εγγραφή σας να λέει αυτό που εννοείτε.
Τι γίνεται με τα subdomains — το tag sp=;
Από προεπιλογή, τα subdomains κληρονομούν την πολιτική του οργανωτικού domain: p=reject στο yourdomain.com καλύπτει και το mail.yourdomain.com. Το tag sp= τους επιτρέπει να αποκλίνουν, και προς χρήσιμες και προς επικίνδυνες κατευθύνσεις. Χρήσιμο: p=quarantine; sp=reject κλειδώνει subdomains από τα οποία δεν στέλνετε ποτέ ενώ το apex εξακολουθεί να αυξάνει — οι απατεώνες στοχεύουν σκόπιμα subdomains παρακολουθούμενων domains. Επικίνδυνο: ένα ξεχασμένο sp=none αθόρυβα εξαιρεί κάθε subdomain από την πολιτική reject που περάσατε έξι εβδομάδες για να κερδίσετε. Ελέγξτε για αυτό στο στάδιο 4· εάν ένα συγκεκριμένο subdomain χρειάζεται πραγματικά χαλαρότερη πολιτική, δημοσιεύστε εγγραφή _dmarc σε εκείνο το subdomain αντί να χαλαρώσετε όλα.
Σημαίνει η NIS2 ότι οι επιχειρήσεις στην ΕΕ πρέπει να το κάνουν αυτό;
Το DMARC λειτουργεί πανομοιότυπα παντού — τίποτα σε αυτό το εγχειρίδιο δεν αλλάζει στα σύνορα της ΕΕ. Αυτό που αλλάζει είναι η ώθηση για συμμόρφωση. Το άρθρο 21(2)(j) της NIS2 απαιτεί από τις οντότητες που εμπίπτουν στο πεδίο εφαρμογής να ασφαλίσουν τις επικοινωνίες τους, και ο Εκτελεστικός Κανονισμός (ΕΕ) 2024/2690 διευκρινίζει τις τεχνικές απαιτήσεις για τις οντότητες ψηφιακής υποδομής που καλύπτει — το Παράρτημά του (σημείο 6.7.2(k)) απαιτεί σχέδιο εφαρμογής για ανάπτυξη διεθνώς αναγνωρισμένων σύγχρονων προτύπων ασφάλειας email, και το σημείο 6.7.2(l) απαιτεί βέλτιστες πρακτικές ασφάλειας DNS. Μια επιβαλλόμενη πολιτική DMARC, με SPF και DKIM από κάτω, είναι το αναγνωρισμένο ελέγξιμο μέτρο ελέγχου για πλαστογράφηση· το p=none είναι αποδεδειγμένα παρακολούθηση, όχι ασφάλεια. Εάν οι πελάτες σας εμπίπτουν στο πεδίο εφαρμογής, τα ερωτηματολόγια προμηθευτών τους ζητούν όλο και πιο συχνά ακριβώς αυτό.
Συχνές ερωτήσεις
Πόσο καιρό χρειάζεται η πλήρης εφαρμογή; Έξι έως δέκα εβδομάδες είναι τυπικό: 2-4 εβδομάδες παρακολούθηση, 1-3 εβδομάδες διόρθωση πηγών, 2-4 εβδομάδες αύξηση quarantine, και μετά reject. Είναι χρόνος ημερολογίου, όχι προσπάθεια — ως επί το πλείστον αναμονή για επιβεβαίωση αναφορών κάθε αλλαγής. Το 89.41% των 261,086,232 βαθμολογημένων domains χωρίς επιβαλλόμενη πολιτική (δεδομένα έως 2026-06-29) ως επί το πλείστον δεν βρίσκεται εν μέσω εφαρμογής· δεν ξεκίνησε ποτέ το ρολόι.
Μπορώ να παρακάμψω το quarantine και να χρησιμοποιήσω p=reject με χαμηλό pct;
Μπορείτε — σύμφωνα με το RFC 7489 §6.6.4, p=reject; pct=10 σημαίνει 10% απόρριψη και 90% quarantine, περίπου το τέλος του σταδίου 3. Αλλά το p=quarantine πρώτα είναι πιο εύκολο να συλλογιστεί, και οι παραλήπτες ποικίλλουν στο πόσο πιστά δειγματίζουν. Όπως και να ‘χει, τα στάδια 1-2 είναι αδιαπραγμάτευτα: καμία έκδοση επιβολής δεν είναι ασφαλής ενώ νόμιμοι αποστολείς εξακολουθούν να αποτυγχάνουν.
Τι γίνεται με αλληλογραφία που δεν μπορώ να διορθώσω — προωθητές και λίστες αλληλογραφίας; Η προώθηση σπάει SPF εκ σχεδιασμού, και ορισμένες λίστες αλληλογραφίας ξαναγράφουν περιεχόμενο, σπάζοντας και DKIM. Το ευθυγραμμισμένο DKIM επιβιώνει στη συνήθη προώθηση, που χειρίζεται το μεγαλύτερο μέρος· το μικρό υπόλοιπο είναι γι’ αυτό υπάρχει το στάδιο quarantine — αλληλογραφία σε φακέλους ανεπιθύμητων είναι αναστρέψιμη ενώ αξιολογείτε. Λεπτομέρειες στο προωθημένο email αποτυγχάνει στο SPF.
Είναι αρκετό να σταματήσω στο p=quarantine;
Είναι η μεγαλύτερη αξία, και πολύ καλύτερη από τα 37,312,637 domains «παρκαρισμένα» στο p=none (από 261,086,232 βαθμολογημένα, δεδομένα έως 2026-06-29) — αλλά πλαστογραφημένη αλληλογραφία εξακολουθεί να φτάνει σε φακέλους ανεπιθύμητων, από όπου οι άνθρωποι την ανασύρουν. Το reject είναι ο στόχος: μόνο το 10.59% των βαθμολογημένων domains επιβάλλει γενικά, και η ολοκλήρωση είναι αυτό που πιστώνουν ελεγκτές, ασφαλιστές και ερωτηματολόγια.
Στείλτε στον ιδιοκτήτη την αναφορά
Εάν εκτελείτε αυτή την εφαρμογή για πελάτη ή εργοδότη, η γραμμή τερματισμού είναι εμφανής. Εκτελέστε ξανά τη δωρεάν σάρωση μετά το p=reject και προωθήστε τη βαθμολογημένη αναφορά: το domain που μεταβαίνει σε επιβαλλόμενη πολιτική, με χρονοσφραγίδα και σε απλή γλώσσα. Αυτή η μία σελίδα απαντά στη γραμμή ασφάλειας email σε ανανεώσεις ασφάλισης κυβερνοχώρου και ερωτηματολόγια προμηθευτών με γνώμονα τη NIS2 καλύτερα από ένα screenshot πίνακα DNS — και κάνει έξι εβδομάδες προσεκτικής, αόρατης εργασίας ορατές στο άτομο που τη χρηματοδοτεί.
Ελέγξτε δωρεάν την πολιτική DMARC σας
Δείτε ποια είναι η τρέχουσα πολιτική σας — και εάν SPF και DKIM μπορούν να φέρουν επιβολή — ιδιωτικά και μόνο για τον ιδιοκτήτη.
Ελέγξτε το domain σας → · Διόρθωση DMARC → · «DMARC policy not enabled» — το ειλικρινές πρώτο βήμα → · Μόνο αθροιστικά δεδομένα. Τα δεδομένα αποθηκεύονται και επεξεργάζονται στην ΕΕ.