Defaults.Exposed

Defaults.Exposed › Aruanded

DMARC-i küpsuse 6 etappi

Avaldatud 2026-07-03 · uuendatud 2026-07-03

Andmed seisuga 2026-06-29 · metoodika v7. See on korduva rahvaloendusega toetatud võrdlusmudel; iga väljaanne mõõdab uuesti sama üldkogumit, nii et arve saab ajas jälgida. Kõik arvud on koondandmed — me ei avalda kunagi ühegi konkreetse ettevõtte hinnet.

DMARC-i avaldamine ei ole sama, mis kaitstud olemine

261 miljoni mõõdetud domeeni seas avaldab 24.89% DMARC-kirje — kuid ainult 10.59% jõustab selle. Teisisõnu: umbes 65 miljonist domeenist, mis DMARC-i teekonda alustasid, 57.5% ei jõudnud kunagi selle osani, mis midagi blokeerib. Nad avaldasid kirje, suunasid aruandluse kuhugi ja jäid seisma. Väiksemad sõltumatud uuringud leiavad sama mustri — üks 2026. aasta valdkonna raport pani selle ~9%-le jõustamisele umbes 938 000 uuritud domeeni seas.

Kasutuselevõtt ei ole enam probleem. Kaitse on. Ja domeenid jäävad seisma struktuursel põhjusel: kaardid, mida kõik kasutavad, jäävad poolikuks. Need lõpevad liiga vara ja ükski neist ei anna kõige raskemale sammule oma nime.

Kus olemasolevad kaardid poolikuks jäävad

Mudelid, mille järgi valdkond navigeerib, olid oma ajastu jaoks õiged ja väärivad ausat lugemist:

Kõigil kolmel on kaks ühist piirangut. Esiteks, need peatuvad p=reject-i juures — justkui oleks jõustamine finišijoon. See ei ole: standard ise on edasi liikunud (DMARCbis — RFC 9989, 9990 ja 9991 — avaldati 2026. aasta mais, asendades algse RFC 7489), ja jõustamine ei tee midagi transpordi turvalisuse ega brändi usalduse heaks. Teiseks — ja just see jätab domeenid tegelikult kinni — ükski neist ei tee “iga saatja on arvele võetud” nimeliseks etapiks. Ausalt öeldes juurutusjuhendid mainivad seda tööd: dmarciani mudel sisaldab allikate tuvastamist ülesandena oma jälgimisetapi sees. Kuid etapi sisse maetud ülesannet just nii käsitletaksegi — “jälgimise” osana, mitte eraldiseisva saavutusena, mis see on. Aruannete saabumise jälgimine tundub edenemisena. Veel ei ole. Ainus suurim põhjus, miks domeenid aastaid p=none juures püsivad, on see, et nad näevad oma posti, kuid ei ole seda arvele võtnud — nii et nad ei julge jõustada, kartes midagi reaalset katki teha.

Kasulik mudel peab andma sellele sammule oma nime ja oma väljumiskriteeriumid. See mudel teeb seda. Me nimetame seda DMARC-i kasutuselevõtu küpsusmudeliks — DAMM: kuus etappi, üks samm igaühes ja nimi, mida saab tsiteerida.

Mudel

DMARC-i küpsuse kuus etappi — kaitsmata seisundist kuni karastatud seisundini, koos müüriga Vaatlemise ja Nähtavuse vahel

1. etapp — Kaitsmata. DMARC-kirjet ei ole — või SPF ja DKIM on selle all puudulikud. Igaüks saab saata e-kirju sinu domeeni nimel ja mitte keegi kuskil ei kontrolli midagi. Samm: seadista SPF ja DKIM oma peamise posti jaoks ning kinnita, et need autendivad ja joonduvad. DMARC on ehitatud mõlemale; sa ei saa seda põhja vahele jätta.

2. etapp — Autenditud. SPF ja DKIM on õiged ja joonduvad sinu peamise postivoo jaoks. Sinu legitiimne post tõestab oma päritolu — kuid miski ei ütle maailma postkastidele, mida teha postiga, mis seda ei tee. Samm: avalda DMARC-kirje p=none režiimil koos rua= aruandlusaadressiga.

3. etapp — Vaatlemine. DMARC on avaldatud, koondaruanded voolavad ja esimest korda näed sa, kes sinu domeeni nimel saadab. Midagi ei blokeerita. Enamik tööriistu nimetab seda etappi “nähtavuseks” — meie teadlikult ei tee seda, sest aruannete nägemine ja nende mõistmine on erinevad saavutused. Samm: tuvasta iga legitiimne allikas, mis sinu domeeni nimel saadab, ja joonda igaüks neist.

4. etapp — Nähtavus. Iga legitiimne saatja on tuvastatud ja joondatud — uudiskirjaplatvorm, arveldussüsteem, CRM, see asi, mille turundus eelmisel kevadel registreeris. Sa tunned oma posti. Miski legitiimne ei lähe katki, kui jõustad. See on etapp, mille vanad kaardid vahele jätavad, ja müür, millest enamik domeene kunagi üle ei roni. Samm: tõsta poliitikat — p=none → p=quarantine (siin aitab DMARCbise t=y testrežiim) → p=reject.

5. etapp — Jõustatud. p=quarantine või p=reject on aktiivne, alamdomeenid on kaetud selgesõnalise sp= poliitikaga. Post, mis autentimist ei läbi, pannakse nüüd osalevate vastuvõtjate juures tegelikult karantiini või lükatakse tagasi — see hõlmab iga suuremat postkastiteenuse pakkujat — nii et sinu täpse domeeni otsene võltsimine lakkab jõudmast sinna, kus DMARC-i kontrollitakse. Samm: lisa karastuskiht — DMARCbise np= ja puukäivituse (tree-walk) kate, MTA-STS ja TLS-RPT transpordi jaoks, BIMI, kui brändi kuvamine on sulle oluline.

6. etapp — Karastatud ja jätkusuutlik. Jõustamine pluss moodne komplekt: olematute alamdomeenide (np=) kate DMARCbisest, MTA-STS ja TLS-RPT posti kaitseks teel, BIMI seal, kus see end ära tasub — ja, mis kõige tähtsam, pidev jälgimine triivi ja uute saatjate osas. See ei ole aumärk; see on distsipliin. Ilmuvad uued saatjad, pakkujad muudavad IP-sid, konfiguratsioonid mädanevad. Samm: püsi siin.

Postita rada. Mõõdetuna üle kogu domeeniinventuuri — surnud domeenid kaasa arvatud — 51.5% domeenidest ei käita üldse mingit postiteenust ja nende jaoks kokkub teekond ühele sammule. Domeen, mis kunagi ei saada, peaks avaldama kohe SPF -all ja DMARC p=reject: kaitsta ei ole ühtegi legitiimset posti, seega ei ole midagi vaadelda ega müüri, millest üle ronida. Pargitud ja uinuvad brändidomeenid lähevad ühe DNS-muudatusega otse Jõustatud seisundisse — ja seda tehes suletakse üks levinumaid kehastamise vektoreid, mis üldse olemas on.

Müür: 3. → 4. etapp

Iga teine üleminek selles mudelis on DNS-muudatus. See üks on uurimistöö — ja just siin surevad kuud.

Vaatlemisest Nähtavuseni jõudmine tähendab iga sinu aruannetes oleva saatva allika omistamist reaalsele süsteemile: milline ESP, milline CRM, millise piirkondliku kontori postirelee, milline SaaS-tööriist keegi 2023. aastal ühendas ja unustas. See tähendab varjatud IT saatjate leidmist, keda keegi dokumenteerinud ei ole. See tähendab joonduse parandamist ESP-de kaupa, sest igal platvormil on oma viis sinu nimel autentida — mõned neist vaikimisi valed.

Müüri vahele jätmine on see, kuidas DMARC oma hirmuäratava maine sai. Jõusta Vaatlemisest — ilma Nähtavuseta — ja sa blokeerid midagi reaalset: arvete väljasaatmise, parooli lähtestamise voo, tegevjuhi uudiskirja. Siis tuleb paaniline tagasipööramine p=none-le, sisemine lahkamine ja õppetund, mille kõik valesti õpivad: “me proovisime DMARC-i ja see lõhkus e-posti.” Enamik DMARC-i õuduslugusid on täpselt need — jõustamist prooviti üks etapp liiga vara. Müür ei ole põhjus 3. etapil peatumiseks. See on põhjus, miks 4. etapp olemas on.

See on ka etapp, kus omanikud toovad kõige sagedamini appi abi — IT-teenusepakkuja või DMARC-i jälgimisteenus saab teha saatja tuvastamise töö; etapid jäävad kummalgi juhul samaks.

Osa, mille kõik unustavad: 5. → 6. etapp

p=reject-i saavutamine peatab sinu domeeni otsese võltsimise From:-real, vastuvõtjate juures, kes seda kontrollivad. See on vajalik — ja see ei ole piisav. Väärib ka nimetamist, mida jõustamine kunagi ei katnud: sarnaselt näivad domeenid (yourc0mpany.com) ja kuvatava nime kehastamine asuvad täielikult väljaspool DMARC-i haaret, seega jõustamine sulgeb täpse domeeni ukse ja jätab naaberuksed valvsuse ja muude kontrollide hooleks.

Jõustamine ei tee midagi transpordi heaks: ilma MTA-STS ja TLS-RPT-ta saab sinu domeeni posti teel ikkagi alandada või pealt kinni püüda. See ei tee midagi brändi äratundmise heaks: BIMI — sinu logo, kuvatud postkastis — on usaldussignaal, mitte turvakontroll, ja ausus on käsitleda seda sellisena (see nõuab ka tasulist sertifikaati, mistõttu see asub viimasena, mitte esimesena). Ja tavaline p=reject eelneb DMARCbisele: uute RFC-de np= silt ja puukäivitus sulgevad olematu alamdomeeni augu, mille vanemad juurutused avatuks jätavad.

Domeen p=reject-i juures ilma ühegita ülaltoodust on kaitstud kõige levinuma rünnaku vastu ja ette valmistamata ülejäänuks. See on reaalne eristus ja see väärib oma etappi.

Sinu etapp on mõõdetav

See mudel ei ole lihtsalt diagramm — domeeni etapp on arvutatav, mis eristabki seda seinal olevast plakatist.

Etapid 3 kuni 6 saab tuletada domeeni enda DMARC-i aruandlusandmetest pluss selle avaldatud kirjetest: milline poliitika on aktiivne, kas aruanded voolavad ja kas iga vaadeldud saatja joondub. Etappe 1 ja 2 hinnatakse reaalajas DNS-kontrolliga, kuna aruandeid veel ei ole. Üks aus piirang mõlemas suunas: 4. etapp kinnitatakse ajas kogunevate tõenditega — “iga vaadeldud saatja joondub piisava arvu aruandluspäevade jooksul” on tugev asendusnäitaja, kuid ükski aruanne ei suuda paljastada saatjat, keda sa veel ühendanud ei ole. Ja 6. etapi karastuskiht — MTA-STS, TLS-RPT, BIMI — on DMARC-i aruannetes nähtamatu; selle nägemiseks kulub DNS-kontroll. Domeen võib oma aruannete põhjal näida “valmis” ja kanda ikkagi endas peidetud 5. → 6. etapi lünka. Just selle mudeli vastu meie oma aruandlusanalüüs mõõdab, koos takistuste ja kõigega.

Läbitöötatud näide

Keskmise suurusega firma kasutab Microsoft 365-t posti filtreeriva lüüsi taga. SPF lõpeb -all-iga, DKIM on seadistatud, DMARC on avaldatud p=none juures ja aruanded voolavad jälgimistööriista. Vanadel kaartidel näeb see peaaegu valmis välja. Sellel siin on see 3. etapp — Vaatlemine: raske seadistus on valmis ja domeen on jäänud seisma täpselt müüri juures — nähtav, mitte kaitstud. Kõige suurema väärtusega samm on 3 → 4 → 5: kinnita, et (tõenäoliselt vähesed) legitiimsed saatjad kõik joonduvad, seejärel tõsta poliitikat etappide kaupa. Sellise kujuga domeeni jaoks on see tavaliselt nädalate, mitte kuude tähelepanu — müür on kõige kõrgem neile, kes seda kunagi kaardistanud ei ole.

Leia oma etapp

Küsimus, millest tuleks loobuda, on “kas meil on DMARC?” — 24.89% domeenidest saab öelda jah, samas kui 57.5% neist jäävad võltsitavaks. Parem küsimus on “mis etapis me oleme ja mis on üks samm järgmisse?” Iga domeen internetis on täna täpselt ühes neist kuuest etapist. Selle teadmine muudab ärevuse tegevusnimekirjaks.

Kus internet nendes kuues etapis asub — enamikul domeenidest ei ole üldse DMARC-kirjet; enamik neist, kellel on, on jõustamise ees kinni

Korduma kippuvad küsimused

Mis on DAMM? DMARC-i kasutuselevõtu küpsusmudel — sellel lehel olev kuueetapiline mudel: Kaitsmata, Autenditud, Vaatlemine, Nähtavus, Jõustatud, Karastatud. Domeeni etapp on mõõdetav selle DNS-ist ja DMARC-i aruandlusandmetest, mis eristabki seda seinal olevast plakatist.

Kas p=none avaldamine on siis kasutu? Ei — see on 3. etapp ja 3. etapp on kandev: aruandlus on see, kuidas sa leiad iga saatja enne jõustamist. See muutub probleemiks alles siis, kui seda käsitletakse sihtkohana. Vaata miks p=none ei ole kaitse.

Kas ma saan otse p=reject-le hüpata? Kui sinu domeen ei saada posti — jah, täna, ja sa peaksidki. Kui see saadab posti — ei: ilma Nähtavuseta (4. etapp) jõustamine on see, kuidas legitiimne post katki läheb ja tagasipööramised juhtuvad. Etapid on turvaline tee, mitte tseremoonia.

Kas mul on vaja BIMI-t, et olla “valmis”? Ei. BIMI on 6. etapi brändi kuvamise kiht ja kõige valikulisem element mudelis — MTA-STS, TLS-RPT ja DMARCbise np= kate on osad, mis domeeni sisuliselt karastavad. Kui sertifikaadi kulu ei ole sinu jaoks põhjendatud, jäta see vahele ja hoia ülejäänud 6. etapp.

Kuhu sobivad SPF ja DKIM? Kõige alla — need on etapid 1 → 2 ja SPF ilma DMARC-ita kaitseb vähem, kui enamik omanikke eeldab. Alates 2024. aastast on suuremad vastuvõtjad ka nõudnud hulgisaatjatelt otsest autentimist.

Kontrolli, kus sinu enda domeen asub

Need etapid on üldkogumi mustrid — sinu domeen on täpselt ühes neist ja järgmine samm on teadatav. Sa saad seda kontrollida privaatselt ja tasuta ning näha, millised 34-st kontrollist sa läbid ja kuidas parandada need, mida ei läbi.

Kontrolli oma domeeni → · Kuidas me internetile hinde andsime → · DMARC-i sammas → · Ainult koondandmed. Andmed salvestatakse ja töödeldakse EL-is.