Defaults.Exposed

Defaults.Exposed › گزارش‌ها

انتشار کورکورانه: بیشتر رکوردهای DMARC هیچ گزارشی درخواست نمی‌کنند

منتشرشده 2026-07-03 · به‌روزرسانی‌شده 2026-07-03

ارقام تا تاریخ 2026-06-29 · روش‌شناسی نسخه ۷. داده‌های سرشماری در سراسر هر دامنه‌ای که یک رکورد DMARC قابل‌تجزیه منتشر می‌کند، با حذف موارد تکراری به ازای هر دامنه. حضور rua= در سراسر همه رکوردها اندازه‌گیری می‌شود، بنابراین همپوشانی دقیق آن با هر سیاست منفرد قابل‌استخراج نیست — جایی که این مقاله ادعاهایی درباره آن همپوشانی مطرح می‌کند، کران‌ها را بیان می‌کند، نه هرگز جدول‌های متقاطع دقیق را. همه ارقام تجمیعی هستند — ما هرگز نمره یک کسب‌وکار منفرد را منتشر نمی‌کنیم.

بیشتر رکوردهای DMARC در حال دیده‌بانی نیستند

از 65 میلیون دامنه‌ای که یک رکورد DMARC منتشر می‌کنند، تنها 23 میلیون — 35.7٪ — شامل برچسب rua= هستند که گزارش‌های تجمیعی درخواست می‌کند. آن 64.3٪ دیگر کورکورانه منتشر می‌کنند: یک سیاست روی رکورد قرار دارد، اما هیچ‌کس درخواست نکرده است که به او گفته شود تحت آن چه اتفاقی می‌افتد. این یعنی 42 میلیون دامنه با رکورد DMARC که نمی‌تواند هیچ چیزی را به آن‌ها نشان دهد.

یک رکورد DMARC بدون گزارش‌دهی مثل زنگ درِ خانه‌ای است که کسی در آن نیست. دریافت‌کنندگان ایمیل با وسواس هر پیام را در برابر آن بررسی می‌کنند — و یافته‌های آن‌ها، یعنی فهرست همه کسانی که به‌عنوان دامنه شما ارسال می‌کنند، به جایی نمی‌رسد. سازوکار کار می‌کند؛ فقط صاحبش گوش نمی‌دهد.

rua= واقعاً چه کاری انجام می‌دهد

DMARC دو نیمه دارد. نیمه سیاست (p=none، quarantine یا reject) به دریافت‌کنندگان می‌گوید با ایمیلی که در احراز هویت شکست می‌خورد چه کنند. نیمه گزارش‌دهی — برچسب rua=، یک نشانی صندوق پستی — از دریافت‌کنندگان می‌خواهد که گزارش‌های تجمیعی روزانه برای شما بفرستند: کدام سرورها به‌عنوان دامنه شما ارسال کرده‌اند، چه مقدار ایمیل، و آیا SPF و DKIM را پشت سر گذاشته‌اند.

آن نیمه دوم تمام حلقه بازخورد است. گزارش‌ها همان روشی هستند که با آن‌ها پلتفرم خبرنامه‌ای را که هیچ‌کس مستند نکرده، ابزار صدور فاکتوری را که بازاریابی وصل کرده، فرستنده سایه در منطقه‌ای دیگر را کشف می‌کنید — پیش از آنکه اجرا را اعمال کنید و آن‌ها را از کار بیندازید. بدون rua=، هیچ‌کدام از این اطلاعات هرگز به شما نمی‌رسد. افزودن آن هزینه‌اش یک ویرایش DNS است: rua=mailto:[email protected] (یا نشانی یک سرویس پایش) را به رکورد موجود اضافه کنید.

شکاف میان مرحله ۲ و ۳: منتشرشده و کور

در شش مرحله بلوغ DMARC، مرحله ۳ — مشاهده‌کردن — زمانی آغاز می‌شود که DMARC منتشر شده و گزارش‌های تجمیعی در جریان باشند. رکوردی بدون rua= واجد شرایط نیست. آن در شکاف میان مرحله ۲ و ۳ قرار می‌گیرد — منتشرشده و کور — جایی که مدل عمداً آن را بدون شماره مخصوص به خود رها کرده است.

این اهمیت دارد زیرا هر مرحله پس از آن به گزارش‌ها وابسته است. شما نمی‌توانید فرستندگان خود را (مرحله ۴) از گزارش‌هایی که هرگز دریافت نمی‌کنید شناسایی کنید؛ نمی‌توانید بدون دانستن فرستندگان خود با ایمنی اجرا را اعمال کنید (مرحله ۵). یک رکورد کور گامی ابتدایی در این سفر نیست — بلکه یک توقفگاه درست کنار آن است. و سرشماری نشان می‌دهد که بیشتر دارندگان رکورد در آنجا یا نزدیک آن پارک کرده‌اند: 57.5٪ از همه رکوردهای DMARC هرگز به اجرا نمی‌رسند.

بدتر از بی‌فایده، چون حس پیشرفت می‌دهد

یک رکورد DMARC غایب دست‌کم مثل چیزی که هست به نظر می‌رسد: یک شکاف. یک رکورد کور مثل یک تیک به نظر می‌رسد. کسی یک چک‌لیست انطباق، یا یک راهنمای تحویل‌پذیری، یا یک اصلاح تک‌خطی از یک فروشنده را اجرا کرده — v=DMARC1; p=none را منتشر کرده — و اسکنر سبز شده است. اکنون آن سازمان حس می‌کند که از سازمانی که اصلاً رکوردی ندارد جلوتر است، در حالی که از نظر کارکردی در همان جای قبلی است: بدون دید، بدون اجرا، بدون مسیری به هیچ‌کدام.

پیامد آن آرام و انباشتی است. رکوردهای کور با صدای بلند شکست نمی‌خورند؛ آن‌ها فقط هرگز شواهدی را که حرکت بعدی را توجیه می‌کند تولید نمی‌کنند. سال‌ها بعد رکورد هنوز p=none می‌گوید، هیچ‌کس نمی‌تواند بگوید کدام فرستندگان مشروع هستند، و اجرا کردن پرخطرتر از همیشه به نظر می‌رسد — دقیقاً به این دلیل که هرگز هیچ گزارشی جمع‌آوری نشده است.

سرشماری چه چیزی می‌تواند بگوید و چه چیزی نمی‌تواند

از آنجا که حضور rua= در سراسر همه 65 میلیون رکورد اندازه‌گیری می‌شود — نه به‌صورت جدول متقاطع به ازای هر سیاست — تعداد دقیق رکوردهای p=none که کور نیز هستند از این حاشیه‌ها قابل‌استخراج نیست. با این حال کران‌ها همچنان تکان‌دهنده‌اند. 37 میلیون رکورد (57.4٪ از دارندگان رکورد) در p=none قرار دارند؛ تنها 23 میلیون رکورد در کل سرشماری گزارش درخواست می‌کنند. پس حداکثر 23 میلیون از آن رکوردهای p=none می‌توانند در حال دریافت گزارش باشند — و دست‌کم 14 میلیون از آن‌ها قطعاً چنین نیستند، حتی اگر هر نشانی گزارش‌دهی در سرشماری متعلق به یک دامنه p=none می‌بود. هر طور که همپوشانی در واقع رخ دهد، میلیون‌ها دامنه در «حالت پایش» نشسته‌اند در حالی که پایشگر از برق کشیده شده است.

اصلاح تک‌ویرایشی

اگر رکورد DMARC شما هیچ برچسب rua= ندارد، اصلاح آن یک تغییر واحد در DNS است و در هر سطح سیاستی ایمن است:

  1. یک مقصد گزارش‌دهی انتخاب کنید — یک صندوق پستی که واقعاً آن را پردازش می‌کنید، یا یک سرویس پایش DMARC رایگان/پولی که XML را به چیزی خوانا تبدیل می‌کند.
  2. آن را به رکورد اضافه کنید: v=DMARC1; p=none; rua=mailto:[email protected]. اگر مقصد یک دامنه متفاوت باشد، آن دامنه باید دریافت گزارش‌های شما را مجاز کند (یک رکورد DNS اضافی کوچک در سمت آن).
  3. چند روز صبر کنید، سپس بخوانید. گزارش‌ها روزانه از دریافت‌کنندگان اصلی می‌رسند. آنچه نشان می‌دهند — هر منبعی که به‌عنوان دامنه شما ارسال می‌کند — نقشه بقیه این سفر است.

آنگاه رکورد از یک مبل بودن دست می‌کشد و به یک ابزار سنجش تبدیل می‌شود. (DMARC را اصلاح کنید ←.)

پرسش‌های پرتکرار

گزارش rua در DMARC چیست؟ یک گزارش XML تجمیعی که دریافت‌کنندگان ایمیل مشارکت‌کننده (معمولاً روزانه) به نشانی موجود در برچسب rua= رکورد شما می‌فرستند و خلاصه می‌کند که کدام منابع به‌عنوان دامنه شما ایمیل ارسال کرده‌اند و آیا هم‌ترازی SPF و DKIM را پشت سر گذاشته‌اند. این گزارش هیچ محتوای پیامی ندارد — تنها زیرساخت فرستنده و شمارش‌های موفق/ناموفق.

آیا DMARC بدون rua بی‌ارزش است؟ بی‌ارزش نیست — یک سیاست اجرایی بدون آن هم همچنان جعل هویت را مسدود می‌کند. اما در p=none، رکوردی بدون rua= هیچ چیزی را مسدود نمی‌کند و هیچ چیزی را به شما نشان نمی‌دهد — تنها کار باقی‌مانده‌اش زدن تیکِ خانه حداقل‌الزامات ارائه‌دهندگان صندوق پستی است. و حتی دامنه‌های اجرایی بدون گزارش‌دهی، تشخیص انحرافی را از دست می‌دهند که با ظاهر شدن فرستندگان جدید، اجرا را ایمن نگه می‌دارد. p=none محافظت نیست به هر حال — بدون گزارش‌ها حتی آماده‌سازی هم نیست.

آیا rua= می‌تواند به هر صندوق پستی اشاره کند؟ بله، از جمله یکی روی دامنه‌ای متفاوت — بیشتر سرویس‌های پایش دقیقاً به همین شکل کار می‌کنند. دامنه دریافت‌کننده یک رکورد تأیید کوچک منتشر می‌کند که گزارش‌های شما را مجاز می‌کند. آنچه اهمیت دارد این است که چیزی واقعاً XML را پردازش کند؛ یک صندوق پستی که هیچ‌کس آن را نمی‌خواند، کوری با گام‌های اضافی است.

آیا گزارش‌های تجمیعی داده‌های خصوصی را افشا می‌کنند؟ خیر. گزارش‌های تجمیعی rua آمار منبع ارسال و احراز هویت را حمل می‌کنند، نه بدنه پیام‌ها یا فهرست گیرندگان. (گزارش‌های شکست جداگانه ruf= می‌توانند شامل قطعاتی از پیام باشند، به همین دلیل بسیاری از دریافت‌کنندگان دیگر آن‌ها را نمی‌فرستند — rua همان چیزی است که اهمیت دارد.)

بررسی کنید که آیا رکورد شما در حال دیده‌بانی است

یک رکورد DMARC که هیچ گزارشی درخواست نمی‌کند، یکی از آسان‌ترین یافته‌ها برای اصلاح در کل این سفر است — یک ویرایش DNS، کور را به مشاهده‌کردن تبدیل می‌کند. می‌توانید به‌صورت خصوصی و رایگان بررسی کنید و ببینید کدام‌یک از ۳۴ بررسی را پشت سر می‌گذارید و چگونه آن‌هایی را که نمی‌گذرانید اصلاح کنید.

دامنه خود را بررسی کنید ← · شش مرحله بلوغ DMARC ← · ستون DMARC ← · فقط داده‌های تجمیعی. داده‌ها در اتحادیه اروپا ذخیره و پردازش می‌شوند.