Defaults.Exposed

Defaults.Exposed › گزارش‌ها

شش مرحله بلوغ DMARC

منتشرشده 2026-07-03 · به‌روزرسانی‌شده 2026-07-03

ارقام به تاریخ 2026-06-29 · متدولوژی نسخه ۷. این یک مدل مرجع است که با یک سرشماری تکرارشونده پشتیبانی می‌شود؛ هر نسخه همان جامعه را دوباره اندازه‌گیری می‌کند تا اعداد در طول زمان قابل ردیابی باشند. تمام ارقام تجمیعی هستند — ما هرگز نمره یک کسب‌وکار جداگانه را منتشر نمی‌کنیم.

منتشر کردن DMARC با محافظت‌شده بودن یکی نیست

در میان 261 میلیون دامنه اندازه‌گیری‌شده، 24.89٪ یک رکورد DMARC منتشر می‌کنند — اما تنها 10.59٪ آن را اعمال می‌کنند. به بیان دیگر: از حدود 65 میلیون دامنه‌ای که سفر DMARC را آغاز کردند، 57.5٪ هرگز به بخشی که چیزی را مسدود می‌کند نرسیدند. آن‌ها یک رکورد منتشر کردند، گزارش‌دهی را به جایی هدایت کردند و متوقف شدند. مطالعات مستقل کوچک‌تر همین الگو را می‌یابند — یک گزارش صنعتی در سال ۲۰۲۶ این رقم را حدود ۹٪ اعمال‌کننده در میان حدود ۹۳۸٬۰۰۰ دامنه‌ای که بررسی کرد برآورد کرد.

پذیرش دیگر مشکل نیست. محافظت مشکل است. و دامنه‌ها به یک دلیل ساختاری متوقف می‌شوند: نقشه‌هایی که همه از آن‌ها استفاده می‌کنند در نیمه راه می‌ایستند. آن‌ها خیلی زود پایان می‌یابند و هیچ‌کدام‌شان به سخت‌ترین گام نامی مخصوص به خود نمی‌دهند.

جایی که نقشه‌های موجود در نیمه راه می‌ایستند

مدل‌هایی که صنعت با آن‌ها مسیریابی می‌کند برای دوران خود درست بودند و شایسته یک قرائت منصفانه هستند:

هر سه این محدودیت مشترک، دو محدودیت دارند. اول، آن‌ها در p=reject می‌ایستند — گویی اعمال، خط پایان بود. اما نیست: خود استاندارد پیش رفته است (DMARCbis — RFC 9989، 9990 و 9991 — در ماه مه ۲۰۲۶ منتشر شد و جایگزین RFC 7489 اصلی شد) و اعمال هیچ کاری برای امنیت انتقال یا اعتماد به برند انجام نمی‌دهد. دوم — و این همان چیزی است که واقعاً دامنه‌ها را به گِل می‌نشاند — هیچ‌کدام‌شان «حساب هر فرستنده رسیدگی‌شده» را به یک مرحله نام‌گذاری‌شده تبدیل نمی‌کنند. برای انصاف، راهنماهای استقرار به این کار اشاره می‌کنند: مدل dmarcian شناسایی منبع را به‌عنوان یک وظیفه درون فاز نظارت خود گنجانده است. اما وظیفه‌ای که درون یک فاز مدفون شده دقیقاً همان‌طور برخورد می‌شود — به‌عنوان بخشی از «نظارت» به‌جای دستاورد جداگانه‌ای که هست. تماشای رسیدن گزارش‌ها احساس پیشرفت می‌دهد. اما هنوز نیست. بزرگ‌ترین دلیلِ واحدِ ماندنِ دامنه‌ها روی p=none برای سال‌ها این است که آن‌ها می‌توانند نامه خود را ببینند اما آن را حساب و رسیدگی نکرده‌اند — بنابراین جرأت نمی‌کنند اعمال کنند، از ترس شکستن چیزی واقعی.

یک مدل مفید باید به آن گام نامی مخصوص و معیارهای خروجی مخصوص به خود بدهد. این مدل چنین می‌کند. ما آن را مدل بلوغ پذیرش DMARC — DAMM می‌نامیم: شش مرحله، هر کدام یک حرکت، و نامی که بتوانید به آن ارجاع دهید.

مدل

شش مرحله بلوغ DMARC — از محافظت‌نشده تا مقاوم‌سازی‌شده، با دیوار میان مشاهده‌کننده و دید

مرحله ۱ — محافظت‌نشده. هیچ رکورد DMARC وجود ندارد — یا SPF و DKIM زیر آن ناقص هستند. هر کسی می‌تواند ایمیل به‌عنوان دامنه شما ارسال کند و هیچ‌جا هیچ چیزی بررسی نمی‌کند. حرکت: SPF و DKIM را برای نامه اصلی خود پیکربندی کنید و تأیید کنید که احراز هویت و همسویی دارند. DMARC بر هر دو بنا شده است؛ نمی‌توانید از این کف بگذرید.

مرحله ۲ — احراز هویت‌شده. SPF و DKIM برای جریان نامه اصلی شما درست هستند و همسویی دارند. نامه مشروع شما منشأ خود را اثبات می‌کند — اما هیچ چیزی به صندوق‌های ورودی جهان نمی‌گوید با نامه‌ای که چنین نیست چه کنند. حرکت: یک رکورد DMARC در p=none با یک نشانی گزارش‌دهی rua= منتشر کنید.

مرحله ۳ — مشاهده‌کننده. DMARC منتشر شده، گزارش‌های تجمیعی در جریان هستند، و برای نخستین بار می‌توانید ببینید چه کسی به‌عنوان دامنه شما ارسال می‌کند. هیچ چیزی مسدود نشده است. بیشتر ابزارها این مرحله را «دید» می‌نامند — ما عمداً چنین نمی‌کنیم، زیرا دیدن گزارش‌ها و درک آن‌ها دو دستاورد متفاوت هستند. حرکت: هر منبع مشروعی را که به‌عنوان دامنه شما ارسال می‌کند شناسایی کنید و هر کدام را همسو کنید.

مرحله ۴ — دید. هر فرستنده مشروع شناسایی و همسو شده است — پلتفرم خبرنامه، سامانه صدور فاکتور، CRM، و آن چیزی که واحد بازاریابی بهار گذشته برایش ثبت‌نام کرد. شما نامه خود را می‌شناسید. اگر اعمال کنید هیچ چیز مشروعی نخواهد شکست. این همان مرحله‌ای است که نقشه‌های قدیمی از آن می‌گذرند، و دیواری که بیشتر دامنه‌ها هرگز از آن بالا نمی‌روند. حرکت: سیاست را بالا ببرید — p=none → p=quarantine (حالت آزمایشی t=y در DMARCbis اینجا کمک می‌کند) → p=reject.

مرحله ۵ — اعمال‌شده. p=quarantine یا p=reject فعال است، با زیردامنه‌ها که با یک سیاست صریح sp= پوشش داده شده‌اند. نامه‌ای که احراز هویت را رد می‌کند اکنون واقعاً در گیرنده‌های شرکت‌کننده — که شامل هر ارائه‌دهنده بزرگ صندوق پستی می‌شود — قرنطینه یا رد می‌شود — بنابراین جعل مستقیم دامنه دقیق شما دیگر جایی که DMARC بررسی می‌شود فرود نمی‌آید. حرکت: لایه مقاوم‌سازی را اضافه کنید — پوشش np= و پیمایش درختی DMARCbis، MTA-STS و TLS-RPT برای انتقال، BIMI اگر نمایش برند برای شما اهمیت دارد.

مرحله ۶ — مقاوم‌سازی‌شده و پایدار. اعمال به‌علاوه پشته مدرن: پوشش زیردامنه ناموجود (np=) از DMARCbis، MTA-STS و TLS-RPT که نامه را در حین انتقال ایمن می‌کنند، BIMI جایی که ارزشش را دارد — و، به‌طور حیاتی، نظارت مداوم بر انحراف و فرستنده‌های جدید. این یک نشان افتخار نیست؛ یک انضباط است. فرستنده‌های جدید ظاهر می‌شوند، ارائه‌دهندگان IP خود را تغییر می‌دهند، پیکربندی‌ها می‌پوسند. حرکت: همین‌جا بمانید.

مسیر بدون نامه. با اندازه‌گیری در سراسر کل موجودی دامنه — شامل دامنه‌های مرده — 51.5٪ از دامنه‌ها اصلاً هیچ سرویس نامه‌ای اجرا نمی‌کنند، و برای آن‌ها سفر به یک گام فرو می‌ریزد. دامنه‌ای که هرگز ارسال نمی‌کند باید بلافاصله SPF -all و DMARC p=reject منتشر کند: هیچ نامه مشروعی برای محافظت وجود ندارد، بنابراین چیزی برای مشاهده نیست و دیواری برای بالا رفتن نیست. دامنه‌های پارک‌شده و برند خفته با یک تغییر واحد DNS مستقیماً به مرحله اعمال‌شده می‌روند — و این کار یکی از رایج‌ترین بردارهای جعل هویت موجود را مسدود می‌کند.

دیوار: مرحله ۳ ← ۴

هر انتقال دیگری در این مدل یک تغییر DNS است. این یکی کار تحقیقاتی است — و جایی است که ماه‌ها می‌میرند.

رسیدن از مشاهده‌کننده به دید یعنی نسبت دادن هر منبع ارسالی در گزارش‌های شما به یک سامانه واقعی: کدام ESP، کدام CRM، رله نامه کدام دفتر منطقه‌ای، کدام ابزار SaaS که کسی در سال ۲۰۲۳ متصل کرد و فراموش کرد. یعنی یافتن فرستنده‌های shadow-IT که هیچ‌کس مستند نکرده است. یعنی درست کردن همسویی، ESP به ESP، زیرا هر پلتفرم روش خاص خود را برای احراز هویت از طرف شما دارد — برخی از آن‌ها به‌طور پیش‌فرض نادرست.

پریدن از روی دیوار همان چیزی است که به DMARC شهرت ترسناکش را داد. از مشاهده‌کننده اعمال کنید — بدون دید — و حتماً چیزی واقعی را مسدود خواهید کرد: یک اجرای صدور فاکتور، یک جریان بازنشانی رمز عبور، خبرنامه مدیرعامل. سپس بازگشت هراسان به p=none می‌آید، بررسی پس از حادثه داخلی، و درسی که همه به‌اشتباه می‌آموزند: «ما DMARC را امتحان کردیم و ایمیل را شکست.» بیشتر داستان‌های وحشت DMARC دقیقاً همین است — اعمال که یک مرحله زودتر تلاش شده. دیوار دلیلی برای ماندن در مرحله ۳ نیست. دلیلِ وجود مرحله ۴ است.

این همچنین مرحله‌ای است که مالکان اغلب کمک می‌گیرند — یک ارائه‌دهنده IT یا یک سرویس نظارت DMARC می‌تواند کار شناسایی فرستنده را انجام دهد؛ به هر حال مراحل همان باقی می‌مانند.

بخشی که همه فراموش می‌کنند: مرحله ۵ ← ۶

رسیدن به p=reject جعل مستقیم دامنه شما را در خط From: نزد گیرنده‌هایی که آن را بررسی می‌کنند متوقف می‌کند. این لازم است — و کافی نیست. همچنین ارزش دارد نام ببریم که اعمال هرگز چه چیزی را پوشش نداد: دامنه‌های شبیه‌سازی‌شده (yourc0mpany.com) و جعل هویت نام نمایشی کاملاً خارج از دسترس DMARC قرار دارند، بنابراین اعمال درِ دامنه دقیق را می‌بندد و درهای همسایه را به هوشیاری و کنترل‌های دیگر واگذار می‌کند.

اعمال هیچ کاری برای انتقال انجام نمی‌دهد: بدون MTA-STS و TLS-RPT، نامه به دامنه شما همچنان می‌تواند در حین انتقال تنزل داده یا رهگیری شود. هیچ کاری برای شناسایی برند انجام نمی‌دهد: BIMI — لوگوی شما، نمایش‌داده‌شده در صندوق ورودی — یک سیگنال اعتماد است، نه یک کنترل امنیتی، و صادقانه است که آن را همان‌گونه در نظر بگیریم (همچنین نیازمند یک گواهی پولی است، به همین دلیل آخر قرار می‌گیرد، نه اول). و p=reject ساده مقدم بر DMARCbis است: برچسب np= و پیمایش درختی RFCهای جدید، شکاف زیردامنه ناموجود را که استقرارهای قدیمی‌تر باز می‌گذارند، می‌بندند.

دامنه‌ای در p=reject بدون هیچ‌یک از موارد بالا در برابر رایج‌ترین حمله محافظت‌شده و برای بقیه آماده نیست. این یک تمایز واقعی است و شایسته مرحله مخصوص به خود است.

مرحله شما قابل اندازه‌گیری است

این مدل صرفاً یک نمودار نیست — مرحله یک دامنه قابل محاسبه است، و همین است که آن را از پوستری روی دیوار متمایز می‌کند.

مراحل ۳ تا ۶ را می‌توان از داده‌های گزارش‌دهی DMARC خودِ دامنه به‌علاوه رکوردهای منتشرشده‌اش استخراج کرد: چه سیاستی فعال است، آیا گزارش‌ها جریان دارند، و آیا هر فرستنده مشاهده‌شده همسوست. مراحل ۱ و ۲ با یک بررسی زنده DNS ارزیابی می‌شوند، چون هنوز هیچ گزارشی وجود ندارد. یک محدودیت صادقانه در هر جهت: مرحله ۴ با شواهد در طول زمان تأیید می‌شود — «هر فرستنده مشاهده‌شده در طول روزهای گزارش‌دهی کافی همسوست» یک شاخص جایگزین قوی است، اما هیچ گزارشی نمی‌تواند فرستنده‌ای را که هنوز متصل نکرده‌اید فاش کند. و لایه مقاوم‌سازی مرحله ۶ — MTA-STS، TLS-RPT، BIMI — در گزارش‌های DMARC نامرئی است؛ دیدنش نیازمند یک بررسی DNS است. یک دامنه می‌تواند از گزارش‌هایش «تمام‌شده» به‌نظر برسد و همچنان یک شکاف پنهان مرحله ۵ ← ۶ داشته باشد. این مدلی است که تحلیل گزارش‌دهی خودِ ما در برابر آن اندازه‌گیری می‌کند، همراه با تمام موانع.

یک مثال کارشده

یک شرکت متوسط، Microsoft 365 را پشت یک دروازه فیلترینگ نامه اجرا می‌کند. SPF با -all پایان می‌یابد، DKIM پیکربندی شده، DMARC در p=none منتشر شده، و گزارش‌ها به یک ابزار نظارتی جریان دارند. روی نقشه‌های قدیمی این تقریباً تمام‌شده به‌نظر می‌رسد. روی این نقشه، این مرحله ۳ — مشاهده‌کننده است: راه‌اندازی دشوار کامل شده، و دامنه دقیقاً پشت دیوار متوقف شده است — مرئی، نه محافظت‌شده. باارزش‌ترین حرکت، ۳ ← ۴ ← ۵ است: تأیید کنید که فرستنده‌های مشروع (که احتمالاً اندک هستند) همگی همسو هستند، سپس سیاست را در مراحل بالا ببرید. برای دامنه‌ای در این شکل، این معمولاً هفته‌ها توجه است، نه ماه‌ها — دیوار برای کسانی که هرگز آن را نقشه نمی‌کنند بلندترین است.

مرحله خود را بیابید

پرسشی که باید بازنشسته شود «آیا ما DMARC داریم؟» است — 24.89٪ از دامنه‌ها می‌توانند بله بگویند در حالی که 57.5٪ از آن‌ها همچنان قابل جعل باقی می‌مانند. پرسش بهتر این است: «ما در چه مرحله‌ای هستیم، و آن یک حرکت به مرحله بعدی چیست؟» هر دامنه‌ای در اینترنت امروز دقیقاً در یکی از این شش مرحله است. دانستن اینکه کدام‌یک، یک اضطراب را به یک فهرست کارها تبدیل می‌کند.

جایگاه اینترنت در سراسر شش مرحله — بیشتر دامنه‌ها اصلاً هیچ رکورد DMARC ندارند؛ بیشتر آن‌هایی که دارند پیش از اعمال گیر کرده‌اند

پرسش‌های پرتکرار

DAMM چیست؟ مدل بلوغ پذیرش DMARC — مدل شش‌مرحله‌ای این صفحه: محافظت‌نشده، احراز هویت‌شده، مشاهده‌کننده، دید، اعمال‌شده، مقاوم‌سازی‌شده. مرحله یک دامنه از DNS و داده‌های گزارش‌دهی DMARC آن قابل اندازه‌گیری است، و همین است که آن را از پوستری روی دیوار متمایز می‌کند.

پس آیا منتشر کردن p=none بی‌ارزش است؟ نه — این مرحله ۳ است، و مرحله ۳ باربر است: گزارش‌دهی همان راهی است که با آن هر فرستنده را پیش از اعمال می‌یابید. تنها زمانی مشکل‌ساز می‌شود که به‌عنوان مقصد تلقی شود. ببینید چرا p=none محافظت نیست.

آیا می‌توانم مستقیماً به p=reject بپرم؟ اگر دامنه شما هیچ نامه‌ای ارسال نمی‌کند — بله، همین امروز، و باید این کار را بکنید. اگر نامه ارسال می‌کند — نه: اعمال بدون دید (مرحله ۴) همان راهی است که نامه مشروع می‌شکند و بازگشت‌ها رخ می‌دهند. مراحل، مسیر ایمن هستند، نه تشریفات.

آیا برای «تمام‌شدن» به BIMI نیاز دارم؟ نه. BIMI لایه نمایش برند مرحله ۶ و اختیاری‌ترین عنصر مدل است — MTA-STS، TLS-RPT و پوشش np= در DMARCbis بخش‌هایی هستند که به‌طور محسوس یک دامنه را مقاوم می‌کنند. اگر هزینه گواهی برای شما توجیه ندارد، از آن بگذرید و بقیه مرحله ۶ را نگه دارید.

SPF و DKIM کجا جای می‌گیرند؟ زیر همه چیز — آن‌ها مراحل ۱ ← ۲ هستند، و SPF بدون DMARC کمتر از آنچه بیشتر مالکان می‌پندارند محافظت می‌کند. از سال ۲۰۲۴، گیرنده‌های بزرگ نیز احراز هویت را صریحاً از فرستنده‌های انبوه الزامی کرده‌اند.

بررسی کنید دامنه خودتان کجا ایستاده است

این مراحل الگوهای جامعه هستند — دامنه شما دقیقاً در یکی از آن‌هاست، و حرکت بعدی قابل دانستن است. می‌توانید به‌طور خصوصی و رایگان بررسی کنید و ببینید کدام‌یک از ۳۴ بررسی را قبول می‌شوید و چگونه آن‌هایی را که قبول نمی‌شوید درست کنید.

دامنه خود را بررسی کنید ← · چگونه به اینترنت نمره دادیم ← · ستون DMARC ← · فقط داده‌های تجمیعی. داده‌ها در اتحادیه اروپا ذخیره و پردازش می‌شوند.