Defaults.Exposed › گزارشها
شش مرحله بلوغ DMARC
منتشرشده 2026-07-03 · بهروزرسانیشده 2026-07-03
ارقام به تاریخ 2026-06-29 · متدولوژی نسخه ۷. این یک مدل مرجع است که با یک سرشماری تکرارشونده پشتیبانی میشود؛ هر نسخه همان جامعه را دوباره اندازهگیری میکند تا اعداد در طول زمان قابل ردیابی باشند. تمام ارقام تجمیعی هستند — ما هرگز نمره یک کسبوکار جداگانه را منتشر نمیکنیم.
منتشر کردن DMARC با محافظتشده بودن یکی نیست
در میان 261 میلیون دامنه اندازهگیریشده، 24.89٪ یک رکورد DMARC منتشر میکنند — اما تنها 10.59٪ آن را اعمال میکنند. به بیان دیگر: از حدود 65 میلیون دامنهای که سفر DMARC را آغاز کردند، 57.5٪ هرگز به بخشی که چیزی را مسدود میکند نرسیدند. آنها یک رکورد منتشر کردند، گزارشدهی را به جایی هدایت کردند و متوقف شدند. مطالعات مستقل کوچکتر همین الگو را مییابند — یک گزارش صنعتی در سال ۲۰۲۶ این رقم را حدود ۹٪ اعمالکننده در میان حدود ۹۳۸٬۰۰۰ دامنهای که بررسی کرد برآورد کرد.
پذیرش دیگر مشکل نیست. محافظت مشکل است. و دامنهها به یک دلیل ساختاری متوقف میشوند: نقشههایی که همه از آنها استفاده میکنند در نیمه راه میایستند. آنها خیلی زود پایان مییابند و هیچکدامشان به سختترین گام نامی مخصوص به خود نمیدهند.
جایی که نقشههای موجود در نیمه راه میایستند
مدلهایی که صنعت با آنها مسیریابی میکند برای دوران خود درست بودند و شایسته یک قرائت منصفانه هستند:
- مدل استقرار پنجمرحلهای که توسط dmarcian رواج یافت (بنیانگذارش همنویسنده خود DMARC بود) مسیر استقرار ← نظارت ← سختگیرانهتر کردن سیاست را طی میکند — و رسیدن به
p=rejectرا بهعنوان مقصد تلقی میکند. - پیشرفت RFC —
p=none → quarantine → reject— سه سطح اعمال است، نه یک مدل بلوغ. چیزی درباره پیشنیازها نمیگوید و چیزی درباره آنچه پس از آن میآید نمیگوید. - «بخز، راه برو، بدو» یک مدل عامیانه است: از نظر جهت درست، اما از نظر ساختاری تهی.
هر سه این محدودیت مشترک، دو محدودیت دارند. اول، آنها در p=reject میایستند — گویی اعمال، خط پایان بود. اما نیست: خود استاندارد پیش رفته است (DMARCbis — RFC 9989، 9990 و 9991 — در ماه مه ۲۰۲۶ منتشر شد و جایگزین RFC 7489 اصلی شد) و اعمال هیچ کاری برای امنیت انتقال یا اعتماد به برند انجام نمیدهد. دوم — و این همان چیزی است که واقعاً دامنهها را به گِل مینشاند — هیچکدامشان «حساب هر فرستنده رسیدگیشده» را به یک مرحله نامگذاریشده تبدیل نمیکنند. برای انصاف، راهنماهای استقرار به این کار اشاره میکنند: مدل dmarcian شناسایی منبع را بهعنوان یک وظیفه درون فاز نظارت خود گنجانده است. اما وظیفهای که درون یک فاز مدفون شده دقیقاً همانطور برخورد میشود — بهعنوان بخشی از «نظارت» بهجای دستاورد جداگانهای که هست. تماشای رسیدن گزارشها احساس پیشرفت میدهد. اما هنوز نیست. بزرگترین دلیلِ واحدِ ماندنِ دامنهها روی p=none برای سالها این است که آنها میتوانند نامه خود را ببینند اما آن را حساب و رسیدگی نکردهاند — بنابراین جرأت نمیکنند اعمال کنند، از ترس شکستن چیزی واقعی.
یک مدل مفید باید به آن گام نامی مخصوص و معیارهای خروجی مخصوص به خود بدهد. این مدل چنین میکند. ما آن را مدل بلوغ پذیرش DMARC — DAMM مینامیم: شش مرحله، هر کدام یک حرکت، و نامی که بتوانید به آن ارجاع دهید.
مدل
مرحله ۱ — محافظتنشده. هیچ رکورد DMARC وجود ندارد — یا SPF و DKIM زیر آن ناقص هستند. هر کسی میتواند ایمیل بهعنوان دامنه شما ارسال کند و هیچجا هیچ چیزی بررسی نمیکند. حرکت: SPF و DKIM را برای نامه اصلی خود پیکربندی کنید و تأیید کنید که احراز هویت و همسویی دارند. DMARC بر هر دو بنا شده است؛ نمیتوانید از این کف بگذرید.
مرحله ۲ — احراز هویتشده. SPF و DKIM برای جریان نامه اصلی شما درست هستند و همسویی دارند. نامه مشروع شما منشأ خود را اثبات میکند — اما هیچ چیزی به صندوقهای ورودی جهان نمیگوید با نامهای که چنین نیست چه کنند. حرکت: یک رکورد DMARC در p=none با یک نشانی گزارشدهی rua= منتشر کنید.
مرحله ۳ — مشاهدهکننده. DMARC منتشر شده، گزارشهای تجمیعی در جریان هستند، و برای نخستین بار میتوانید ببینید چه کسی بهعنوان دامنه شما ارسال میکند. هیچ چیزی مسدود نشده است. بیشتر ابزارها این مرحله را «دید» مینامند — ما عمداً چنین نمیکنیم، زیرا دیدن گزارشها و درک آنها دو دستاورد متفاوت هستند. حرکت: هر منبع مشروعی را که بهعنوان دامنه شما ارسال میکند شناسایی کنید و هر کدام را همسو کنید.
مرحله ۴ — دید. هر فرستنده مشروع شناسایی و همسو شده است — پلتفرم خبرنامه، سامانه صدور فاکتور، CRM، و آن چیزی که واحد بازاریابی بهار گذشته برایش ثبتنام کرد. شما نامه خود را میشناسید. اگر اعمال کنید هیچ چیز مشروعی نخواهد شکست. این همان مرحلهای است که نقشههای قدیمی از آن میگذرند، و دیواری که بیشتر دامنهها هرگز از آن بالا نمیروند. حرکت: سیاست را بالا ببرید — p=none → p=quarantine (حالت آزمایشی t=y در DMARCbis اینجا کمک میکند) → p=reject.
مرحله ۵ — اعمالشده. p=quarantine یا p=reject فعال است، با زیردامنهها که با یک سیاست صریح sp= پوشش داده شدهاند. نامهای که احراز هویت را رد میکند اکنون واقعاً در گیرندههای شرکتکننده — که شامل هر ارائهدهنده بزرگ صندوق پستی میشود — قرنطینه یا رد میشود — بنابراین جعل مستقیم دامنه دقیق شما دیگر جایی که DMARC بررسی میشود فرود نمیآید. حرکت: لایه مقاومسازی را اضافه کنید — پوشش np= و پیمایش درختی DMARCbis، MTA-STS و TLS-RPT برای انتقال، BIMI اگر نمایش برند برای شما اهمیت دارد.
مرحله ۶ — مقاومسازیشده و پایدار. اعمال بهعلاوه پشته مدرن: پوشش زیردامنه ناموجود (np=) از DMARCbis، MTA-STS و TLS-RPT که نامه را در حین انتقال ایمن میکنند، BIMI جایی که ارزشش را دارد — و، بهطور حیاتی، نظارت مداوم بر انحراف و فرستندههای جدید. این یک نشان افتخار نیست؛ یک انضباط است. فرستندههای جدید ظاهر میشوند، ارائهدهندگان IP خود را تغییر میدهند، پیکربندیها میپوسند. حرکت: همینجا بمانید.
مسیر بدون نامه. با اندازهگیری در سراسر کل موجودی دامنه — شامل دامنههای مرده — 51.5٪ از دامنهها اصلاً هیچ سرویس نامهای اجرا نمیکنند، و برای آنها سفر به یک گام فرو میریزد. دامنهای که هرگز ارسال نمیکند باید بلافاصله SPF
-allو DMARCp=rejectمنتشر کند: هیچ نامه مشروعی برای محافظت وجود ندارد، بنابراین چیزی برای مشاهده نیست و دیواری برای بالا رفتن نیست. دامنههای پارکشده و برند خفته با یک تغییر واحد DNS مستقیماً به مرحله اعمالشده میروند — و این کار یکی از رایجترین بردارهای جعل هویت موجود را مسدود میکند.
دیوار: مرحله ۳ ← ۴
هر انتقال دیگری در این مدل یک تغییر DNS است. این یکی کار تحقیقاتی است — و جایی است که ماهها میمیرند.
رسیدن از مشاهدهکننده به دید یعنی نسبت دادن هر منبع ارسالی در گزارشهای شما به یک سامانه واقعی: کدام ESP، کدام CRM، رله نامه کدام دفتر منطقهای، کدام ابزار SaaS که کسی در سال ۲۰۲۳ متصل کرد و فراموش کرد. یعنی یافتن فرستندههای shadow-IT که هیچکس مستند نکرده است. یعنی درست کردن همسویی، ESP به ESP، زیرا هر پلتفرم روش خاص خود را برای احراز هویت از طرف شما دارد — برخی از آنها بهطور پیشفرض نادرست.
پریدن از روی دیوار همان چیزی است که به DMARC شهرت ترسناکش را داد. از مشاهدهکننده اعمال کنید — بدون دید — و حتماً چیزی واقعی را مسدود خواهید کرد: یک اجرای صدور فاکتور، یک جریان بازنشانی رمز عبور، خبرنامه مدیرعامل. سپس بازگشت هراسان به p=none میآید، بررسی پس از حادثه داخلی، و درسی که همه بهاشتباه میآموزند: «ما DMARC را امتحان کردیم و ایمیل را شکست.» بیشتر داستانهای وحشت DMARC دقیقاً همین است — اعمال که یک مرحله زودتر تلاش شده. دیوار دلیلی برای ماندن در مرحله ۳ نیست. دلیلِ وجود مرحله ۴ است.
این همچنین مرحلهای است که مالکان اغلب کمک میگیرند — یک ارائهدهنده IT یا یک سرویس نظارت DMARC میتواند کار شناسایی فرستنده را انجام دهد؛ به هر حال مراحل همان باقی میمانند.
بخشی که همه فراموش میکنند: مرحله ۵ ← ۶
رسیدن به p=reject جعل مستقیم دامنه شما را در خط From: نزد گیرندههایی که آن را بررسی میکنند متوقف میکند. این لازم است — و کافی نیست. همچنین ارزش دارد نام ببریم که اعمال هرگز چه چیزی را پوشش نداد: دامنههای شبیهسازیشده (yourc0mpany.com) و جعل هویت نام نمایشی کاملاً خارج از دسترس DMARC قرار دارند، بنابراین اعمال درِ دامنه دقیق را میبندد و درهای همسایه را به هوشیاری و کنترلهای دیگر واگذار میکند.
اعمال هیچ کاری برای انتقال انجام نمیدهد: بدون MTA-STS و TLS-RPT، نامه به دامنه شما همچنان میتواند در حین انتقال تنزل داده یا رهگیری شود. هیچ کاری برای شناسایی برند انجام نمیدهد: BIMI — لوگوی شما، نمایشدادهشده در صندوق ورودی — یک سیگنال اعتماد است، نه یک کنترل امنیتی، و صادقانه است که آن را همانگونه در نظر بگیریم (همچنین نیازمند یک گواهی پولی است، به همین دلیل آخر قرار میگیرد، نه اول). و p=reject ساده مقدم بر DMARCbis است: برچسب np= و پیمایش درختی RFCهای جدید، شکاف زیردامنه ناموجود را که استقرارهای قدیمیتر باز میگذارند، میبندند.
دامنهای در p=reject بدون هیچیک از موارد بالا در برابر رایجترین حمله محافظتشده و برای بقیه آماده نیست. این یک تمایز واقعی است و شایسته مرحله مخصوص به خود است.
مرحله شما قابل اندازهگیری است
این مدل صرفاً یک نمودار نیست — مرحله یک دامنه قابل محاسبه است، و همین است که آن را از پوستری روی دیوار متمایز میکند.
مراحل ۳ تا ۶ را میتوان از دادههای گزارشدهی DMARC خودِ دامنه بهعلاوه رکوردهای منتشرشدهاش استخراج کرد: چه سیاستی فعال است، آیا گزارشها جریان دارند، و آیا هر فرستنده مشاهدهشده همسوست. مراحل ۱ و ۲ با یک بررسی زنده DNS ارزیابی میشوند، چون هنوز هیچ گزارشی وجود ندارد. یک محدودیت صادقانه در هر جهت: مرحله ۴ با شواهد در طول زمان تأیید میشود — «هر فرستنده مشاهدهشده در طول روزهای گزارشدهی کافی همسوست» یک شاخص جایگزین قوی است، اما هیچ گزارشی نمیتواند فرستندهای را که هنوز متصل نکردهاید فاش کند. و لایه مقاومسازی مرحله ۶ — MTA-STS، TLS-RPT، BIMI — در گزارشهای DMARC نامرئی است؛ دیدنش نیازمند یک بررسی DNS است. یک دامنه میتواند از گزارشهایش «تمامشده» بهنظر برسد و همچنان یک شکاف پنهان مرحله ۵ ← ۶ داشته باشد. این مدلی است که تحلیل گزارشدهی خودِ ما در برابر آن اندازهگیری میکند، همراه با تمام موانع.
یک مثال کارشده
یک شرکت متوسط، Microsoft 365 را پشت یک دروازه فیلترینگ نامه اجرا میکند. SPF با -all پایان مییابد، DKIM پیکربندی شده، DMARC در p=none منتشر شده، و گزارشها به یک ابزار نظارتی جریان دارند. روی نقشههای قدیمی این تقریباً تمامشده بهنظر میرسد. روی این نقشه، این مرحله ۳ — مشاهدهکننده است: راهاندازی دشوار کامل شده، و دامنه دقیقاً پشت دیوار متوقف شده است — مرئی، نه محافظتشده. باارزشترین حرکت، ۳ ← ۴ ← ۵ است: تأیید کنید که فرستندههای مشروع (که احتمالاً اندک هستند) همگی همسو هستند، سپس سیاست را در مراحل بالا ببرید. برای دامنهای در این شکل، این معمولاً هفتهها توجه است، نه ماهها — دیوار برای کسانی که هرگز آن را نقشه نمیکنند بلندترین است.
مرحله خود را بیابید
پرسشی که باید بازنشسته شود «آیا ما DMARC داریم؟» است — 24.89٪ از دامنهها میتوانند بله بگویند در حالی که 57.5٪ از آنها همچنان قابل جعل باقی میمانند. پرسش بهتر این است: «ما در چه مرحلهای هستیم، و آن یک حرکت به مرحله بعدی چیست؟» هر دامنهای در اینترنت امروز دقیقاً در یکی از این شش مرحله است. دانستن اینکه کدامیک، یک اضطراب را به یک فهرست کارها تبدیل میکند.
پرسشهای پرتکرار
DAMM چیست؟ مدل بلوغ پذیرش DMARC — مدل ششمرحلهای این صفحه: محافظتنشده، احراز هویتشده، مشاهدهکننده، دید، اعمالشده، مقاومسازیشده. مرحله یک دامنه از DNS و دادههای گزارشدهی DMARC آن قابل اندازهگیری است، و همین است که آن را از پوستری روی دیوار متمایز میکند.
پس آیا منتشر کردن p=none بیارزش است؟ نه — این مرحله ۳ است، و مرحله ۳ باربر است: گزارشدهی همان راهی است که با آن هر فرستنده را پیش از اعمال مییابید. تنها زمانی مشکلساز میشود که بهعنوان مقصد تلقی شود. ببینید چرا p=none محافظت نیست.
آیا میتوانم مستقیماً به p=reject بپرم؟ اگر دامنه شما هیچ نامهای ارسال نمیکند — بله، همین امروز، و باید این کار را بکنید. اگر نامه ارسال میکند — نه: اعمال بدون دید (مرحله ۴) همان راهی است که نامه مشروع میشکند و بازگشتها رخ میدهند. مراحل، مسیر ایمن هستند، نه تشریفات.
آیا برای «تمامشدن» به BIMI نیاز دارم؟ نه. BIMI لایه نمایش برند مرحله ۶ و اختیاریترین عنصر مدل است — MTA-STS، TLS-RPT و پوشش np= در DMARCbis بخشهایی هستند که بهطور محسوس یک دامنه را مقاوم میکنند. اگر هزینه گواهی برای شما توجیه ندارد، از آن بگذرید و بقیه مرحله ۶ را نگه دارید.
SPF و DKIM کجا جای میگیرند؟ زیر همه چیز — آنها مراحل ۱ ← ۲ هستند، و SPF بدون DMARC کمتر از آنچه بیشتر مالکان میپندارند محافظت میکند. از سال ۲۰۲۴، گیرندههای بزرگ نیز احراز هویت را صریحاً از فرستندههای انبوه الزامی کردهاند.
بررسی کنید دامنه خودتان کجا ایستاده است
این مراحل الگوهای جامعه هستند — دامنه شما دقیقاً در یکی از آنهاست، و حرکت بعدی قابل دانستن است. میتوانید بهطور خصوصی و رایگان بررسی کنید و ببینید کدامیک از ۳۴ بررسی را قبول میشوید و چگونه آنهایی را که قبول نمیشوید درست کنید.
دامنه خود را بررسی کنید ← · چگونه به اینترنت نمره دادیم ← · ستون DMARC ← · فقط دادههای تجمیعی. دادهها در اتحادیه اروپا ذخیره و پردازش میشوند.