Defaults.Exposed

Defaults.Exposedرفع اشکال‌هاGuides

DMARC از p=none به p=reject بدون از دست دادن ایمیل قانونی: Rollout مرحله‌ای (۲۰۲۶)

منتشرشده 2026-07-08

ارقام تا تاریخ 2026-06-29 · روش‌شناسی نسخه ۷. داده‌های آماری انبوه از 261 میلیون دامنه درجه‌بندی‌شده. نحوه درجه‌بندی ما را ببینید.

DMARC را در چهار مرحله از p=none به p=reject منتقل کنید: ۲-۴ هفته گزارش‌های rua نظارت کنید، هر فرستنده قانونی را رفع کنید، p=quarantine را با pct افزایش دهید، سپس reject — هرگز مستقیم به reject نپرید. 70,368,600 از 261,086,232 دامنه درجه‌بندی‌شده در SPF soft بدون اجرای DMARC متوقف مانده‌اند، بر اساس سرشماری Defaults.Exposed.

این دفترچه عملیاتی است: یک جدول مراحل با معیارهای خروج، رکورد برای هر مرحله، ظرافت pct در RFC 7489 که معنای «۵۰٪» را در reject تغییر می‌دهد، و تگ sp= برای subdomainها. اگر درباره اجرا تصمیم‌گیری می‌کنید، ابتدا ۶ مرحله بلوغ DMARC را بخوانید — آن چارچوب است؛ و اگر سطوح سیاست برای شما جدید هستند، p=none، p=quarantine و p=reject واقعاً چه معنایی دارند مقدمه است. این صفحه انجام دادن است.

چرا نمی‌توانید مستقیم به p=reject بپرید؟

چون p=reject به هر گیرنده‌ای که احترام می‌گذارد می‌گوید ایمیلی را که DMARC را شکست می‌خورد برگرداند — و تا وقتی گزارش‌هایتان را نخوانده‌اید، نمی‌دانید چه چیزی شکست می‌خورد. تقریباً هر دامنه‌ای که نظارت را روشن می‌کند فرستنده‌های قانونی را کشف می‌کند که فراموش کرده: CRM، ابزار صدور فاکتور، یک فرم تماس. از روز اول به reject بروید و آن ایمیل به spam نمی‌رود؛ در زمان SMTP ناپدید می‌شود. از دست دادن یک run فاکتور به یک سازمان می‌آموزد از DMARC بترسد، و رکورد به p=none به‌صورت دائمی بازمی‌گردد — از 261,086,232 دامنه درجه‌بندی‌شده، 37,312,637 دقیقاً آنجا پارک هستند، و فقط 10.59% (27,640,987) به سیاست اجرایی می‌رسند.

دلیل دیگر هماهنگی است. DMARC فقط وقتی SPF یا DKIM پاس و با دامنه From قابل مشاهده هماهنگ باشند پاس می‌شود — SPF در برابر دامنه Return-Path (RFC5321.MailFrom)، DKIM در برابر d= امضا. فرستندگان شخص ثالث معمولاً SPF را روی دامنه خودشان پاس می‌کنند، نه شما، به همین دلیل مرحله رفع-هر-منبع بیشتر درباره فعال کردن DKIM سفارشی-دامنه هر فروشنده است — که در DMARC شکست می‌خورد اما SPF و DKIM پاس می‌شوند باز شده.

چهار مرحله rollout چیست؟

مرحلهرکورد سیاستpctاتفاقی که برای ایمیل شکست‌خورده می‌افتدمعیارهای خروج
۱. نظارتp=none; rua=mailto:…به‌طور عادی تحویل داده می‌شود؛ گزارش‌های انبوه دریافت می‌کنید۲-۴ هفته گزارش؛ هر فرستنده در آن‌ها به‌عنوان قانونی یا نه شناسایی‌شده
۲. رفع منابعp=none (بدون تغییر)هنوز به‌طور عادی تحویل داده می‌شودهر منبع قانونی DMARC هماهنگ را پاس می‌کند (DKIM سفارشی-دامنه هر فرستنده)؛ خرابی‌های باقیمانده فقط ترافیک ناشناخته/جعلی هستند
۳. افزایش تدریجی Quarantinep=quarantine۱۰ → ۲۵ → ۵۰ → ۱۰۰سهم نمونه‌برداری‌شده به پوشه‌های spam می‌رود؛ سهم نمونه‌برداری‌نشده به‌عنوان p=none تلقی می‌شود (تحویل)۱-۲ هفته در pct=100 بدون ایمیل قانونی quarantine‌شده
۴. Rejectp=reject۱۰۰در زمان SMTP برگشت زده می‌شود؛ فرستنده یک bounce می‌گیرد، گیرنده چیزی نمی‌بینددائمی — rua را برای همیشه نگه دارید تا فرستندگان جدید را شناسایی کنید

داده‌ها تا 2026-06-29؛ رفتار سیاست بر اساس RFC 7489.

مرحله ۳ جایی است که دامنه‌ها متوقف می‌شوند یا وحشت می‌کنند. spam‌فولدرشدن قابل بازیابی است — کاربران ایمیل را پیدا می‌کنند، pct را شل می‌کنید، منبع را رفع می‌کنید. رد شدن قابل بازیابی نیست، به همین دلیل اجرای quarantine در pct=100 بلیط ورود به مرحله ۴ است.

چطور rollout را مرحله به مرحله اجرا کنید؟

۱. اسکن رایگان را در defaults.exposed قبل از لمس DNS اجرا کنید. سیاست فعلی و اینکه آیا SPF و DKIM زیر آن وجود دارند — دو پایه‌ای که اجرا روی آن‌ها می‌ایستد — تأیید می‌کند. ۲. اگر نظارت را روشن نکرده‌اید، آن را روشن کنید. انتشار p=none با rua= گام پنج‌دقیقه‌ای در «سیاست DMARC فعال نیست» است. ۲-۴ هفته گزارش جمع‌آوری کنید — کافی برای شناسایی فرستندگان ماهانه مانند run های فاکتور. ۳. هر منبع در گزارش‌ها را فهرست کنید. فرستندگان را به دسته خودتان، فروشندگانتان، و ناشناخته تقسیم کنید. گزارش‌های خام به‌صورت XML می‌رسند — یک ابزار پردازش گزارش (یا dashboard ارائه‌دهنده‌تان) آن‌ها را به یک فهرست فرستنده خوانا تبدیل می‌کند. ۴. هر منبع قانونی را به حالت هماهنگ پاس کنید. DKIM سفارشی-دامنه هر فروشنده (معمولاً دو رکورد CNAME در dashboard آن‌ها) را فعال کنید تا امضاها دامنه شما را حمل کنند، نه آن‌ها. برای هماهنگی DKIM را ترجیح دهید: از forwarding جان سالم به در می‌برد، SPF نه. ۵. یک دو هفته تمیز صبر کنید. از مرحله ۲ فقط وقتی خروج کنید که خرابی‌های گزارش‌شده انحصاراً ترافیکی هستند که نمی‌شناسید — spoofingی که می‌خواهید مسدود کنید. ۶. به p=quarantine; pct=10 بروید — رکورد TXT موجود _dmarc را ویرایش کنید (مثال کار: تنظیم DMARC در IONOS)، و به نحو توجه کنید: یک typo در تگ سیاست می‌تواند رکورد را کاملاً باطل کند. pct را طی ۲-۴ هفته به ۲۵، ۵۰، ۱۰۰ افزایش دهید، گزارش‌ها و تیکت‌های helpdesk را زیر نظر دارید. چیزی قانونی در spam: pct را کاهش دهید، منبع را رفع کنید، ادامه دهید. ۷. بعد از ۱-۲ هفته تمیز در pct=100 به p=reject بروید. rua= را برای همیشه نگه دارید — هر ابزار جدیدی که شرکت شما می‌پذیرد یک فرستنده شکست‌خور آینده است.

pct واقعاً چه کاری می‌کند؟ ظرافت RFC 7489

pct از گیرندگان می‌خواهد سیاست شما را روی آن درصد از ایمیل شکست‌خورده اعمال کنند. ظرافت، از RFC 7489 §6.6.4: ایمیلی که نمونه‌برداری از آن حذف می‌شود به «تحویل عادی» برنمی‌گردد — سیاست بعدی کمتر-شدید را می‌گیرد. زیر p=quarantine; pct=25، ۷۵٪ دیگر به‌عنوان p=none تلقی می‌شود و تحویل داده می‌شود. اما زیر p=reject; pct=50، ۵۰٪ دیگر quarantine می‌شود، نه تحویل داده می‌شود. هیچ reject ملایمی وجود ندارد: در لحظه‌ای که رکورد شما می‌گوید reject، هر پیام شکست‌خورده حداقل در spam‌فولدر گیرندگان احترام‌گذار قرار می‌گیرد.

با استفاده عمدی، این یک ویژگی است — p=reject; pct=1 به‌صورت «تقریباً همه چیز را quarantine کن، کمی reject کن» رفتار می‌کند، یک on-ramp نهایی قانونی. دو هشدار: گیرندگان نمونه‌برداری را به‌طور یکسان پیاده‌سازی نمی‌کنند، پس pct را به‌عنوان یک dial تقریبی در نظر بگیرید؛ و تگ را (یا pct=100 تنظیم کنید) وقتی مرحله ۴ پایدار است حذف کنید، تا رکورد شما آنچه منظور دارید را بگوید.

چطور با subdomainها — تگ sp=؟

به‌طور پیش‌فرض، subdomainها سیاست دامنه سازمانی را به ارث می‌برند: p=reject در yourdomain.com شامل mail.yourdomain.com هم می‌شود. تگ sp= اجازه می‌دهد متفاوت باشند، در هر دو جهت مفید و خطرناک. مفید: p=quarantine; sp=reject subdomainهایی را که هرگز از آن‌ها ارسال نمی‌کنید در حالی که apex هنوز در حال افزایش است قفل می‌کند — spooferها عمداً subdomainهای دامنه‌های نظارت‌شده را هدف می‌گیرند. خطرناک: یک sp=none فراموش‌شده بی‌صدا هر subdomain را از سیاست reject که شش هفته برای آن تلاش کردید معاف می‌کند. در مرحله ۴ آن را بررسی کنید؛ اگر یک subdomain واقعاً به سیاست شل‌تری نیاز دارد، یک رکورد _dmarc روی آن subdomain منتشر کنید به‌جای شل کردن همه آن‌ها.

آیا NIS2 به این معنی است که کسب‌وکارهای اتحادیه اروپا باید این کار را انجام دهند؟

DMARC در همه جا به‌طور یکسان کار می‌کند — هیچ چیزی در این دفترچه در مرز اتحادیه اروپا تغییر نمی‌کند. آنچه تغییر می‌کند کشش انطباق است. NIS2 ماده ۲۱(۲)(j) از نهادهای در محدوده می‌خواهد ارتباطات خود را ایمن کنند، و آیین‌نامه اجرایی کمیسیون (EU) 2024/2690 الزامات فنی را برای نهادهای زیرساخت دیجیتال پوشش می‌دهد — پیوست آن (نقطه ۶.۷.۲(k)) یک برنامه اجرایی برای استقرار استانداردهای امنیت ایمیل مدرن بین‌المللی توافق‌شده، و نقطه ۶.۷.۲(l) بهترین روش‌های امنیت DNS را الزامی می‌کند. یک سیاست DMARC اجرایی، با SPF و DKIM زیر آن، کنترل قابل بررسی شناخته‌شده برای spoofing است؛ p=none آشکارا نظارت است، نه امن‌سازی. اگر مشتریان شما در محدوده هستند، پرسشنامه‌های تامین‌کننده آن‌ها به‌طور فزاینده‌ای دقیقاً این را می‌خواهند.

پرسش‌های متداول

کل rollout چقدر طول می‌کشد؟ شش تا ده هفته معمول است: ۲-۴ هفته نظارت، ۱-۳ هفته رفع منابع، ۲-۴ هفته افزایش تدریجی quarantine، سپس reject. این زمان تقویمی است، نه تلاش — بیشتر صبر کردن برای تأیید هر تغییر با گزارش‌ها. 89.41% از 261,086,232 دامنه درجه‌بندی‌شده بدون سیاست اجرایی (داده‌ها تا 2026-06-29) بیشتر در اواسط rollout نیستند؛ هرگز ساعت را شروع نکردند.

آیا می‌توانم quarantine را رد کنم و از p=reject با pct پایین استفاده کنم؟ می‌توانید — بر اساس RFC 7489 §6.6.4، p=reject; pct=10 به معنی ۱۰٪ reject‌شده و ۹۰٪ quarantine‌شده، تقریباً مرحله ۳ دیررس است. اما ابتدا p=quarantine برای استدلال آسان‌تر است، و گیرندگان در نمونه‌برداری متفاوت عمل می‌کنند. در هر صورت، مراحل ۱-۲ اجباری هستند: هیچ طعمی از اجرا در حالی که فرستندگان قانونی هنوز شکست می‌خورند امن نیست.

چطور با ایمیلی که نمی‌توانم رفع کنم — forwarderها و mailing listها؟ Forwarding SPF را طراحی‌شده می‌شکند، و برخی mailing listها محتوا را بازنویسی می‌کنند که DKIM را هم می‌شکند. DKIM هماهنگ از forwarding معمولی جان سالم به در می‌برد که بیشتر آن را مدیریت می‌کند؛ باقیمانده کوچک دلیل وجود مرحله quarantine است — ایمیل spam‌فولدرشده در حالی که ارزیابی می‌کنید قابل بازیابی است. جزئیات در ایمیل فوروارد شده SPF را شکست می‌دهد.

آیا توقف در p=quarantine کافی است؟ بیشتر ارزش را دارد، و بسیار بهتر از 37,312,637 دامنه پارک‌شده در p=none (از 261,086,232 درجه‌بندی‌شده، داده‌ها تا 2026-06-29) است — اما ایمیل‌های جعلی هنوز به پوشه‌های spam می‌رسند، که مردم آن‌ها را از آنجا بیرون می‌کشند. Reject نقطه پایان است: فقط 10.59% از دامنه‌های درجه‌بندی‌شده اصلاً اجرا می‌کنند، و تمام کردن چیزی است که ابزارها، بیمه‌گران و پرسشنامه‌ها اعتبار می‌دهند.

گزارش را برای صاحب دامنه بفرستید

اگر این rollout را برای یک مشتری یا کارفرما اجرا می‌کنید، خط پایان قابل نمایش است. اسکن رایگان را بعد از بارگذاری p=reject اجرا کنید و گزارش درجه‌بندی‌شده را بفرستید: دامنه به یک سیاست اجرایی حرکت می‌کند، با تاریخ و به زبان ساده. آن یک صفحه خط امنیت ایمیل را در تمدیدهای بیمه سایبری و پرسشنامه‌های تامین‌کننده مبتنی بر NIS2 بهتر از یک screenshot از یک panel DNS پاسخ می‌دهد — و شش هفته کار دقیق، نادیده را برای کسی که برای آن می‌پردازد مرئی می‌کند.

سیاست DMARC خود را رایگان بررسی کنید

ببینید سیاست فعلی شما چیست — و اینکه آیا SPF و DKIM می‌توانند اجرا را حمل کنند — به‌صورت خصوصی و فقط برای صاحب.

دامنه خود را بررسی کنید ← · رفع DMARC ← · «سیاست DMARC فعال نیست» — اولین گام صادقانه ← · فقط داده‌های انبوه. داده‌ها در اتحادیه اروپا ذخیره و پردازش می‌شوند.