Defaults.Exposed › رفع اشکالها › Guides
DMARC از p=none به p=reject بدون از دست دادن ایمیل قانونی: Rollout مرحلهای (۲۰۲۶)
منتشرشده 2026-07-08
ارقام تا تاریخ 2026-06-29 · روششناسی نسخه ۷. دادههای آماری انبوه از 261 میلیون دامنه درجهبندیشده. نحوه درجهبندی ما را ببینید.
DMARC را در چهار مرحله از p=none به p=reject منتقل کنید: ۲-۴ هفته گزارشهای rua نظارت کنید، هر فرستنده قانونی را رفع کنید، p=quarantine را با pct افزایش دهید، سپس reject — هرگز مستقیم به reject نپرید. 70,368,600 از 261,086,232 دامنه درجهبندیشده در SPF soft بدون اجرای DMARC متوقف ماندهاند، بر اساس سرشماری Defaults.Exposed.
این دفترچه عملیاتی است: یک جدول مراحل با معیارهای خروج، رکورد برای هر مرحله، ظرافت pct در RFC 7489 که معنای «۵۰٪» را در reject تغییر میدهد، و تگ sp= برای subdomainها. اگر درباره اجرا تصمیمگیری میکنید، ابتدا ۶ مرحله بلوغ DMARC را بخوانید — آن چارچوب است؛ و اگر سطوح سیاست برای شما جدید هستند، p=none، p=quarantine و p=reject واقعاً چه معنایی دارند مقدمه است. این صفحه انجام دادن است.
چرا نمیتوانید مستقیم به p=reject بپرید؟
چون p=reject به هر گیرندهای که احترام میگذارد میگوید ایمیلی را که DMARC را شکست میخورد برگرداند — و تا وقتی گزارشهایتان را نخواندهاید، نمیدانید چه چیزی شکست میخورد. تقریباً هر دامنهای که نظارت را روشن میکند فرستندههای قانونی را کشف میکند که فراموش کرده: CRM، ابزار صدور فاکتور، یک فرم تماس. از روز اول به reject بروید و آن ایمیل به spam نمیرود؛ در زمان SMTP ناپدید میشود. از دست دادن یک run فاکتور به یک سازمان میآموزد از DMARC بترسد، و رکورد به p=none بهصورت دائمی بازمیگردد — از 261,086,232 دامنه درجهبندیشده، 37,312,637 دقیقاً آنجا پارک هستند، و فقط 10.59% (27,640,987) به سیاست اجرایی میرسند.
دلیل دیگر هماهنگی است. DMARC فقط وقتی SPF یا DKIM پاس و با دامنه From قابل مشاهده هماهنگ باشند پاس میشود — SPF در برابر دامنه Return-Path (RFC5321.MailFrom)، DKIM در برابر d= امضا. فرستندگان شخص ثالث معمولاً SPF را روی دامنه خودشان پاس میکنند، نه شما، به همین دلیل مرحله رفع-هر-منبع بیشتر درباره فعال کردن DKIM سفارشی-دامنه هر فروشنده است — که در DMARC شکست میخورد اما SPF و DKIM پاس میشوند باز شده.
چهار مرحله rollout چیست؟
| مرحله | رکورد سیاست | pct | اتفاقی که برای ایمیل شکستخورده میافتد | معیارهای خروج |
|---|---|---|---|---|
| ۱. نظارت | p=none; rua=mailto:… | — | بهطور عادی تحویل داده میشود؛ گزارشهای انبوه دریافت میکنید | ۲-۴ هفته گزارش؛ هر فرستنده در آنها بهعنوان قانونی یا نه شناساییشده |
| ۲. رفع منابع | p=none (بدون تغییر) | — | هنوز بهطور عادی تحویل داده میشود | هر منبع قانونی DMARC هماهنگ را پاس میکند (DKIM سفارشی-دامنه هر فرستنده)؛ خرابیهای باقیمانده فقط ترافیک ناشناخته/جعلی هستند |
| ۳. افزایش تدریجی Quarantine | p=quarantine | ۱۰ → ۲۵ → ۵۰ → ۱۰۰ | سهم نمونهبرداریشده به پوشههای spam میرود؛ سهم نمونهبردارینشده بهعنوان p=none تلقی میشود (تحویل) | ۱-۲ هفته در pct=100 بدون ایمیل قانونی quarantineشده |
| ۴. Reject | p=reject | ۱۰۰ | در زمان SMTP برگشت زده میشود؛ فرستنده یک bounce میگیرد، گیرنده چیزی نمیبیند | دائمی — rua را برای همیشه نگه دارید تا فرستندگان جدید را شناسایی کنید |
دادهها تا 2026-06-29؛ رفتار سیاست بر اساس RFC 7489.
مرحله ۳ جایی است که دامنهها متوقف میشوند یا وحشت میکنند. spamفولدرشدن قابل بازیابی است — کاربران ایمیل را پیدا میکنند، pct را شل میکنید، منبع را رفع میکنید. رد شدن قابل بازیابی نیست، به همین دلیل اجرای quarantine در pct=100 بلیط ورود به مرحله ۴ است.
چطور rollout را مرحله به مرحله اجرا کنید؟
۱. اسکن رایگان را در defaults.exposed قبل از لمس DNS اجرا کنید. سیاست فعلی و اینکه آیا SPF و DKIM زیر آن وجود دارند — دو پایهای که اجرا روی آنها میایستد — تأیید میکند.
۲. اگر نظارت را روشن نکردهاید، آن را روشن کنید. انتشار p=none با rua= گام پنجدقیقهای در «سیاست DMARC فعال نیست» است. ۲-۴ هفته گزارش جمعآوری کنید — کافی برای شناسایی فرستندگان ماهانه مانند run های فاکتور.
۳. هر منبع در گزارشها را فهرست کنید. فرستندگان را به دسته خودتان، فروشندگانتان، و ناشناخته تقسیم کنید. گزارشهای خام بهصورت XML میرسند — یک ابزار پردازش گزارش (یا dashboard ارائهدهندهتان) آنها را به یک فهرست فرستنده خوانا تبدیل میکند.
۴. هر منبع قانونی را به حالت هماهنگ پاس کنید. DKIM سفارشی-دامنه هر فروشنده (معمولاً دو رکورد CNAME در dashboard آنها) را فعال کنید تا امضاها دامنه شما را حمل کنند، نه آنها. برای هماهنگی DKIM را ترجیح دهید: از forwarding جان سالم به در میبرد، SPF نه.
۵. یک دو هفته تمیز صبر کنید. از مرحله ۲ فقط وقتی خروج کنید که خرابیهای گزارششده انحصاراً ترافیکی هستند که نمیشناسید — spoofingی که میخواهید مسدود کنید.
۶. به p=quarantine; pct=10 بروید — رکورد TXT موجود _dmarc را ویرایش کنید (مثال کار: تنظیم DMARC در IONOS)، و به نحو توجه کنید: یک typo در تگ سیاست میتواند رکورد را کاملاً باطل کند. pct را طی ۲-۴ هفته به ۲۵، ۵۰، ۱۰۰ افزایش دهید، گزارشها و تیکتهای helpdesk را زیر نظر دارید. چیزی قانونی در spam: pct را کاهش دهید، منبع را رفع کنید، ادامه دهید.
۷. بعد از ۱-۲ هفته تمیز در pct=100 به p=reject بروید. rua= را برای همیشه نگه دارید — هر ابزار جدیدی که شرکت شما میپذیرد یک فرستنده شکستخور آینده است.
pct واقعاً چه کاری میکند؟ ظرافت RFC 7489
pct از گیرندگان میخواهد سیاست شما را روی آن درصد از ایمیل شکستخورده اعمال کنند. ظرافت، از RFC 7489 §6.6.4: ایمیلی که نمونهبرداری از آن حذف میشود به «تحویل عادی» برنمیگردد — سیاست بعدی کمتر-شدید را میگیرد. زیر p=quarantine; pct=25، ۷۵٪ دیگر بهعنوان p=none تلقی میشود و تحویل داده میشود. اما زیر p=reject; pct=50، ۵۰٪ دیگر quarantine میشود، نه تحویل داده میشود. هیچ reject ملایمی وجود ندارد: در لحظهای که رکورد شما میگوید reject، هر پیام شکستخورده حداقل در spamفولدر گیرندگان احترامگذار قرار میگیرد.
با استفاده عمدی، این یک ویژگی است — p=reject; pct=1 بهصورت «تقریباً همه چیز را quarantine کن، کمی reject کن» رفتار میکند، یک on-ramp نهایی قانونی. دو هشدار: گیرندگان نمونهبرداری را بهطور یکسان پیادهسازی نمیکنند، پس pct را بهعنوان یک dial تقریبی در نظر بگیرید؛ و تگ را (یا pct=100 تنظیم کنید) وقتی مرحله ۴ پایدار است حذف کنید، تا رکورد شما آنچه منظور دارید را بگوید.
چطور با subdomainها — تگ sp=؟
بهطور پیشفرض، subdomainها سیاست دامنه سازمانی را به ارث میبرند: p=reject در yourdomain.com شامل mail.yourdomain.com هم میشود. تگ sp= اجازه میدهد متفاوت باشند، در هر دو جهت مفید و خطرناک. مفید: p=quarantine; sp=reject subdomainهایی را که هرگز از آنها ارسال نمیکنید در حالی که apex هنوز در حال افزایش است قفل میکند — spooferها عمداً subdomainهای دامنههای نظارتشده را هدف میگیرند. خطرناک: یک sp=none فراموششده بیصدا هر subdomain را از سیاست reject که شش هفته برای آن تلاش کردید معاف میکند. در مرحله ۴ آن را بررسی کنید؛ اگر یک subdomain واقعاً به سیاست شلتری نیاز دارد، یک رکورد _dmarc روی آن subdomain منتشر کنید بهجای شل کردن همه آنها.
آیا NIS2 به این معنی است که کسبوکارهای اتحادیه اروپا باید این کار را انجام دهند؟
DMARC در همه جا بهطور یکسان کار میکند — هیچ چیزی در این دفترچه در مرز اتحادیه اروپا تغییر نمیکند. آنچه تغییر میکند کشش انطباق است. NIS2 ماده ۲۱(۲)(j) از نهادهای در محدوده میخواهد ارتباطات خود را ایمن کنند، و آییننامه اجرایی کمیسیون (EU) 2024/2690 الزامات فنی را برای نهادهای زیرساخت دیجیتال پوشش میدهد — پیوست آن (نقطه ۶.۷.۲(k)) یک برنامه اجرایی برای استقرار استانداردهای امنیت ایمیل مدرن بینالمللی توافقشده، و نقطه ۶.۷.۲(l) بهترین روشهای امنیت DNS را الزامی میکند. یک سیاست DMARC اجرایی، با SPF و DKIM زیر آن، کنترل قابل بررسی شناختهشده برای spoofing است؛ p=none آشکارا نظارت است، نه امنسازی. اگر مشتریان شما در محدوده هستند، پرسشنامههای تامینکننده آنها بهطور فزایندهای دقیقاً این را میخواهند.
پرسشهای متداول
کل rollout چقدر طول میکشد؟ شش تا ده هفته معمول است: ۲-۴ هفته نظارت، ۱-۳ هفته رفع منابع، ۲-۴ هفته افزایش تدریجی quarantine، سپس reject. این زمان تقویمی است، نه تلاش — بیشتر صبر کردن برای تأیید هر تغییر با گزارشها. 89.41% از 261,086,232 دامنه درجهبندیشده بدون سیاست اجرایی (دادهها تا 2026-06-29) بیشتر در اواسط rollout نیستند؛ هرگز ساعت را شروع نکردند.
آیا میتوانم quarantine را رد کنم و از p=reject با pct پایین استفاده کنم؟
میتوانید — بر اساس RFC 7489 §6.6.4، p=reject; pct=10 به معنی ۱۰٪ rejectشده و ۹۰٪ quarantineشده، تقریباً مرحله ۳ دیررس است. اما ابتدا p=quarantine برای استدلال آسانتر است، و گیرندگان در نمونهبرداری متفاوت عمل میکنند. در هر صورت، مراحل ۱-۲ اجباری هستند: هیچ طعمی از اجرا در حالی که فرستندگان قانونی هنوز شکست میخورند امن نیست.
چطور با ایمیلی که نمیتوانم رفع کنم — forwarderها و mailing listها؟ Forwarding SPF را طراحیشده میشکند، و برخی mailing listها محتوا را بازنویسی میکنند که DKIM را هم میشکند. DKIM هماهنگ از forwarding معمولی جان سالم به در میبرد که بیشتر آن را مدیریت میکند؛ باقیمانده کوچک دلیل وجود مرحله quarantine است — ایمیل spamفولدرشده در حالی که ارزیابی میکنید قابل بازیابی است. جزئیات در ایمیل فوروارد شده SPF را شکست میدهد.
آیا توقف در p=quarantine کافی است؟
بیشتر ارزش را دارد، و بسیار بهتر از 37,312,637 دامنه پارکشده در p=none (از 261,086,232 درجهبندیشده، دادهها تا 2026-06-29) است — اما ایمیلهای جعلی هنوز به پوشههای spam میرسند، که مردم آنها را از آنجا بیرون میکشند. Reject نقطه پایان است: فقط 10.59% از دامنههای درجهبندیشده اصلاً اجرا میکنند، و تمام کردن چیزی است که ابزارها، بیمهگران و پرسشنامهها اعتبار میدهند.
گزارش را برای صاحب دامنه بفرستید
اگر این rollout را برای یک مشتری یا کارفرما اجرا میکنید، خط پایان قابل نمایش است. اسکن رایگان را بعد از بارگذاری p=reject اجرا کنید و گزارش درجهبندیشده را بفرستید: دامنه به یک سیاست اجرایی حرکت میکند، با تاریخ و به زبان ساده. آن یک صفحه خط امنیت ایمیل را در تمدیدهای بیمه سایبری و پرسشنامههای تامینکننده مبتنی بر NIS2 بهتر از یک screenshot از یک panel DNS پاسخ میدهد — و شش هفته کار دقیق، نادیده را برای کسی که برای آن میپردازد مرئی میکند.
سیاست DMARC خود را رایگان بررسی کنید
ببینید سیاست فعلی شما چیست — و اینکه آیا SPF و DKIM میتوانند اجرا را حمل کنند — بهصورت خصوصی و فقط برای صاحب.
دامنه خود را بررسی کنید ← · رفع DMARC ← · «سیاست DMARC فعال نیست» — اولین گام صادقانه ← · فقط دادههای انبوه. دادهها در اتحادیه اروپا ذخیره و پردازش میشوند.