Defaults.Exposed › رفع اشکالها › Guides
«سیاست DMARC فعال نیست»: معنای واقعی آن و اولین گام صادقانه ۵ دقیقهای (۲۰۲۶)
منتشرشده 2026-07-08
ارقام تا تاریخ 2026-06-29 · روششناسی نسخه ۷. دادههای آماری انبوه از 261 میلیون دامنه درجهبندیشده. نحوه درجهبندی ما را ببینید.
«سیاست DMARC فعال نیست» به معنی یکی از دو چیز مختلف است: دامنه شما اصلاً رکورد DMARC ندارد، یا رکوردی دارد که روی p=none تنظیم شده. فقط 10.59% از دامنهها — 27,640,987 از 261,086,232 — یک سیاست DMARC اجرایی دارند، بر اساس سرشماری Defaults.Exposed. انتشار یک رکورد نظارتی پنج دقیقه طول میکشد؛ اجرا یک پروژه است.
این راهنما هشدار را رمزگشایی میکند، رکورد TXT دقیق و محل دقیق انتشار آن را میدهد، از لغزشهای نحوی که باعث شکست اولین تلاشها میشوند عبور میکند، و انتظاری صادقانه از آنچه هفته اول گزارشهای DMARC شما چه شکلی خواهد بود را تنظیم میکند. عمداً یک راهنمای «DMARC را در ۵ دقیقه رفع کنید» نیست — پنج دقیقه به شما دید میدهد، نه حفاظت.
«سیاست DMARC فعال نیست» واقعاً چه معنایی دارد؟
ابزارهایی مانند MXToolbox دو یافته مختلف را در یک هشدار نارنجی ترکیب میکنند، و مسیر رفع بستگی دارد که کدام را دارید:
| چه ابزار نشان میدهد | معنای واقعی آن | دامنههای تحتتأثیر (از 261,086,232 درجهبندیشده) |
|---|---|---|
| «هیچ رکورد DMARC پیدا نشد» | هیچ چیزی در _dmarc.yourdomain منتشر نشده. گیرندگان هیچ سیاستی اعمال نمیکنند و هیچ گزارشی برای شما نمیفرستند. از مشکلات ایمیل خودتان ناآگاهید. | 196,105,162 (75.11%) |
| «سیاست DMARC فعال نیست» / «سیاست none است» | یک رکورد وجود دارد اما میگوید p=none: گزارشدهی روشن، حفاظت خاموش. گیرندگان ایمیلهای جعلی را دقیقاً مثل قبل تحویل میدهند. | 37,312,637 (14.29%) |
| «سیاست: quarantine» یا «reject» | یک سیاست اجرایی. گیرندگان در خرابیها عمل میکنند. | 27,640,987 (10.59%) |
دادهها تا تاریخ 2026-06-29.
اولین ردیف جایی است که اکثر اینترنت زندگی میکند: 75.11% از دامنههای درجهبندیشده اصلاً رکورد DMARC منتشر نمیکنند، و 14.29% دیگر در p=none هستند. معکوس آخرین ردیف عدد مهم است: 89.41% از دامنهها هیچ سیاست DMARC اجرایی ندارند — از 261,086,232 دامنه درجهبندیشده در سرشماری. اگر ابزار شما هشدار را نشان میدهد، در اکثریت قاطع هستید. این تسلی نیست؛ دلیل باقی ماندن ارزان spoofing است.
یک توضیح که بعداً سردرگمی را ذخیره میکند: DMARC لایه سیاست روی SPF و DKIM است، که در برابر header From بررسی میشود که گیرنده شما واقعاً میبیند. «فعال نیست» به این معنی است که هنوز به گیرندگان نگفتهاید چه کاری انجام دهند. اگر سه مقدار سیاست برای شما جدید هستند، توضیح ساده DMARC چیست: none، quarantine، reject را بخوانید.
چه چیزی را صادقانه میتوانید در پنج دقیقه رفع کنید؟
انتشار یک رکورد. این تنها ادعای صادقانه است.
v=DMARC1; p=none; rua=mailto:[email protected]
پنج دقیقه بعد از آنکه این رکورد TXT زنده شود، گیرندگانی که DMARC را بررسی میکنند شروع به تهیه گزارشهای روزانه درباره کسانی که ایمیل را بهعنوان دامنه شما ارسال میکنند میکنند — هم سرورهای قانونی و هم جعلکاران. آن دید واقعاً ارزشمند و واقعاً فوری است.
کاری که نمیکند: p=none هیچ چیزی را حفاظت نمیکند. ایمیلهای جعلی دقیقاً مثل دیروز تحویل داده میشوند، و یک ابزار که فردا دوباره اسکن کند ممکن است هنوز بگوید «سیاست فعال نیست» — بهدرستی، چون علامت سبز برای quarantine یا reject رزرو شده. ما توضیح دادهایم چرا در p=none حفاظت نیست؛ مسیر مرحلهای به سیاستی که واقعاً spoofing را مسدود میکند در از p=none به p=reject است. گام پنج دقیقهای زیر نقطه شروع است؛ آن راهنما نقطه پایان.
چطور اولین رکورد DMARC خود را منتشر کنید؟
۱. اسکن رایگان را قبل از لمس DNS اجرا کنید. میگوید کدامیک از دو یافته را واقعاً دارید — هیچ رکورد در مقابل p=none — و اینکه آیا SPF و DKIM در زیر آن وجود دارند، که تعیین میکند بعداً چقدر سریع میتوانید به اجرا بروید.
۲. یک آدرس برای دریافت گزارشها انتخاب کنید. یک صندوق اختصاصی مانند dmarc-reports@yourdomain برای شروع خوب است. اگر بهجای آن از یک سرویس تحلیل گزارش استفاده میکنید، FAQ زیر را ببینید — آدرسهای شخص ثالث یک gotcha ساکت دارند.
۳. یک رکورد TXT در هاست _dmarc اضافه کنید. در بیشتر panel های کنترل DNS (برای مثال کار راهنمای تنظیم DMARC در IONOS را ببینید) _dmarc را در فیلد هاست/نام وارد میکنید — panel دامنه شما را بهصورت خودکار اضافه میکند و _dmarc.yourdomain.com تولید میکند. مقدار: v=DMARC1; p=none; rua=mailto:[email protected]
۴. تأیید کنید که بارگذاری شده. dig TXT _dmarc.yourdomain.com (یا هر ابزار آنلاین) باید دقیقاً یک رکورد با شروع v=DMARC1 برگرداند. اکثر تغییرات DNS در چند دقیقه قابل مشاهده هستند؛ TTL پایین کمک میکند.
۵. دوباره اسکن کنید. گزارش شما DMARC را در حالت نظارت نشان خواهد داد — انعکاسی صادقانه از جایی که هستید: گزارشدهی روشن، اجرا در انتظار.
یک رکورد subdomain های شما را هم پوشش میدهد: گیرندگانی که هیچ رکوردی در mail.yourdomain.com پیدا نمیکنند به سیاست دامنه سازمانی برمیگردند، پس برای شروع نظارت به رکورد در هر subdomain نیاز ندارید.
رایجترین اشتباهات هنگام اضافه کردن رکورد چیست؟
تقریباً هر اولین تلاش شکستخورده یکی از اینهاست — و مهم هستند، چون یک رکورد قابل parse نبودنی بهعنوان بدون رکورد تلقی میشود. سرشماری 48,648 رکورد DMARC منتشرشده که parse نمیشوند را میشمارد؛ غلطهای املایی که واقعاً منتشر میشوند در سرشماری typo های DMARC فهرست شدهاند.
- هاست اشتباه. رکورد باید در
_dmarc.yourdomain.comباشد، نه در apex. در دامنه خالی هیچ کاری نمیکند، و ابزارها به گزارش «هیچ رکورد DMARC پیدا نشد» ادامه میدهند. - دوبار الحاق دامنه. تایپ
_dmarc.yourdomain.comدر panelی که بهصورت خودکار الحاق میکند،_dmarc.yourdomain.com.yourdomain.comمیدهد. فقط_dmarcرا وارد کنید. - کاما بهجای نقطهویرگول. تگها با
;از هم جدا میشوند. یک رکورد قابل parse نبودنی بهعنوان بدون رکورد تلقی میشود. v=DMARC1گمشده یا جایش اشتباه. باید اولین تگ باشد، دقیقاً همانطور نوشته شده؛ رکوردهایی که باp=شروع میشوند parse نمیشوند.mailto:در rua گمشده.rua=dmarc@yourdomainنامعتبر است؛ بایدrua=mailto:[email protected]باشد.- دو رکورد DMARC. گیرندگانی که بیش از یک رکورد
v=DMARC1پیدا میکنند همه را نادیده میگیرند — همان خانواده شکست SPF چند رکوردی. - نقلقولهای هوشمند از copy-paste. نقلقولهای کج یا فاصلههای غیرشکستنی که از یک سند وارد میشوند، parse را میشکنند. اگر ابزار میگوید خراب است اما درست به نظر میرسد، رکورد را مجدداً تایپ کنید.
گزارشهای rua در هفته اول چه شکلی خواهند بود؟
انتظارات را الان تنظیم کنید تا نتیجه نگیرید که خراب است:
- تقریباً روزانه، به ازای هر گیرنده میرسند. Google معمولاً هر ۲۴ ساعت یک گزارش انبوه میفرستد؛ Microsoft، Yahoo و دیگران در دورههای خودشان. برای یک دامنه کوچک، هفته اول معمولاً چند ایمیل است، بیشتر از
[email protected]. - پیوستهای XML فشرده هستند، نه یک dashboard. خام، تقریباً ناخوانا هستند؛ یک parser رایگان آنها را به یک جدول فرستنده تبدیل میکند.
- حجم حجم ایمیل شما را دنبال میکند. اگر ایمیل کمی ارسال میکنید، یا بیشتر به ارائهدهندگانی که گزارش نمیدهند، انتظار دادههای کم داشته باشید. دو هفته ساکت برای یک دامنه کمحجم نرمال است — با
digرکورد را تأیید کنید بهجای فرض اینکه شکست خورده. - انتظار غافلگیری داشته باشید. اکثر دامنهها فرستندههایی را کشف میکنند که فراموش کرده بودند — CRM، ابزار صدور فاکتور، فرم تماس. هر یک قبل از اینکه بتوانید اجرا کنید به SPF یا DKIM هماهنگ نیاز دارد. اگر گزارشها نشان میدهند DMARC شکست میخورد در حالی که SPF و DKIM بهصورت جداگانه پاس میشوند، این یک مشکل هماهنگی است — DMARC شکست میخورد اما SPF و DKIM پاس میشوند را ببینید.
و حتماً گزارشها را درخواست کنید: 64.3% از دامنههایی که یک رکورد DMARC دارند هیچ آدرس rua= منتشر نمیکنند، پس از آن هیچ گزارشی نمیگیرند — برش سرشماری در DMARC کور انتشار دادن است. هر چیزی که اینجا یاد میگیرید به rollout اجرا کمک میکند — نظارت هفته اول آن پروژه است، نه یک مقصد. ماندن در p=none بهطور نامحدود رایجترین راهی است که دامنهها در 89.41% باقی میمانند.
پرسشهای متداول
آیا انتشار p=none به تحویلپذیری ایمیل من آسیب میزند؟
خیر. p=none هیچ چیزی در مورد نحوه رفتار گیرندگان با ایمیل شما تغییر نمیدهد — فقط گزارشها را درخواست میکند. میتواند کمک کند: الزامات فرستندگان انبوه Google و Yahoo حداقل یک رکورد DMARC با p=none را از فرستندگان پرحجم میخواهند، پس انتشار آن یک حداقل انطباق است، نه یک ریسک.
رکورد را منتشر کردم — چرا ابزار هنوز میگوید «سیاست فعال نیست»؟
چون حقیقت را میگوید: سیاست شما none است، و ابزارها علامت پاس را برای quarantine یا reject ذخیره میکنند. به دامنههایی پیوستید که نظارت میکنند اما اجرا نمیکنند — تا 2026-06-29، فقط 10.59% از 261,086,232 دامنه درجهبندیشده اجرا میکنند. هشدار وقتی rollout به اجرا را کامل کنید پاک میشود.
آیا قبل از اضافه کردن DMARC باید SPF و DKIM تنظیم شده باشند؟
برای اینکه ایمیل شما DMARC را پاس کند حداقل به یکی از آنها، هماهنگشده، نیاز دارید — اما قبل از انتشار p=none نیازی ندارد کامل باشند. نظارت دقیقاً روشی است که میفهمید چه چیزی خراب است: 70,368,600 از 261,086,232 دامنه درجهبندیشده (تا 2026-06-29) SPF soft دارند و هیچ اجرای DMARC ندارند، و گزارشها روشی هستند که میآموختند چه چیزی آنها را متوقف کرده.
آیا میتوانم گزارشها را به یک آنالیزگر شخص ثالث بهجای صندوق پستی خودم بفرستم؟
بله — اما یک آدرس rua در یک دامنه دیگر نیاز دارد فروشنده یک رکورد مجوز منتشر کند (yourdomain._report._dmarc.vendor.com)، وگرنه گیرندگان بیصدا گزارشها را نگه میدارند. سرویسهای معتبر این کار را بهصورت خودکار انجام میدهند؛ اگر گزارشها هرگز نمیرسند، ابتدا این را بررسی کنید.
گزارش را برای صاحب دامنه بفرستید
اگر این کار را برای یک مشتری یا کارفرما انجام میدهید، نگذارید کار نادیده بماند. اسکن رایگان را بعد از بارگذاری رکورد اجرا کنید و گزارش درجهبندیشده را بفرستید: DMARC از غایب به نظارتی در حال حرکت، با تاریخ و به زبان ساده — و نشان میدهد بعدی در مسیر به اجرا چیست. صاحبان بهطور فزایندهای دقیقاً به این مدرک برای تمدید بیمه سایبری و پرسشنامههای امنیتی تامینکنندگان نیاز دارند، و یک گزارش یکصفحهای درجهبندیشده آن سوالات را بهتر از یک screenshot از یک panel DNS پاسخ میدهد.
دامنه خود را رایگان بررسی کنید
ببینید کدامیک از دو یافته را دارید — هیچ رکورد یا p=none — و چه چیزی زیر آن است، بهصورت خصوصی و فقط برای صاحب.
دامنه خود را بررسی کنید ← · رفع DMARC ← · از p=none به p=reject ← · نحوه درجهبندی ما ← · فقط دادههای انبوه. دادهها در اتحادیه اروپا ذخیره و پردازش میشوند.