Defaults.Exposed

Defaults.Exposed › Raportit

Julkaisu sokkona: useimmat DMARC-tietueet eivät pyydä raportteja

Julkaistu 2026-07-03 · päivitetty 2026-07-03

Luvut ajankohdasta 2026-06-29 · menetelmä v7. Väestölaskennan tiedot kattavat jokaisen verkkotunnuksen, joka julkaisee jäsennettävissä olevan DMARC-tietueen, deduplikoituna verkkotunnusta kohti. rua=-tagin olemassaolo mitataan kaikkien tietueiden osalta, joten sen tarkka päällekkäisyys minkään yksittäisen käytännön kanssa ei ole johdettavissa — kun tämä artikkeli esittää väitteitä tuosta päällekkäisyydestä, se ilmaisee rajat, ei koskaan tarkkoja ristiintaulukointeja. Kaikki luvut ovat koosteita — emme koskaan julkaise yksittäisen yrityksen arvosanaa.

Useimmat DMARC-tietueet eivät valvo

Niistä 65 miljoonasta verkkotunnuksesta, jotka julkaisevat DMARC-tietueen, vain 23 miljoonaa — 35.7 % — sisältää rua=-tagin, joka pyytää koosteraportteja. Loput 64.3 % julkaisevat sokkona: tietueessa on käytäntö, mutta kukaan ei pyytänyt saada tietää, mitä sen alla tapahtuu. Se on 42 miljoonaa verkkotunnusta, joilla on DMARC-tietue, joka ei voi näyttää niille mitään.

DMARC-tietue ilman raportointia on ovikello, jonka takana ei ole ketään kotona. Postin vastaanottajat tarkistavat tunnollisesti jokaisen viestin sitä vasten — ja niiden havainnot, luettelo kaikista, jotka lähettävät verkkotunnuksenasi, eivät päädy minnekään. Mekanismi toimii; omistaja vain ei kuuntele.

Mitä rua= oikeastaan tekee

DMARC:lla on kaksi puolikasta. Käytäntöpuolikas (p=none, quarantine tai reject) kertoo vastaanottajille, mitä tehdä postille, joka epäonnistuu todennuksessa. Raportointipuolikas — rua=-tagi, postilaatikon osoite — pyytää vastaanottajia lähettämään sinulle päivittäisiä koosteraportteja: mitkä palvelimet lähettivät verkkotunnuksenasi, kuinka paljon postia ja läpäisikö se SPF:n ja DKIM:n.

Tuo toinen puolikas on koko palautesilmukka. Raporttien avulla löydät uutiskirjealustan, jota kukaan ei dokumentoinut, laskutustyökalun, jonka markkinointi liitti, varjolähettäjän toisella alueella — ennen kuin pakotat käytännön voimaan ja rikot ne. Ilman rua=-tagia mikään tästä älystä ei koskaan tavoita sinua. Sen lisääminen maksaa yhden DNS-muutoksen: liitä rua=mailto:[email protected] (tai valvontapalvelun osoite) olemassa olevaan tietueeseen.

Kuilu vaiheiden 2 ja 3 välillä: julkaistu ja sokea

DMARC-kypsyyden kuudessa vaiheessa vaihe 3 — Tarkkailu — alkaa, kun DMARC on julkaistu ja koosteraportit virtaavat. Tietue ilman rua=-tagia ei täytä ehtoja. Se sijaitsee kuilussa vaiheiden 2 ja 3 välissä — julkaistu ja sokea — paikassa, jonka malli tarkoituksella jättää ilman omaa lukuaan.

Tällä on merkitystä, koska jokainen sitä seuraava vaihe riippuu raporteista. Et voi tunnistaa lähettäjiäsi (vaihe 4) raporteista, joita et koskaan saa; et voi pakottaa käytäntöä turvallisesti voimaan (vaihe 5) tuntematta lähettäjiäsi. Sokea tietue ei ole varhainen askel matkalla — se on pysäköintitasku aivan sen vieressä. Ja väestölaskenta viittaa siihen, että useimmat tietueenhaltijat ovat pysäköityneet sinne tai sen lähelle: 57.5 % kaikista DMARC-tietueista ei koskaan saavuta pakottamista.

Hyödyttömämpi kuin hyödytön, koska se tuntuu edistykseltä

Puuttuva DMARC-tietue näyttää ainakin siltä, mitä se on: aukolta. Sokea tietue näyttää ruksilta. Joku ajoi vaatimustenmukaisuustarkistuslistan, tai toimitettavuusoppaan, tai yksirivisen korjauksen toimittajalta — julkaisi v=DMARC1; p=none — ja skanneri muuttui vihreäksi. Organisaatio tuntee nyt olevansa pidemmällä kuin organisaatio, jolla ei ole tietuetta lainkaan, ollessaan toiminnallisesti samassa paikassa: ei näkyvyyttä, ei pakottamista, ei polkua kumpaankaan.

Seuraus on hiljainen ja kumulatiivinen. Sokeat tietueet eivät epäonnistu äänekkäästi; ne vain eivät koskaan tuota todistetta, joka oikeuttaisi seuraavan siirron. Vuosia myöhemmin tietue sanoo yhä p=none, kukaan ei osaa sanoa, mitkä lähettäjät ovat oikeutettuja, ja pakottaminen tuntuu riskialttiimmalta kuin koskaan — juuri siksi, ettei raportteja koskaan kerätty.

Mitä väestölaskenta voi ja ei voi sanoa

Koska rua=-tagin olemassaolo mitataan kaikkien 65 miljoonan tietueen osalta — ei ristiintaulukoituna käytäntöä kohti — tarkkaa määrää p=none-tietueista, jotka ovat myös sokeita, ei voida johtaa näistä reunajakaumista. Rajat ovat silti karut. 37 miljoonaa tietuetta (57.4 % tietueenhaltijoista) sijaitsee tasolla p=none; vain 23 miljoonaa tietuetta koko väestölaskennassa pyytää raportteja. Joten enintään 23 miljoonaa noista p=none-tietueista voi vastaanottaa raportteja — ja vähintään 14 miljoonaa niistä ei varmasti vastaanota, vaikka jokainen väestölaskennan raportointiosoite kuuluisi p=none-verkkotunnukselle. Miten päällekkäisyys todellisuudessa asettuukin, miljoonat verkkotunnukset istuvat “valvontatilassa” valvonta irti kytkettynä.

Yhden muutoksen korjaus

Jos DMARC-tietueessasi ei ole rua=-tagia, korjaus on yksittäinen DNS-muutos ja se on turvallinen millä tahansa käytäntötasolla:

  1. Valitse raportoinnin kohde — postilaatikko, jota todella käsittelet, tai ilmainen/maksullinen DMARC-valvontapalvelu, joka muuttaa XML:n luettavaan muotoon.
  2. Liitä se tietueeseen: v=DMARC1; p=none; rua=mailto:[email protected]. Jos kohde on eri verkkotunnus, tuon verkkotunnuksen on valtuutettava raporttiesi vastaanottaminen (pieni ylimääräinen DNS-tietue sen puolella).
  3. Odota muutama päivä, sitten lue. Raportit saapuvat päivittäin suurilta vastaanottajilta. Se, mitä ne näyttävät — jokainen lähde, joka lähettää verkkotunnuksenasi — on kartta matkan loppuosaa varten.

Sitten tietue lakkaa olemasta kalustetta ja alkaa olla mittari. (Korjaa DMARC →.)

Usein kysytyt kysymykset

Mikä on DMARC rua -raportti? Kooste-XML-raportti, jonka osallistuvat postin vastaanottajat lähettävät (tyypillisesti päivittäin) tietueesi rua=-tagissa olevaan osoitteeseen ja joka tiivistää, mitkä lähteet lähettivät postia verkkotunnuksenasi ja läpäisikö se SPF- ja DKIM-linjauksen. Se ei sisällä viestin sisältöä — vain lähettäjän infrastruktuurin sekä läpäisy-/hylkäysmäärät.

Onko DMARC ilman rua-tagia arvoton? Ei arvoton — pakottava käytäntö estää huijauksen silti ilman sitäkin. Mutta tasolla p=none tietue ilman rua=-tagia ei estä mitään eikä näytä sinulle mitään — sen ainoa jäljelle jäävä tehtävä on ruksata postilaatikkotarjoajien vähimmäisvaatimusruutu. Ja jopa pakottavat verkkotunnukset ilman raportointia menettävät ajautumisen havaitsemisen, joka pitää pakottamisen turvallisena uusien lähettäjien ilmestyessä. p=none ei ole suojaa kummassakaan tapauksessa — ilman raportteja se ei ole edes valmistautumista.

Voiko rua= osoittaa mihin tahansa postilaatikkoon? Kyllä, mukaan lukien eri verkkotunnuksessa olevaan — useimmat valvontapalvelut toimivat juuri näin. Vastaanottava verkkotunnus julkaisee pienen vahvistustietueen, joka valtuuttaa raporttisi. Merkitystä on sillä, että jokin todella käsittelee XML:n; postilaatikko, jota kukaan ei lue, on sokeutta lisävaiheilla.

Paljastavatko koosteraportit yksityisiä tietoja? Eivät. rua-koosteraportit sisältävät lähetyslähde- ja todennustilastoja, eivät viestien sisältöjä tai vastaanottajaluetteloita. (Erilliset ruf=-virheraportit voivat sisältää viestikatkelmia, minkä vuoksi monet vastaanottajat eivät enää lähetä niitä — rua on se, jolla on merkitystä.)

Tarkista, valvooko tietueesi

DMARC-tietue, joka ei pyydä raportteja, on yksi helpoimmin korjattavista havainnoista koko matkalla — yksi DNS-muutos muuttaa sokeuden Tarkkailuksi. Voit tarkistaa yksityisesti ja ilmaiseksi ja nähdä, mitkä 34 tarkistuksesta läpäiset ja miten korjata ne, joita et.

Tarkista verkkotunnuksesi → · DMARC-kypsyyden 6 vaihetta → · DMARC-pilari → · Vain koostedataa. Data tallennetaan ja käsitellään EU:ssa.