Defaults.Exposed › Raportit
Julkaisu sokkona: useimmat DMARC-tietueet eivät pyydä raportteja
Julkaistu 2026-07-03 · päivitetty 2026-07-03
Luvut ajankohdasta 2026-06-29 · menetelmä v7. Väestölaskennan tiedot kattavat jokaisen verkkotunnuksen, joka julkaisee jäsennettävissä olevan DMARC-tietueen, deduplikoituna verkkotunnusta kohti.
rua=-tagin olemassaolo mitataan kaikkien tietueiden osalta, joten sen tarkka päällekkäisyys minkään yksittäisen käytännön kanssa ei ole johdettavissa — kun tämä artikkeli esittää väitteitä tuosta päällekkäisyydestä, se ilmaisee rajat, ei koskaan tarkkoja ristiintaulukointeja. Kaikki luvut ovat koosteita — emme koskaan julkaise yksittäisen yrityksen arvosanaa.
Useimmat DMARC-tietueet eivät valvo
Niistä 65 miljoonasta verkkotunnuksesta, jotka julkaisevat DMARC-tietueen, vain 23 miljoonaa — 35.7 % — sisältää rua=-tagin, joka pyytää koosteraportteja. Loput 64.3 % julkaisevat sokkona: tietueessa on käytäntö, mutta kukaan ei pyytänyt saada tietää, mitä sen alla tapahtuu. Se on 42 miljoonaa verkkotunnusta, joilla on DMARC-tietue, joka ei voi näyttää niille mitään.
DMARC-tietue ilman raportointia on ovikello, jonka takana ei ole ketään kotona. Postin vastaanottajat tarkistavat tunnollisesti jokaisen viestin sitä vasten — ja niiden havainnot, luettelo kaikista, jotka lähettävät verkkotunnuksenasi, eivät päädy minnekään. Mekanismi toimii; omistaja vain ei kuuntele.
Mitä rua= oikeastaan tekee
DMARC:lla on kaksi puolikasta. Käytäntöpuolikas (p=none, quarantine tai reject) kertoo vastaanottajille, mitä tehdä postille, joka epäonnistuu todennuksessa. Raportointipuolikas — rua=-tagi, postilaatikon osoite — pyytää vastaanottajia lähettämään sinulle päivittäisiä koosteraportteja: mitkä palvelimet lähettivät verkkotunnuksenasi, kuinka paljon postia ja läpäisikö se SPF:n ja DKIM:n.
Tuo toinen puolikas on koko palautesilmukka. Raporttien avulla löydät uutiskirjealustan, jota kukaan ei dokumentoinut, laskutustyökalun, jonka markkinointi liitti, varjolähettäjän toisella alueella — ennen kuin pakotat käytännön voimaan ja rikot ne. Ilman rua=-tagia mikään tästä älystä ei koskaan tavoita sinua. Sen lisääminen maksaa yhden DNS-muutoksen: liitä rua=mailto:[email protected] (tai valvontapalvelun osoite) olemassa olevaan tietueeseen.
Kuilu vaiheiden 2 ja 3 välillä: julkaistu ja sokea
DMARC-kypsyyden kuudessa vaiheessa vaihe 3 — Tarkkailu — alkaa, kun DMARC on julkaistu ja koosteraportit virtaavat. Tietue ilman rua=-tagia ei täytä ehtoja. Se sijaitsee kuilussa vaiheiden 2 ja 3 välissä — julkaistu ja sokea — paikassa, jonka malli tarkoituksella jättää ilman omaa lukuaan.
Tällä on merkitystä, koska jokainen sitä seuraava vaihe riippuu raporteista. Et voi tunnistaa lähettäjiäsi (vaihe 4) raporteista, joita et koskaan saa; et voi pakottaa käytäntöä turvallisesti voimaan (vaihe 5) tuntematta lähettäjiäsi. Sokea tietue ei ole varhainen askel matkalla — se on pysäköintitasku aivan sen vieressä. Ja väestölaskenta viittaa siihen, että useimmat tietueenhaltijat ovat pysäköityneet sinne tai sen lähelle: 57.5 % kaikista DMARC-tietueista ei koskaan saavuta pakottamista.
Hyödyttömämpi kuin hyödytön, koska se tuntuu edistykseltä
Puuttuva DMARC-tietue näyttää ainakin siltä, mitä se on: aukolta. Sokea tietue näyttää ruksilta. Joku ajoi vaatimustenmukaisuustarkistuslistan, tai toimitettavuusoppaan, tai yksirivisen korjauksen toimittajalta — julkaisi v=DMARC1; p=none — ja skanneri muuttui vihreäksi. Organisaatio tuntee nyt olevansa pidemmällä kuin organisaatio, jolla ei ole tietuetta lainkaan, ollessaan toiminnallisesti samassa paikassa: ei näkyvyyttä, ei pakottamista, ei polkua kumpaankaan.
Seuraus on hiljainen ja kumulatiivinen. Sokeat tietueet eivät epäonnistu äänekkäästi; ne vain eivät koskaan tuota todistetta, joka oikeuttaisi seuraavan siirron. Vuosia myöhemmin tietue sanoo yhä p=none, kukaan ei osaa sanoa, mitkä lähettäjät ovat oikeutettuja, ja pakottaminen tuntuu riskialttiimmalta kuin koskaan — juuri siksi, ettei raportteja koskaan kerätty.
Mitä väestölaskenta voi ja ei voi sanoa
Koska rua=-tagin olemassaolo mitataan kaikkien 65 miljoonan tietueen osalta — ei ristiintaulukoituna käytäntöä kohti — tarkkaa määrää p=none-tietueista, jotka ovat myös sokeita, ei voida johtaa näistä reunajakaumista. Rajat ovat silti karut. 37 miljoonaa tietuetta (57.4 % tietueenhaltijoista) sijaitsee tasolla p=none; vain 23 miljoonaa tietuetta koko väestölaskennassa pyytää raportteja. Joten enintään 23 miljoonaa noista p=none-tietueista voi vastaanottaa raportteja — ja vähintään 14 miljoonaa niistä ei varmasti vastaanota, vaikka jokainen väestölaskennan raportointiosoite kuuluisi p=none-verkkotunnukselle. Miten päällekkäisyys todellisuudessa asettuukin, miljoonat verkkotunnukset istuvat “valvontatilassa” valvonta irti kytkettynä.
Yhden muutoksen korjaus
Jos DMARC-tietueessasi ei ole rua=-tagia, korjaus on yksittäinen DNS-muutos ja se on turvallinen millä tahansa käytäntötasolla:
- Valitse raportoinnin kohde — postilaatikko, jota todella käsittelet, tai ilmainen/maksullinen DMARC-valvontapalvelu, joka muuttaa XML:n luettavaan muotoon.
- Liitä se tietueeseen:
v=DMARC1; p=none; rua=mailto:[email protected]. Jos kohde on eri verkkotunnus, tuon verkkotunnuksen on valtuutettava raporttiesi vastaanottaminen (pieni ylimääräinen DNS-tietue sen puolella). - Odota muutama päivä, sitten lue. Raportit saapuvat päivittäin suurilta vastaanottajilta. Se, mitä ne näyttävät — jokainen lähde, joka lähettää verkkotunnuksenasi — on kartta matkan loppuosaa varten.
Sitten tietue lakkaa olemasta kalustetta ja alkaa olla mittari. (Korjaa DMARC →.)
Usein kysytyt kysymykset
Mikä on DMARC rua -raportti? Kooste-XML-raportti, jonka osallistuvat postin vastaanottajat lähettävät (tyypillisesti päivittäin) tietueesi rua=-tagissa olevaan osoitteeseen ja joka tiivistää, mitkä lähteet lähettivät postia verkkotunnuksenasi ja läpäisikö se SPF- ja DKIM-linjauksen. Se ei sisällä viestin sisältöä — vain lähettäjän infrastruktuurin sekä läpäisy-/hylkäysmäärät.
Onko DMARC ilman rua-tagia arvoton? Ei arvoton — pakottava käytäntö estää huijauksen silti ilman sitäkin. Mutta tasolla p=none tietue ilman rua=-tagia ei estä mitään eikä näytä sinulle mitään — sen ainoa jäljelle jäävä tehtävä on ruksata postilaatikkotarjoajien vähimmäisvaatimusruutu. Ja jopa pakottavat verkkotunnukset ilman raportointia menettävät ajautumisen havaitsemisen, joka pitää pakottamisen turvallisena uusien lähettäjien ilmestyessä. p=none ei ole suojaa kummassakaan tapauksessa — ilman raportteja se ei ole edes valmistautumista.
Voiko rua= osoittaa mihin tahansa postilaatikkoon? Kyllä, mukaan lukien eri verkkotunnuksessa olevaan — useimmat valvontapalvelut toimivat juuri näin. Vastaanottava verkkotunnus julkaisee pienen vahvistustietueen, joka valtuuttaa raporttisi. Merkitystä on sillä, että jokin todella käsittelee XML:n; postilaatikko, jota kukaan ei lue, on sokeutta lisävaiheilla.
Paljastavatko koosteraportit yksityisiä tietoja? Eivät. rua-koosteraportit sisältävät lähetyslähde- ja todennustilastoja, eivät viestien sisältöjä tai vastaanottajaluetteloita. (Erilliset ruf=-virheraportit voivat sisältää viestikatkelmia, minkä vuoksi monet vastaanottajat eivät enää lähetä niitä — rua on se, jolla on merkitystä.)
Tarkista, valvooko tietueesi
DMARC-tietue, joka ei pyydä raportteja, on yksi helpoimmin korjattavista havainnoista koko matkalla — yksi DNS-muutos muuttaa sokeuden Tarkkailuksi. Voit tarkistaa yksityisesti ja ilmaiseksi ja nähdä, mitkä 34 tarkistuksesta läpäiset ja miten korjata ne, joita et.
Tarkista verkkotunnuksesi → · DMARC-kypsyyden 6 vaihetta → · DMARC-pilari → · Vain koostedataa. Data tallennetaan ja käsitellään EU:ssa.