Defaults.Exposed › DMARC
DMARC: käyttöönotto, kypsyys ja sarjataulukot
Data tilanteesta 2026-06-29 · Painos #1 · data ajankohtana 2026-06-29
DMARC on se DNS-tietue, joka kertoo maailman postilaatikoille, mitä tehdä sähköpostille, joka teeskentelee tulevansa verkkotunnuksestasi — toimittaa se, karanteeni vai hylätä. Julkaise ei mitään (tai jätä se pelkkään valvontatilaan), ja kuka tahansa voi laittaa nimesi sähköpostin "From"-riville. Tämä osio mittaa, miten koko internet oikeasti käyttää DMARCia — ja antaa tuloksille selkeät, siteerattavat nimet.
Väestönlaskenta, ei otos: 261 miljoonaa verkkotunnusta mitattu. 10.6% pakottaa DMARCin; 75.1% ei julkaise lainkaan tietuetta.
Malli: DMARC-käyttöönoton kypsyysmalli (DAMM)
Käyttöönottoluvut merkitsevät jotain vain karttaa vasten. Meidän karttamme on DMARC-käyttöönoton kypsyysmalli — DAMM: kuusi vaihetta Suojaamattomasta Kovennettuun, yksi siirto vaihetta kohti ja yksi rehellinen seinä keskellä — askel Havainnoivasta (raportit virtaavat) Näkyvyyteen (jokainen lähettäjä huomioitu), jota useimmat verkkotunnukset eivät koskaan kiipeä. Jokainen tämän osion taulukko ja raportti on DAMM sovellettuna väestönlaskentaan.
On aika välittää yhtä DAMMia.
Pysyvät nimittäjät
Jokainen tämän sivuston DMARC-sivu käyttää samoja nimittäjiä, joten mikään tilasto ei voi hiljaa vaihtaa perustaansa:
- 65 miljoonaa verkkotunnusta julkaisee DMARC-tietueen — 24.9% 261 miljoonasta arvioidusta verkkotunnuksesta.
- 27.6 miljoonaa pakottaa (p=quarantine tai p=reject) — 42.5% tietueista, 10.6% kaikista arvioiduista verkkotunnuksista.
- Luvut ajankohtana 2026-06-29 (painos #1); päivitetty kuukausittain väestönlaskennan mukana.
Missä vaiheessa olet? Kuusi kysymystä
Aloita kysymyksestä 0 ja vastaa sitten järjestyksessä — ensimmäinen "ei" on vaiheesi. Mitään muuta ei tarvita kuin katsaus omiin DNS-tietueisiisi ja postilaatikkoosi — ja jos et osaa vastata johonkin, älä arvaa: ilmainen tarkistus lukee elävän DNS:si ja vastaa kysymyksiin 1, 2, 3 ja 5 puolestasi.
0. Lähettääkö verkkotunnuksesi ylipäätään sähköpostia?
Ei → matkasi kutistuu yhteen vaiheeseen: julkaise SPF v=spf1 -all ja DMARC p=reject jo tänään. Verkkotunnuksella, joka ei koskaan lähetä, ei ole laillista postia suojattavana — ei mitään havainnoitavaa, ei seinää kiivettävänä — joten se etenee suoraan vaiheeseen 5 — Pakotettu yhdellä DNS-muutoksella. Kyllä → seuraava kysymys.
1. Ovatko SPF ja DKIM olemassa ja läpäisevätkö ne lähettämällesi postille?
Ei → olet todennäköisesti vaiheessa 1 — Suojaamaton. Seuraava siirtosi: määritä SPF ja DKIM ensisijaiselle postillesi ja varmista, että molemmat todentuvat ja kohdentuvat — kohdentuminen tarkoittaa, että verkkotunnus, jonka SPF tai DKIM validoi, on sama verkkotunnus, jonka ihminen näkee näkyvällä "From:"-rivillä, mikä on se vastaavuus, jota DMARC oikeasti testaa. DMARC rakentuu molempien varaan. Kyllä → seuraava kysymys.
2. Julkaisetko DMARC-tietueen?
Ei → olet todennäköisesti vaiheessa 2 — Todennettu. Seuraava siirtosi: julkaise DMARC-tietue tasolla p=none rua=-raportointiosoitteella — yksi DNS-tietue, mikään ei mene rikki. Kyllä → seuraava kysymys.
3. Pyytääkö tietueesi raportteja (rua=), jotka joku oikeasti vastaanottaa?
Ei → olet todennäköisesti jumissa vaiheiden 2 ja 3 välissä — julkaistu, mutta sokea. Seuraava siirtosi: lisää rua=-osoite (yksi DNS-muokkaus), jotta koostetut raportit virtaavat — tietue, joka ei tarkkaile, ei voi löytää lähettäjiä, jotka sinun täytyy kohdentaa. Kyllä → seuraava kysymys.
4. Oletko tunnistanut jokaisen verkkotunnuksesi postin laillisen lähettäjän — ja kohdentuuko kukin niistä?
Ei → olet todennäköisesti vaiheessa 3 — Havainnoiva, seinän edessä, jossa useimmat verkkotunnukset pysähtyvät. Seuraava siirtosi: kartoita jokainen palvelu, joka lähettää verkkotunnuksesi nimissä (uutiskirjetyökalu, laskutusjärjestelmä, CRM), ja saa kukin kohdennettua. Tämä on myös vaihe, jossa omistajat useimmiten hakevat apua — IT-palveluntarjoaja tai DMARC-valvontapalvelu voi tehdä lähettäjien tunnistustyön; vaiheet pysyvät kummassakin tapauksessa samoina. Kyllä → seuraava kysymys.
5. Onko käytäntösi p=quarantine tai p=reject?
Ei → olet todennäköisesti vaiheessa 4 — Näkyvyys, ja voit pakottaa turvallisesti. Seuraava siirtosi: nosta käytäntöä vaiheittain — none → quarantine → reject. Kyllä → olet vaiheessa 5 — Pakotettu. Seuraava siirtosi: kovennuskerros — np=-kattavuus, MTA-STS ja TLS-RPT — sekä jatkuva valvonta. Se on vaihe 6.
Kaikki viisi kyllä, kovennus paikoillaan ja joku vielä seuraa raportteja? Se on vaihe 6 — Kovennettu. Siirto sinne on pysyä siinä: uusia lähettäjiä ilmestyy, palveluntarjoajat vaihtavat IP-osoitteita, kokoonpanot rapistuvat. Etkö ole varma jostain vastauksesta? Aja ilmainen tarkistus — se selvittää kysymykset 1, 2, 3 ja 5 elävästä DNS:stäsi alle minuutissa, yksityisesti.
Sarjataulukot ja kuukausiraportti
- DMARC-kypsyys TLD:n mukaan
155 verkkotunnuspäätettä järjestettynä kypsyyspisteiden mukaan — johtajat, jälkeenjääneet ja jäädytetyn jäsenyyden sääntö, joka pitää järjestyksen rehellisenä. - DMARC-kypsyys maittain
68 maata järjestettynä kansallisten verkkotunnuspäätteidensä mukaan — kuka pakottaa, kuka tarkkailee, kuka ei julkaise mitään. - DAMMM — DMARC-käyttöönottoraportti, kuukausittain
DMARC-käyttöönoton kypsyysmatriisi — Kuukausittain: vaiheet × joukkoleikkaukset, Seinävahti, Sokeusvahti. Painos #1 on perustaso.
Syväsukellukset
- DMARC-kypsyyden 6 vaihetta — itse malli
- Sokeana julkaisu — useimmat DMARC-tietueet eivät pyydä raportteja
- SPF ei riitä — niiden verkkotunnusten määrä, jotka luottavat pelkkään SPF:ään
- Täysin suojatut harvat — mitä valmiiksi saaneet verkkotunnukset tekevät toisin
Haluatko tietää, miten verkkotunnuksesi sijoittuu? Suorita ilmainen tarkistus → — yksityinen; näytämme verkkotunnuksen arvosanan vain sen vahvistetulle omistajalle.
Miten arvioimme → · Vain koostettua dataa; emme koskaan julkaise yksittäisen verkkotunnuksen arvosanaa.