Defaults.Exposed

Defaults.Exposed › रिपोर्ट

DMARC परिपक्वता के 6 चरण

प्रकाशित 2026-07-03 · अपडेट किया गया 2026-07-03

2026-06-29 तक के आंकड़े · कार्यप्रणाली v7। यह एक आवर्ती जनगणना द्वारा समर्थित संदर्भ मॉडल है; प्रत्येक संस्करण एक ही आबादी को फिर से मापता है ताकि संख्याओं को समय के साथ ट्रैक किया जा सके। सभी आंकड़े समग्र हैं — हम कभी भी किसी व्यक्तिगत व्यवसाय का ग्रेड प्रकाशित नहीं करते।

DMARC प्रकाशित करना सुरक्षित होने के समान नहीं है

261 मिलियन मापे गए डोमेन में, 24.89% DMARC रिकॉर्ड प्रकाशित करते हैं — लेकिन केवल 10.59% एक लागू करते हैं। दूसरे शब्दों में: DMARC यात्रा शुरू करने वाले लगभग 65 मिलियन डोमेन में से, 57.5% कभी उस हिस्से तक नहीं पहुँचे जो कुछ भी ब्लॉक करता है। उन्होंने एक रिकॉर्ड प्रकाशित किया, रिपोर्टिंग कहीं इंगित की, और रुक गए। छोटे स्वतंत्र अध्ययन भी वही आकार पाते हैं — 2026 की एक उद्योग रिपोर्ट ने इसे ~938,000 डोमेन में से ~9% लागू करते हुए पाया।

अपनाना अब समस्या नहीं है। सुरक्षा है। और डोमेन एक संरचनात्मक कारण से रुकते हैं: सभी के द्वारा उपयोग किए जाने वाले नक्शे बहुत जल्दी रुक जाते हैं। वे बहुत जल्दी समाप्त होते हैं, और उनमें से कोई भी सबसे कठिन चरण को अपना नाम नहीं देता।

मौजूदा नक्शे कहाँ कम पड़ते हैं

उद्योग द्वारा नेविगेट किए जाने वाले मॉडल अपने युग के लिए सही थे, और उचित पठन के योग्य हैं:

तीनों में दो सीमाएं हैं। पहली, वे p=reject पर रुकते हैं — जैसे प्रवर्तन अंतिम रेखा हो। ऐसा नहीं है: मानक खुद आगे बढ़ा है (DMARCbis — RFC 9989, 9990 और 9991 — मई 2026 में प्रकाशित हुए, मूल RFC 7489 को प्रतिस्थापित करते हुए), और प्रवर्तन परिवहन सुरक्षा या ब्रांड विश्वास के लिए कुछ नहीं करता। दूसरी — और यह वह है जो वास्तव में डोमेन को फंसाती है — उनमें से कोई भी “हर प्रेषक का हिसाब” को एक नामित चरण नहीं बनाता। निष्पक्ष होने के लिए, तैनाती गाइड काम का उल्लेख करते हैं: dmarcian के मॉडल में अपने निगरानी चरण के अंदर एक कार्य के रूप में स्रोत पहचान शामिल है। लेकिन एक चरण के अंदर दबा एक कार्य ठीक ऐसे माना जाता है — “निगरानी” के हिस्से के रूप में न कि अलग उपलब्धि के रूप में। रिपोर्ट आते देखना प्रगति की तरह महसूस होती है। ऐसा नहीं है। डोमेन वर्षों तक p=none पर बैठने का सबसे बड़ा कारण यह है कि वे अपना मेल देख सकते हैं लेकिन इसका हिसाब नहीं किया — इसलिए वे लागू नहीं कर सकते, कुछ वास्तविक तोड़ने के डर से।

एक उपयोगी मॉडल को उस चरण को अपना नाम और अपने निकास मानदंड देने की आवश्यकता है। यह देता है। हम इसे DMARC Adoption Maturity Model — DAMM कहते हैं: छह चरण, प्रत्येक एक कदम, और एक नाम जिसे आप उद्धृत कर सकते हैं।

मॉडल

DMARC परिपक्वता के छह चरण — असुरक्षित से कठोर तक, Observing और Visibility के बीच की दीवार के साथ

चरण 1 — असुरक्षित। कोई DMARC रिकॉर्ड नहीं — या SPF और DKIM अधूरा उसके नीचे। कोई भी आपके डोमेन के रूप में ईमेल भेज सकता है, और कहीं भी कुछ भी जाँच नहीं कर रहा। कदम: अपने प्राथमिक मेल के लिए SPF और DKIM कॉन्फ़िगर करें, और पुष्टि करें कि वे प्रमाणित और संरेखित होते हैं। DMARC दोनों पर बना है; आप इस मंजिल को छोड़ नहीं सकते।

चरण 2 — प्रमाणित। SPF और DKIM सही हैं और आपके मुख्य मेल प्रवाह के लिए संरेखित हो रहे हैं। आपका वैध मेल अपनी उत्पत्ति साबित करता है — लेकिन दुनिया के इनबॉक्स को कुछ नहीं बताता कि मेल के साथ क्या करना है जो नहीं करता। कदम: p=none के साथ एक DMARC रिकॉर्ड rua= रिपोर्टिंग पते के साथ प्रकाशित करें।

चरण 3 — अवलोकन। DMARC प्रकाशित है, समग्र रिपोर्ट बह रही हैं, और पहली बार आप देख सकते हैं कि आपके डोमेन के रूप में कौन भेज रहा है। कुछ भी ब्लॉक नहीं है। अधिकांश उपकरण इस चरण को “दृश्यता” कहते हैं — हम जानबूझकर नहीं करते, क्योंकि रिपोर्ट देखना और उन्हें समझना अलग उपलब्धियाँ हैं। कदम: हर वैध स्रोत की पहचान करें जो आपके डोमेन के रूप में भेजता है, और प्रत्येक को संरेखित करें।

चरण 4 — दृश्यता। हर वैध प्रेषक की पहचान और संरेखित किया गया है — न्यूज़लेटर प्लेटफ़ॉर्म, इनवॉइसिंग सिस्टम, CRM, वह चीज़ जो मार्केटिंग ने पिछले वसंत में साइन अप की थी। आप अपना मेल जानते हैं। यदि आप लागू करते हैं तो कुछ वैध नहीं टूटेगा। यह वह चरण है जिसे पुराने नक्शे छोड़ते हैं, और वह दीवार जिस पर अधिकांश डोमेन कभी नहीं चढ़ते। कदम: नीति बढ़ाएं — p=none → p=quarantine (DMARCbis का t=y परीक्षण मोड यहाँ मदद करता है) → p=reject

चरण 5 — लागू। p=quarantine या p=reject लाइव है, उपडोमेन एक स्पष्ट sp= नीति द्वारा कवर किए गए हैं। मेल जो प्रमाणीकरण में विफल होता है वह अब भाग लेने वाले प्राप्तकर्ताओं पर वास्तव में क्वारंटाइन या अस्वीकार होता है — जिसमें हर प्रमुख मेलबॉक्स प्रदाता शामिल हैं — इसलिए आपके सटीक डोमेन की प्रत्यक्ष स्पूफिंग वहाँ उतरना बंद हो जाती है जहाँ DMARC जाँचा जाता है। कदम: कठोरीकरण परत जोड़ें — DMARCbis का np= और ट्री-वॉक कवरेज, परिवहन के लिए MTA-STS और TLS-RPT, BIMI यदि ब्रांड प्रदर्शन आपके लिए मायने रखता है।

चरण 6 — कठोर और स्थायी। प्रवर्तन साथ आधुनिक स्टैक: DMARCbis से गैर-मौजूद-सबडोमेन (np=) कवरेज, ट्रांजिट में मेल सुरक्षित करने के लिए MTA-STS और TLS-RPT, BIMI जहाँ यह अपना काम करती है — और, महत्वपूर्ण रूप से, नए प्रेषकों और बदलाव के लिए निरंतर निगरानी। यह कोई बैज नहीं है; यह एक अनुशासन है। नए प्रेषक दिखाई देते हैं, प्रदाता IP बदलते हैं, कॉन्फ़िगरेशन सड़ते हैं। कदम: यहाँ रहें।

नो-मेल लेन। पूर्ण डोमेन इन्वेंट्री में मापे जाने पर — मृत डोमेन सहित — 51.5% डोमेन कोई मेल सेवा नहीं चलाते, और उनके लिए यात्रा एक चरण में संकुचित हो जाती है। एक डोमेन जो कभी नहीं भेजता, उसे तुरंत SPF -all और DMARC p=reject प्रकाशित करना चाहिए: कोई वैध मेल नहीं है जिसे सुरक्षित करना हो, इसलिए अवलोकन करने के लिए कुछ नहीं है और चढ़ने के लिए कोई दीवार नहीं। पार्क और निष्क्रिय ब्रांड डोमेन एकल DNS परिवर्तन में सीधे लागू पर जाते हैं — और ऐसा करने से सबसे सामान्य प्रतिरूपण वेक्टरों में से एक बंद हो जाता है।

दीवार: चरण 3 → 4

इस मॉडल में हर दूसरा संक्रमण एक DNS परिवर्तन है। यह एक अन्वेषण कार्य है — और यह वह जगह है जहाँ महीने मर जाते हैं।

Observing से Visibility तक जाने का मतलब है कि आपकी रिपोर्ट में हर भेजने के स्रोत को एक वास्तविक सिस्टम से जोड़ना: कौन सा ESP, कौन सा CRM, कौन से क्षेत्रीय कार्यालय का मेल रिले, कौन सा SaaS टूल किसी ने 2023 में जोड़ा और भूल गया। इसका मतलब है छाया-IT प्रेषकों को ढूंढना जिन्हें कोई भी दस्तावेज़ नहीं कर पाया। इसका मतलब है प्रत्येक ESP के लिए संरेखण ठीक करना, क्योंकि प्रत्येक प्लेटफ़ॉर्म के पास आपकी ओर से प्रमाणित करने का अपना तरीका है — उनमें से कुछ डिफ़ॉल्ट रूप से गलत।

दीवार को छोड़ना DMARC को उसकी डरावनी प्रतिष्ठा कैसे मिली। Observing से लागू करना — Visibility (चरण 4) के बिना — और आप कुछ वास्तविक तोड़ेंगे: एक चालान रन, एक पासवर्ड-रीसेट प्रवाह, CEO का न्यूज़लेटर। फिर p=none पर घबराहट में वापसी, आंतरिक पोस्टमॉर्टम, और वह सबक जो सभी गलत तरीके से सीखते हैं: “हमने DMARC की कोशिश की और इसने ईमेल तोड़ दिया।” अधिकांश DMARC भयावहता की कहानियाँ ठीक यही हैं — एक चरण जल्दी प्रवर्तन प्रयास किया। दीवार चरण 3 पर रोकने का कारण नहीं है। यही कारण है कि चरण 4 मौजूद है।

वह हिस्सा जो सभी भूल जाते हैं: चरण 5 → 6

p=reject तक पहुँचना From: लाइन में आपके डोमेन की प्रत्यक्ष स्पूफिंग को रोकता है, जो रिसीवर पर इसे जाँचते हैं। यह आवश्यक है — और यह पर्याप्त नहीं है। यह भी नाम लेने योग्य है कि प्रवर्तन ने कभी क्या कवर नहीं किया: समान डोमेन (yourc0mpany.com) और प्रदर्शन-नाम प्रतिरूपण DMARC की पहुँच से पूरी तरह बाहर हैं, इसलिए प्रवर्तन सटीक-डोमेन दरवाजा बंद करता है और पड़ोसी दरवाजे सतर्कता और अन्य नियंत्रणों के लिए छोड़ता है।

प्रवर्तन परिवहन के लिए कुछ नहीं करता: MTA-STS और TLS-RPT के बिना, आपके डोमेन पर मेल अभी भी ट्रांजिट में डाउनग्रेड या अवरोधित हो सकती है। यह ब्रांड पहचान के लिए कुछ नहीं करता: BIMI — आपका लोगो, इनबॉक्स पर प्रदर्शित — एक विश्वास संकेत है, सुरक्षा नियंत्रण नहीं, और इसे एक के रूप में मानना ईमानदार है (इसके लिए एक भुगतान किया प्रमाण पत्र भी चाहिए, यही कारण है कि यह आखिरी में है, पहले नहीं)। और सादा p=reject DMARCbis से पहले का है: नए RFC का np= टैग और ट्री-वॉक उस गैर-मौजूद-सबडोमेन अंतर को बंद करता है जो पुरानी तैनाती खुली छोड़ती है।

उपरोक्त में से किसी के बिना p=reject पर डोमेन सबसे सामान्य हमले से सुरक्षित है और बाकी के लिए तैयार नहीं है। यह एक वास्तविक अंतर है, और यह अपने चरण का हकदार है।

आपका चरण मापने योग्य है

यह मॉडल केवल एक आरेख नहीं है — एक डोमेन का चरण गणना करने योग्य है, जो इसे दीवार पर एक पोस्टर से अलग करता है।

चरण 3 से 6 को एक डोमेन के अपने DMARC रिपोर्टिंग डेटा साथ उसके प्रकाशित रिकॉर्ड से प्राप्त किया जा सकता है: कौन सी नीति लाइव है, क्या रिपोर्ट बहती हैं, और क्या हर देखा गया प्रेषक संरेखित होता है। चरण 1 और 2 एक लाइव DNS जाँच के साथ मूल्यांकन किए जाते हैं, क्योंकि अभी तक कोई रिपोर्ट नहीं है। प्रत्येक दिशा में एक ईमानदार सीमा: चरण 4 समय के साथ साक्ष्य द्वारा पुष्टि की जाती है — “हर देखे गए प्रेषक पर्याप्त रिपोर्टिंग दिनों में संरेखित होते हैं” एक मजबूत प्रॉक्सी है, लेकिन कोई रिपोर्ट उस प्रेषक को प्रकट नहीं कर सकती जिसे आपने अभी तक जोड़ा नहीं। और चरण 6 की कठोरीकरण परत — MTA-STS, TLS-RPT, BIMI — DMARC रिपोर्ट में अदृश्य है; इसे देखने के लिए DNS जाँच लगती है। एक डोमेन अपनी रिपोर्ट से “पूर्ण” दिख सकता है और अभी भी एक छिपा चरण 5 → 6 अंतर वहन कर सकता है। यह वह मॉडल है जिसके विरुद्ध हमारा अपना रिपोर्टिंग विश्लेषण मापता है, अवरोधक और सभी।

एक काम किया उदाहरण

एक मध्यम आकार की फर्म मेल-फ़िल्टरिंग गेटवे के पीछे Microsoft 365 चलाती है। SPF -all में समाप्त होता है, DKIM कॉन्फ़िगर है, DMARC p=none पर प्रकाशित है, और रिपोर्ट एक निगरानी टूल में बहती हैं। पुराने नक्शों पर यह लगभग पूर्ण दिखता है। इस पर यह चरण 3 — अवलोकन है: कठिन सेटअप पूर्ण है, और डोमेन ठीक दीवार पर रुक गया है — दृश्यमान, सुरक्षित नहीं। उच्चतम-मूल्य कदम 3 → 4 → 5 है: पुष्टि करें कि (संभवतः कम) वैध प्रेषक सभी संरेखित हैं, फिर नीति को चरणों में बढ़ाएं। इस आकार के डोमेन के लिए, यह आमतौर पर महीनों नहीं बल्कि हफ्तों का ध्यान है — दीवार उनके लिए सबसे ऊंची है जो इसे कभी मानचित्रित नहीं करते।

अपना चरण खोजें

सेवानिवृत्त होने वाला प्रश्न है “क्या हमारे पास DMARC है?” — 24.89% डोमेन हाँ कह सकते हैं जबकि 57.5% उनमें से जाली बनाने योग्य रहते हैं। बेहतर प्रश्न है “हम किस चरण पर हैं, और अगले चरण तक एक कदम क्या है?” इंटरनेट पर प्रत्येक डोमेन आज इन छह चरणों में से ठीक एक पर है। कौन सा यह जानना एक चिंता को एक काम करने की सूची में बदल देता है।

इंटरनेट छह चरणों में कहाँ बैठता है — अधिकांश डोमेन में बिल्कुल DMARC रिकॉर्ड नहीं है; उनमें से अधिकांश जिनके पास है, प्रवर्तन से पहले अटके हैं

अक्सर पूछे जाने वाले प्रश्न

DAMM क्या है? DMARC Adoption Maturity Model — इस पृष्ठ पर छह-चरण मॉडल: असुरक्षित, प्रमाणित, अवलोकन, दृश्यता, लागू, कठोर। एक डोमेन का चरण उसके DNS और उसके DMARC रिपोर्टिंग डेटा से मापने योग्य है, जो इसे दीवार पर एक पोस्टर से अलग करता है।

क्या p=none प्रकाशित करना तब व्यर्थ है? नहीं — यह चरण 3 है, और चरण 3 भार-वाहक है: रिपोर्टिंग वह है जो आप लागू करने से पहले हर प्रेषक को खोजते हैं। यह केवल तब समस्या बनती है जब इसे गंतव्य माना जाता है। देखें क्यों p=none सुरक्षा नहीं है

क्या मैं सीधे p=reject पर जा सकता हूँ? यदि आपका डोमेन कोई मेल नहीं भेजता — हाँ, आज, और आपको करना चाहिए। यदि यह मेल भेजता है — नहीं: Visibility (चरण 4) के बिना लागू करना वह है जिससे वैध मेल टूटता है और रोलबैक होता है। चरण सुरक्षित पथ हैं, औपचारिकता नहीं।

क्या मुझे “पूर्ण” होने के लिए BIMI चाहिए? नहीं। BIMI चरण 6 की ब्रांड-प्रदर्शन परत है और मॉडल में सबसे वैकल्पिक तत्व है — MTA-STS, TLS-RPT और DMARCbis का np= कवरेज वे हिस्से हैं जो डोमेन को भौतिक रूप से कठोर करते हैं। यदि प्रमाण पत्र लागत आपके लिए उचित नहीं है, तो इसे छोड़ें और चरण 6 का बाकी हिस्सा रखें।

SPF और DKIM कहाँ फिट होते हैं? सब कुछ के नीचे — वे चरण 1 → 2 हैं, और DMARC के बिना SPF उससे कम सुरक्षा करता है जितना अधिकांश मालिक मानते हैं। 2024 से, प्रमुख रिसीवरों ने भी बल्क प्रेषकों से सीधे प्रमाणीकरण की आवश्यकता रखी है।

जाँचें कि आपका अपना डोमेन कहाँ खड़ा है

ये चरण जनसंख्या पैटर्न हैं — आपका डोमेन इनमें से ठीक एक पर है, और अगला कदम जानने योग्य है। आप निजी और मुफ्त में जाँच सकते हैं, और देख सकते हैं कि आप 34 जाँचों में से कौन सी पास करते हैं और जो नहीं करते उन्हें कैसे ठीक करें।

अपना डोमेन जाँचें → · हमने इंटरनेट को कैसे ग्रेड किया → · DMARC पिलर → · केवल समग्र डेटा। डेटा EU में संग्रहीत और संसाधित।