Defaults.Exposed

Defaults.ExposedसुधारGuides

DMARC p=none से p=reject: Legitimate Email खोए बिना Staged Rollout (2026)

प्रकाशित 2026-07-08

आंकड़े 2026-06-29 तक के · methodology v7. 261 मिलियन ग्रेडेड डोमेन में कुल जनगणना डेटा। देखें हम ग्रेड कैसे करते हैं

DMARC को p=none से p=reject तक चार stages में ले जाएं: 2–4 हफ्ते rua reports monitor करें, हर legitimate sender fix करें, pct के साथ p=quarantine ramp करें, फिर reject — कभी सीधे reject न जाएं। Defaults.Exposed जनगणना के अनुसार 70,368,600 of 261,086,232 ग्रेडेड domains soft SPF के साथ बिना DMARC enforcement के रुके हैं।

यह operational runbook है: stages table exit criteria के साथ, प्रत्येक stage का record, RFC 7489 pct subtlety जो बदलती है कि reject पर “50%” का क्या मतलब है, और subdomains के लिए sp= tag। यदि आप तय कर रहे हैं कि enforce करना है या नहीं, पहले DMARC maturity के 6 stages पढ़ें — वह framework है; और यदि policy levels आपके लिए नए हैं, p=none, p=quarantine और p=reject का वास्तव में क्या मतलब है primer है। यह page doing के बारे में है।

सीधे p=reject क्यों नहीं जा सकते?

क्योंकि p=reject हर honoring receiver को उस mail को bounce करने को कहता है जो DMARC fail करती है — और जब तक आपने अपनी reports नहीं देखीं, आप नहीं जानते क्या fail होता है। लगभग हर domain जो monitoring चालू करता है legitimate senders discover करता है जो उसे भूल गया था: CRM, invoicing tool, contact form। Day one पर reject जाएं और वह mail spam में नहीं जाती; यह SMTP time पर disappear हो जाती है। Invoice run खोना एक organization को DMARC से डराता है, और record permanently p=none पर roll back हो जाता है — 261,086,232 ग्रेडेड domains में से, 37,312,637 exactly वहीं parked हैं, और केवल 10.59% (27,640,987) कभी enforced policy तक पहुंचते हैं।

दूसरा कारण alignment है। DMARC केवल tab pass करता है जब SPF या DKIM pass करता है और visible From domain के साथ align करता है — SPF Return-Path (RFC5321.MailFrom) domain के विरुद्ध, DKIM signature के d= के विरुद्ध। Third-party senders आमतौर पर अपने domain पर SPF pass करते हैं, आपके नहीं, यही कारण है कि fix-every-source stage mostly हर vendor का custom-domain DKIM enable करने के बारे में है — DMARC fails but SPF and DKIM pass में unpacked।

चार rollout stages क्या हैं?

StagePolicy recordpctFailing mail के साथ क्या होता हैExit criteria
1. Monitorp=none; rua=mailto:…Normally deliver होती है; आपको aggregate reports मिलती हैं2–4 हफ्ते के reports; उनमें हर sender legitimate या नहीं identify
2. Sources fix करेंp=none (unchanged)Still normally deliver होती हैहर legitimate source DMARC aligned pass करता है (per sender custom-domain DKIM); remaining failures केवल unknown/spoofed traffic
3. Quarantine rampp=quarantine10 → 25 → 50 → 100Sampled share spam folders में जाती है; sampled-out share p=none (delivered) के रूप में treat होती है1–2 हफ्ते pct=100 पर zero legitimate mail quarantined के साथ
4. Rejectp=reject100SMTP time पर bounced; sender को bounce मिलता है, recipient कुछ नहीं देखताOngoing — rua forever on रखें नए senders catch करने के लिए

Data 2026-06-29 तक का; policy behaviour per RFC 7489।

Stage 3 वह है जहां domains रुकते या panic करते हैं। Spam-foldering recoverable है — users mail खोजते हैं, आप pct loose करते हैं, source fix करते हैं। Rejection recoverable नहीं है, यही कारण है कि quarantine at pct=100 cleanly running stage 4 का entry ticket है।

Rollout कदम-दर-कदम कैसे चलाएं?

  1. DNS छूने से पहले defaults.exposed पर मुफ़्त स्कैन चलाएं। यह आपका current policy और SPF और DKIM नीचे मौजूद हैं या नहीं confirm करता है — वे दो legs जिन पर enforcement खड़ी है।
  2. Monitoring चालू करें यदि नहीं की। rua= के साथ p=none publish करना “DMARC policy not enabled” में पांच मिनट का step है। 2–4 हफ्ते reports collect करें — monthly senders जैसे invoicing runs catch करने के लिए पर्याप्त।
  3. Reports में हर source inventory करें। Senders को आपके, आपके vendors’, और unknown में sort करें। Raw reports XML के रूप में आते हैं — report-processing tool (या आपके provider का dashboard) उन्हें readable sender inventory में बदलता है।
  4. प्रत्येक legitimate source को aligned pass करवाएं। प्रत्येक vendor का custom-domain DKIM enable करें (आमतौर पर उनके dashboard में दो CNAME records) ताकि signatures आपका domain carry करें, उनका नहीं। DKIM को alignment के लिए prefer करें: यह forwarding से बचती है, SPF नहीं
  5. Clean fortnight का wait करें। Stage 2 से केवल तब exit करें जब reported failures exclusively वह traffic हों जिसे आप recognize नहीं करते — वह spoofing जिसे आप block करना चाहते हैं।
  6. p=quarantine; pct=10 पर जाएं — existing _dmarc TXT record edit करें (worked example: IONOS DMARC setup), और syntax देखें: policy tag में typo record को entirely void कर सकता है। 2–4 हफ्तों में pct को 25, 50, 100 तक ramp करें, reports और helpdesk tickets देखते हुए। Spam में कुछ legitimate: pct वापस drop करें, source fix करें, resume करें।
  7. p=reject पर जाएं pct=100 पर 1–2 clean हफ्तों के बाद। rua= permanently on रखें — आपकी company का हर नया tool एक future failing sender है।

pct वास्तव में क्या करता है? RFC 7489 subtlety

pct receivers को आपकी policy उस percentage of failing mail पर apply करने के लिए कहता है। Subtlety, RFC 7489 §6.6.4 से: mail जो sampled out है “normally deliver” पर fall back नहीं करती — इसे next-less-severe policy मिलती है। p=quarantine; pct=25 के तहत, बाकी 75% को p=none के रूप में treat किया जाता है और deliver किया जाता है। लेकिन p=reject; pct=50 के तहत, बाकी 50% quarantined है, delivered नहीं। कोई gentle reject नहीं है: जिस moment आपका record reject कहता है, हर failing message honoring receivers पर minimum spam-foldered है।

Deliberately use करने पर, यह एक feature है — p=reject; pct=1 “almost everything quarantine करें, trickle reject करें” की तरह behave करता है, एक legitimate final on-ramp। दो cautions: receivers सभी sampling identically implement नहीं करते, इसलिए pct को rough dial treat करें; और stage 4 stable होने के बाद tag remove करें (या pct=100 set करें), ताकि आपका record वही कहे जो आपका मतलब है।

Subdomains के बारे में क्या — sp= tag?

Default से, subdomains organizational domain की policy inherit करते हैं: yourdomain.com पर p=reject mail.yourdomain.com को भी cover करता है। sp= tag उन्हें diverge करने देता है, useful और dangerous दोनों directions में। Useful: p=quarantine; sp=reject उन subdomains को lock down करता है जिनसे आप कभी send नहीं करते जबकि apex अभी भी mid-ramp है — spoofers monitored domains के subdomains को deliberately target करते हैं। Dangerous: एक forgotten sp=none quietly हर subdomain को उस reject policy से exempt करता है जो आपने छह हफ्ते earn की। Stage 4 पर इसे check करें; यदि एक subdomain को genuinely looser policy चाहिए, उस subdomain पर _dmarc record publish करें बजाय उन सभी को loosen करने के।

क्या NIS2 का मतलब है EU businesses को यह करना होगा?

DMARC everywhere identically काम करता है — इस runbook में EU border पर कुछ नहीं बदलता। जो बदलता है वह compliance pull है। NIS2 Article 21(2)(j) in-scope entities को अपनी communications secure करने की require करती है, और Commission Implementing Regulation (EU) 2024/2690 उन digital-infrastructure entities के लिए technical requirements spell out करता है जिन्हें यह cover करता है — इसके Annex (point 6.7.2(k)) में internationally agreed modern email-security standards deploy करने के लिए implementation plan की require है, और point 6.7.2(l) में DNS-security best practices की require है। SPF और DKIM के नीचे enforced DMARC policy spoofing के लिए recognised auditable control है; p=none demonstrably monitoring है, securing नहीं। यदि आपके customers in scope हैं, उनके supplier questionnaires increasingly exactly यही ask करते हैं।

अक्सर पूछे जाने वाले सवाल

पूरा rollout कितना समय लेता है? छह से दस हफ्ते typical है: 2–4 हफ्ते monitoring, 1–3 हफ्ते sources fix करना, 2–4 हफ्ते quarantine ramp करना, फिर reject। यह calendar time है, effort नहीं — mostly reports का wait करना है हर change confirm करने के लिए। 261,086,232 ग्रेडेड domains में से 89.41% बिना enforced policy के (data 2026-06-29 तक) mostly mid-rollout नहीं हैं; उन्होंने कभी clock start ही नहीं किया।

क्या मैं quarantine skip करके low pct के साथ p=reject उपयोग कर सकता हूं? कर सकते हैं — per RFC 7489 §6.6.4, p=reject; pct=10 का मतलब है 10% rejected और 90% quarantined, roughly late stage 3। लेकिन पहले p=quarantine reason करना easier है, और receivers sampling में vary करते हैं कितनी faithfully। किसी भी तरह, stages 1–2 non-negotiable हैं: कोई भी enforcement flavour safe नहीं है जब तक legitimate senders still fail होते हैं।

वह mail जिसे मैं fix नहीं कर सकता — forwarders और mailing lists? Forwarding SPF को design से तोड़ती है, और कुछ mailing lists content rewrite करती हैं, DKIM भी तोड़ते हुए। Aligned DKIM ordinary forwarding से बचती है, जो अधिकांश को handle करती है; small residue वह है जिसके लिए quarantine stage मौजूद है — spam-foldered mail recoverable है assess करते समय। Details forwarded email fails SPF में।

p=quarantine पर रुकना क्या काफी है? यह अधिकांश value है, और p=none पर parked 37,312,637 domains (261,086,232 graded में से, 2026-06-29 तक) से कहीं बेहतर — लेकिन spoofed mail अभी भी spam folders में reach करती है, जहां लोग इसे fish करते हैं। Reject endpoint है: केवल 10.59% ग्रेडेड domains enforce करते हैं, और finishing वह है जो checkers, insurers और questionnaires credit करते हैं।

मालिक को रिपोर्ट भेजें

यदि आप किसी client या नियोक्ता के लिए यह rollout चला रहे हैं, finish line showable है। p=reject resolve होने के बाद मुफ़्त स्कैन फिर से चलाएं और graded report forward करें: domain enforced policy की ओर move होता हुआ, timestamped और plain English में। वह एक page cyber-insurance renewals और NIS2-driven supplier questionnaires पर email-security line का DNS panel screenshot से बेहतर जवाब देता है — और छह हफ्ते के careful, invisible work को उस व्यक्ति को visible बनाता है जो इसके लिए pay करता है।

अपनी DMARC policy मुफ़्त में जांचें

देखें आपकी policy currently क्या है — और SPF और DKIM enforcement carry कर सकती हैं या नहीं — privately और owner-only।

अपना डोमेन जांचें → · DMARC ठीक करें → · “DMARC policy not enabled” — ईमानदार पहला कदम → · केवल समग्र डेटा। डेटा EU में संग्रहीत और संसाधित।