Defaults.Exposed › Izvještaji
6 stupnjeva zrelosti DMARC-a
Objavljeno 2026-07-03 · ažurirano 2026-07-03
Podaci na dan 2026-06-29 · metodologija v7. Ovo je referentni model potkrijepljen ponavljajućim popisom; svako izdanje ponovno mjeri istu populaciju kako bi se brojke mogle pratiti tijekom vremena. Sve su brojke agregatne — nikad ne objavljujemo ocjenu pojedinačne tvrtke.
Objaviti DMARC nije isto što i biti zaštićen
Od 261 milijuna izmjerenih domena, njih 24.89% objavljuje DMARC zapis — ali samo 10.59% provodi njegovu primjenu. Drugim riječima: od otprilike 65 milijuna domena koje su započele DMARC put, 57.5% nikad nije stiglo do dijela koji išta blokira. Objavile su zapis, usmjerile izvještavanje nekamo i zapele. Manje neovisne studije nalaze isti oblik — jedan industrijski izvještaj iz 2026. procijenio je da provedbu primjenjuje ~9% od ~938.000 domena koje je ispitao.
Usvajanje više nije problem. Zaštita jest. A domene zapinju iz strukturnog razloga: mape koje svi koriste prekidaju se prerano. Završavaju preblizu početka i nijedna od njih najtežem koraku ne daje vlastito ime.
Gdje se postojeće mape prekidaju prerano
Modeli po kojima se industrija ravna bili su ispravni za svoje doba i zaslužuju pošteno čitanje:
- Petofazni model implementacije koji je popularizirao dmarcian (čiji je osnivač suautor samog DMARC-a) vodi implementaciju → praćenje → pooštravanje pravila — i dosezanje
p=rejecttretira kao odredište. - RFC progresija —
p=none → quarantine → reject— čini tri razine provedbe, a ne model zrelosti. Ne govori ništa o preduvjetima i ništa o onome što dolazi poslije. - „Puzi, hodaj, trči” narodni je model: usmjereno ispravan, strukturno prazan.
Sva tri dijele dva ograničenja. Prvo, staju na p=reject — kao da je provedba ciljna crta. Nije: sam se standard pomaknuo naprijed (DMARCbis — RFC 9989, 9990 i 9991 — objavljen je u svibnju 2026., zamjenjujući izvorni RFC 7489), a provedba ne čini ništa za sigurnost prijenosa ili povjerenje u marku. Drugo — i upravo to ono što zapravo zaustavlja domene — nijedan od njih ne pretvara „svaki pošiljatelj obračunan” u imenovani stupanj. Da budemo pošteni, vodiči za implementaciju taj posao spominju: dmarcianov model uključuje identifikaciju izvora kao zadatak unutar svoje faze praćenja. Ali zadatak zakopan unutar faze upravo se tako i tretira — kao dio „praćenja”, a ne kao zasebno postignuće koje jest. Gledati kako izvještaji stižu čini se poput napretka. Nije, još ne. Najveći pojedinačni razlog zašto domene godinama ostaju na p=none jest taj što svoju poštu vide, ali je nisu obračunale — pa se ne usuđuju provoditi primjenu iz straha da će pokvariti nešto stvarno.
Koristan model tome koraku treba dati vlastito ime i vlastite kriterije izlaska. Ovaj to čini. Nazivamo ga Model zrelosti usvajanja DMARC-a — DAMM (DMARC Adoption Maturity Model): šest stupnjeva, po jedan potez svaki i ime koje možete citirati.
Model
Stupanj 1 — Nezaštićeno. Nema DMARC zapisa — ili su ispod njega SPF i DKIM nepotpuni. Bilo tko može slati e-poštu kao vaša domena, a nigdje ništa ne provjerava. Potez: konfigurirajte SPF i DKIM za svoju primarnu poštu i potvrdite da se autentificiraju i poravnavaju. DMARC je izgrađen na oboma; ovaj temelj ne možete preskočiti.
Stupanj 2 — Autentificirano. SPF i DKIM ispravni su i poravnavaju se za vaš glavni tok pošte. Vaša legitimna pošta dokazuje svoje podrijetlo — ali ništa ne govori svjetskim sandučićima što učiniti s poštom koja ga ne dokazuje. Potez: objavite DMARC zapis na p=none s rua= adresom za izvještavanje.
Stupanj 3 — Promatranje. DMARC je objavljen, agregatni izvještaji pristižu i po prvi put možete vidjeti tko šalje kao vaša domena. Ništa nije blokirano. Većina alata ovaj stupanj naziva „vidljivošću” — mi to namjerno ne činimo, jer vidjeti izvještaje i razumjeti ih dva su različita postignuća. Potez: identificirajte svaki legitiman izvor koji šalje kao vaša domena i svaki od njih poravnajte.
Stupanj 4 — Vidljivost. Svaki je legitiman pošiljatelj identificiran i poravnat — platforma za newsletter, sustav za fakturiranje, CRM, ona stvar na koju se marketing prijavio prošlog proljeća. Poznajete svoju poštu. Ništa legitimno neće se pokvariti ako provedete primjenu. Ovo je stupanj koji stare mape preskaču i zid preko kojeg se većina domena nikad ne popne. Potez: podignite pravilo — p=none → p=quarantine (ovdje pomaže DMARCbisov t=y testni način) → p=reject.
Stupanj 5 — Primjena provedena. p=quarantine ili p=reject je aktivan, uz poddomene pokrivene eksplicitnim sp= pravilom. Pošta koja ne prođe autentifikaciju sada se doista karantenira ili odbija na sudjelujućim primateljima — što uključuje svakog većeg pružatelja usluge sandučića — pa izravno lažiranje vaše točne domene prestaje pristizati tamo gdje se DMARC provjerava. Potez: dodajte sloj ojačavanja — DMARCbisov np= i pokrivenost obilaskom stabla, MTA-STS i TLS-RPT za prijenos, BIMI ako vam je prikaz marke važan.
Stupanj 6 — Ojačano i održivo. Provedba uz moderni skup: pokrivenost nepostojećih poddomena (np=) iz DMARCbisa, MTA-STS i TLS-RPT koji osiguravaju poštu u prijenosu, BIMI ondje gdje se isplati — i, ključno, kontinuirano praćenje odstupanja i novih pošiljatelja. Ovo nije značka; to je disciplina. Novi se pošiljatelji pojavljuju, pružatelji mijenjaju IP-ove, konfiguracije trunu. Potez: ostanite ovdje.
Traka bez pošte. Mjereno na cjelokupnom popisu domena — uključujući mrtve domene — 51.5% domena uopće ne pokreće poštansku uslugu, i za njih se put svodi na jedan korak. Domena koja nikad ne šalje trebala bi odmah objaviti SPF
-alli DMARCp=reject: nema legitimne pošte koju bi trebalo štititi, pa nema ni što promatrati ni zida na koji se penjati. Parkirane i uspavane marke idu ravno na Primjenu provedenu u jednoj DNS izmjeni — a time se zatvara jedan od najčešćih vektora lažnog predstavljanja koji postoje.
Zid: Stupanj 3 → 4
Svaki drugi prijelaz u ovom modelu jest DNS izmjena. Ovaj je istraživački rad — i tu umiru mjeseci.
Doći od Promatranja do Vidljivosti znači pripisati svaki izvor slanja u vašim izvještajima stvarnom sustavu: koji ESP, koji CRM, koji poštanski relej regionalnog ureda, koji je SaaS alat netko povezao 2023. i zaboravio. Znači pronaći pošiljatelje iz sjenovitog IT-a koje nitko nije dokumentirao. Znači popraviti poravnanje ESP po ESP, jer svaka platforma ima vlastiti način autentifikacije u vaše ime — neke od njih pogrešan po zadanim postavkama.
Preskakanje zida način je na koji je DMARC stekao svoju zastrašujuću reputaciju. Provedite primjenu iz Promatranja — bez Vidljivosti — i hoćete blokirati nešto stvarno: seriju faktura, tok ponovnog postavljanja lozinke, direktorov newsletter. Zatim slijedi panično vraćanje na p=none, unutarnja analiza i pouka koju svi pogrešno nauče: „probali smo DMARC i pokvario je e-poštu.” Većina DMARC strašnih priča upravo je to — provedba pokušana jedan stupanj prerano. Zid nije razlog da stanete na Stupnju 3. To je razlog zašto Stupanj 4 postoji.
Ovo je ujedno stupanj na kojem vlasnici najčešće uvode pomoć — IT pružatelj ili usluga praćenja DMARC-a mogu obaviti posao identifikacije pošiljatelja; stupnjevi ostaju isti u svakom slučaju.
Dio koji svi zaboravljaju: Stupanj 5 → 6
Dosezanje p=reject zaustavlja izravno lažiranje vaše domene u polju From:, kod primatelja koji ga provjeravaju. To je nužno — i nije dovoljno. Vrijedno je i imenovati ono što provedba nikad nije pokrivala: sličnih domena (yourc0mpany.com) i lažnog predstavljanja putem prikaznog imena leže u potpunosti izvan dosega DMARC-a, pa provedba zatvara vrata točne domene, a susjedna ostavlja budnosti i drugim kontrolama.
Provedba ne čini ništa za prijenos: bez MTA-STS i TLS-RPT, pošta prema vašoj domeni i dalje se može degradirati ili presresti u prijenosu. Ne čini ništa za prepoznatljivost marke: BIMI — vaš logotip, prikazan u sandučiću — signal je povjerenja, a ne sigurnosna kontrola, i pošteno ga je tretirati kao takvog (također zahtijeva plaćeni certifikat, zbog čega je posljednji, a ne prvi). A obični p=reject prethodi DMARCbisu: np= oznaka novih RFC-ova i obilazak stabla zatvaraju prazninu nepostojećih poddomena koju starije implementacije ostavljaju otvorenom.
Domena na p=reject bez ijednog od gore navedenog zaštićena je od najčešćeg napada, a nespremna za ostatak. To je stvarna razlika i zaslužuje vlastiti stupanj.
Vaš je stupanj mjerljiv
Ovaj model nije samo dijagram — stupanj domene je izračunljiv, što je ono što ga razlikuje od plakata na zidu.
Stupnjevi 3 do 6 mogu se izvesti iz vlastitih DMARC podataka o izvještavanju domene uz njezine objavljene zapise: koje je pravilo aktivno, pristižu li izvještaji i poravnava li se svaki promatrani pošiljatelj. Stupnjevi 1 i 2 procjenjuju se pomoću provjere DNS-a uživo, budući da izvještaja još nema. Jedno pošteno ograničenje u svakom smjeru: Stupanj 4 potvrđuje se dokazima tijekom vremena — „svaki promatrani pošiljatelj poravnava se kroz dovoljno dana izvještavanja” snažan je pokazatelj, ali nijedan izvještaj ne može otkriti pošiljatelja kojeg još niste povezali. A sloj ojačavanja Stupnja 6 — MTA-STS, TLS-RPT, BIMI — nevidljiv je u DMARC izvještajima; potrebna je provjera DNS-a da bi ga se vidjelo. Domena može izgledati „gotovo” iz svojih izvještaja, a i dalje nositi skrivenu prazninu Stupnja 5 → 6. Ovo je model prema kojem mjeri naša vlastita analiza izvještavanja, sa svim preprekama.
Razrađeni primjer
Srednje velika tvrtka pokreće Microsoft 365 iza pristupnika za filtriranje pošte. SPF završava s -all, DKIM je konfiguriran, DMARC je objavljen na p=none, a izvještaji pristižu u alat za praćenje. Na starim mapama ovo izgleda gotovo dovršeno. Na ovoj je to Stupanj 3 — Promatranje: teško postavljanje je gotovo, a domena je zapela točno na zidu — vidljiva, ne zaštićena. Potez najveće vrijednosti jest 3 → 4 → 5: potvrdite da se (vjerojatno malobrojni) legitimni pošiljatelji svi poravnavaju, a zatim podignite pravilo u stupnjevima. Za domenu ovakvog oblika to je obično nekoliko tjedana pažnje, a ne mjeseci — zid je najviši za one koji ga nikad ne mapiraju.
Pronađite svoj stupanj
Pitanje koje treba umiroviti jest „imamo li DMARC?” — 24.89% domena može reći da, dok 57.5% njih ostaje podložno lažiranju. Bolje je pitanje „na kojem smo stupnju i koji je jedan potez do sljedećeg?” Svaka je domena na internetu danas na točno jednom od ovih šest stupnjeva. Znati na kojem pretvara tjeskobu u popis zadataka.
Često postavljana pitanja
Što je DAMM? Model zrelosti usvajanja DMARC-a — model u šest stupnjeva na ovoj stranici: Nezaštićeno, Autentificirano, Promatranje, Vidljivost, Primjena provedena, Ojačano. Stupanj domene mjerljiv je iz njezina DNS-a i njezinih DMARC podataka o izvještavanju, što je ono što ga razlikuje od plakata na zidu.
Je li objaviti p=none onda bezvrijedno? Ne — to je Stupanj 3, a Stupanj 3 je nosiv: izvještavanje je način na koji pronalazite svakog pošiljatelja prije nego što provedete primjenu. Postaje problem tek kada se tretira kao odredište. Pogledajte zašto p=none nije zaštita.
Mogu li preskočiti ravno na p=reject? Ako vaša domena ne šalje poštu — da, danas, i trebali biste. Ako šalje poštu — ne: provedba bez Vidljivosti (Stupanj 4) način je na koji se legitimna pošta pokvari i dolazi do vraćanja. Stupnjevi su siguran put, a ne ceremonija.
Trebam li BIMI da bih bio „gotov”? Ne. BIMI je sloj prikaza marke Stupnja 6 i najopcionalniji element u modelu — MTA-STS, TLS-RPT i DMARCbisova np= pokrivenost dijelovi su koji domenu materijalno ojačavaju. Ako trošak certifikata za vas nije opravdan, preskočite ga i zadržite ostatak Stupnja 6.
Gdje se uklapaju SPF i DKIM? Ispod svega — oni su Stupnjevi 1 → 2, a SPF bez DMARC-a štiti manje nego što većina vlasnika pretpostavlja. Od 2024. veliki primatelji također izravno zahtijevaju autentifikaciju od masovnih pošiljatelja.
Provjerite gdje stoji vaša vlastita domena
Ovi su stupnjevi obrasci populacije — vaša je domena na točno jednom od njih, a sljedeći je potez spoznatljiv. Možete provjeriti privatno i besplatno te vidjeti koje od 34 provjere prolazite i kako popraviti one koje ne prolazite.
Provjerite svoju domenu → · Kako smo ocijenili internet → · Stup DMARC-a → · Samo agregatni podaci. Podaci pohranjeni i obrađeni u EU-u.