Defaults.Exposed › Jelentések
A DMARC-érettség 6 szakasza
Közzétéve 2026-07-03 · frissítve 2026-07-03
Az adatok 2026-06-29 állapotát tükrözik · v7-es módszertan. Ez egy referenciamodell, amelyet egy visszatérő népszámlálás támaszt alá; minden kiadás ugyanazt a populációt méri újra, így a számok időben követhetők. Minden adat összesített — soha nem tesszük közzé egyetlen vállalkozás egyedi minősítését sem.
A DMARC közzététele nem ugyanaz, mint a védettség
Az összesen 261 millió mért domain közül 24.89% tesz közzé DMARC-rekordot — de csak 10.59% kényszeríti is ki. Másképp fogalmazva: a nagyjából 65 millió domain közül, amely elindult a DMARC-úton, 57.5% soha nem jutott el arra a pontra, ahol bármit is blokkolna. Közzétettek egy rekordot, valahová irányították a jelentéseket, majd elakadtak. A kisebb, független tanulmányok ugyanezt a mintázatot mutatják — egy 2026-os iparági jelentés ~9%-os kikényszerítést állapított meg az általa vizsgált ~938 000 domain körében.
Az elterjedtség már nem probléma. A védettség viszont igen. A domainek pedig egy szerkezeti okból akadnak el: a mindenki által használt térképek túl korán érnek véget. Túl hamar záródnak, és egyik sem ad saját nevet a legnehezebb lépésnek.
Hol érnek véget túl korán a meglévő térképek
A modellek, amelyek szerint az iparág tájékozódik, a maguk korában helytállók voltak, és megérdemlik a méltányos olvasatot:
- A dmarcian által népszerűsített ötfázisos telepítési modell (amelynek alapítója maga is társszerzője volt a DMARC-nak) végigvezet a bevezetés → megfigyelés → szabályzat-szigorítás útján — és a
p=rejectelérését tekinti célnak. - Az RFC-fejlődés —
p=none → quarantine → reject— három kikényszerítési szintet jelent, nem érettségi modellt. Nem mond semmit az előfeltételekről, és semmit arról, ami utána következik. - A „csúszás, séta, futás” egy népi modell: irányát tekintve helyes, szerkezetileg üres.
Mindhármat két korlát köti össze. Először: a p=reject-nél megállnak — mintha a kikényszerítés lenne a célvonal. Pedig nem az: maga a szabvány is továbblépett (a DMARCbis — az RFC 9989, 9990 és 9991 — 2026 májusában jelent meg, felváltva az eredeti RFC 7489-et), és a kikényszerítés semmit nem tesz sem a szállítás biztonságáért, sem a márkabizalomért. Másodszor — és éppen ez az, ami valójában megakasztja a domaineket — egyikük sem tesz külön, megnevezett szakasszá azt, hogy „minden feladó számbavéve”. A méltányosság kedvéért: a telepítési útmutatók megemlítik ezt a munkát — a dmarcian modellje a feladók azonosítását egy feladatként tartalmazza a megfigyelési fázisán belül. De egy fázisba temetett feladatot pontosan úgy kezelnek, ahogy elhelyezik — a „megfigyelés” részeként, nem pedig annak a különálló teljesítménynek, ami valójában. A beérkező jelentések figyelése előrehaladásnak érződik. Pedig még nem az. A legfőbb ok, amiért a domainek évekig a p=none-nál ragadnak, az, hogy látják a leveleiket, de nem vették számba őket — így nem mernek kikényszeríteni, félve attól, hogy valami valóságosat törnek el.
Egy hasznos modellnek saját nevet és saját kilépési feltételeket kell adnia ennek a lépésnek. Ez a modell ezt teszi. Mi DMARC-bevezetési érettségi modellnek — DAMM nevezzük: hat szakasz, mindegyikhez egy lépés, és egy név, amelyre hivatkozhatsz.
A modell
1. szakasz — Védtelen. Nincs DMARC-rekord — vagy hiányos alatta az SPF és a DKIM. Bárki küldhet e-mailt a domained nevében, és sehol semmi nem ellenőrzi. A lépés: állítsd be az SPF-et és a DKIM-et az elsődleges levelezésedhez, és győződj meg róla, hogy hitelesítenek és igazodnak. A DMARC mindkettőre épül; ezt az alapszintet nem lehet kihagyni.
2. szakasz — Hitelesített. Az SPF és a DKIM helyes, és igazodik a fő levelezési folyamodhoz. A jogos leveleid bizonyítják az eredetüket — de semmi nem mondja meg a világ postafiókjainak, mit tegyenek azzal a levéllel, amelyik nem. A lépés: tegyél közzé egy DMARC-rekordot p=none szinten, egy rua= jelentéscímmel.
3. szakasz — Megfigyelő. A DMARC közzé van téve, az összesített jelentések áramlanak, és először láthatod, ki küld a domained nevében. Semmi nincs blokkolva. A legtöbb eszköz ezt a szakaszt „láthatóságnak” nevezi — mi szándékosan nem, mert a jelentések látása és a megértésük két különböző teljesítmény. A lépés: azonosíts minden jogos forrást, amely a domained nevében küld, és igazítsd be mindegyiket.
4. szakasz — Láthatóság. Minden jogos feladó azonosítva és beigazítva — a hírlevélplatform, a számlázórendszer, a CRM, az a dolog, amelyre a marketing tavasszal iratkozott fel. Ismered a leveleidet. Semmi jogos nem törik el, ha kikényszerítesz. Ez az a szakasz, amelyet a régi térképek átugranak, és a fal, amelyet a legtöbb domain soha nem mászik meg. A lépés: emeld a szabályzatot — p=none → p=quarantine (itt segít a DMARCbis t=y tesztmódja) → p=reject.
5. szakasz — Kikényszerített. A p=quarantine vagy a p=reject él, az aldomaineket pedig egy kifejezett sp= szabályzat fedi le. A hitelesítést nem teljesítő levél most már ténylegesen karanténba kerül vagy elutasítják a részt vevő fogadóknál — amelyek közé minden nagyobb postafiók-szolgáltató beletartozik —, így a pontos domained közvetlen hamisítása megszűnik ott landolni, ahol a DMARC-ot ellenőrzik. A lépés: add hozzá a megerősítő réteget — a DMARCbis np= tagjét és fabejáró (tree-walk) lefedettségét, az MTA-STS-t és a TLS-RPT-t a szállításhoz, valamint a BIMI-t, ha a márka megjelenítése számít neked.
6. szakasz — Megerősített és fenntartott. A kikényszerítés a modern csomaggal: a DMARCbis nem létező aldomaint (np=) lefedő tagje, az MTA-STS és a TLS-RPT, amely a szállítás közben biztosítja a levelet, a BIMI ott, ahol megéri a fáradságot — és, ami döntő, folyamatos megfigyelés a sodródás és az új feladók észlelésére. Ez nem kitűző; ez fegyelem. Új feladók jelennek meg, a szolgáltatók IP-címeket váltanak, a konfigurációk elavulnak. A lépés: maradj itt.
A levél nélküli sáv. A teljes domainleltáron mérve — a halott domaineket is beleértve — a domainek 51.5%-a egyáltalán nem üzemeltet levelezőszolgáltatást, és számukra az út egyetlen lépésre zsugorodik. Egy domain, amely soha nem küld, azonnal tegyen közzé SPF
-all-t és DMARCp=reject-et: nincs jogos levél, amit védeni kellene, így nincs mit megfigyelni, és nincs fal, amit meg kellene mászni. A parkoltatott és alvó márkadomainek egyetlen DNS-módosítással egyenesen a Kikényszerített szakaszba lépnek — és ezzel elzárják az egyik leggyakoribb megszemélyesítési támadási felületet.
A fal: 3. → 4. szakasz
A modellben minden más átmenet egy DNS-módosítás. Ez viszont nyomozómunka — és itt halnak meg a hónapok.
A Megfigyelőtől a Láthatóságig eljutni azt jelenti, hogy a jelentéseidben szereplő minden küldő forrást egy valós rendszerhez rendelsz: melyik ESP, melyik CRM, melyik regionális iroda levéltovábbítója, melyik SaaS-eszköz, amelyet valaki 2023-ban csatlakoztatott, majd elfelejtett. Azt jelenti, hogy megtalálod az árnyék-IT feladókat, amelyeket senki sem dokumentált. Azt jelenti, hogy ESP-ről ESP-re javítod az igazodást, mert minden platformnak megvan a maga módja, ahogyan a nevedben hitelesít — némelyikük alapból hibásan.
A fal kihagyása az, ahogyan a DMARC ijesztő hírnevet szerzett. Kényszeríts ki a Megfigyelőből — Láthatóság nélkül —, és biztosan blokkolsz majd valami valóságosat: egy számlázási futtatást, egy jelszó-visszaállítási folyamatot, a vezérigazgató hírlevelét. Aztán jön a pánikszerű visszaállás p=none-ra, a belső utólagos elemzés, és a tanulság, amelyet mindenki rosszul von le: „kipróbáltuk a DMARC-ot, és eltörte az e-mailt.” A legtöbb DMARC-rémtörténet pontosan ez — egy szakasszal korábban megkísérelt kikényszerítés. A fal nem ok arra, hogy megállj a 3. szakasznál. Ez az ok, amiért a 4. szakasz létezik.
Ez egyben az a szakasz is, ahol a tulajdonosok a leggyakrabban vonnak be segítséget — egy informatikai szolgáltató vagy egy DMARC-megfigyelő szolgáltatás elvégezheti a feladóazonosítási munkát; a szakaszok így is, úgy is ugyanazok maradnak.
Amiről mindenki megfeledkezik: 5. → 6. szakasz
A p=reject elérése megállítja a domained közvetlen hamisítását a From: sorban, azoknál a fogadóknál, amelyek ellenőrzik. Ez szükséges — de nem elégséges. Érdemes megnevezni azt is, amit a kikényszerítés soha nem fedett le: a hasonló domainek (yourc0mpany.com) és a megjelenítendő névvel való megszemélyesítés teljes egészében kívül esik a DMARC hatókörén, így a kikényszerítés bezárja a pontos domain ajtaját, a szomszédosakat pedig az éberségre és más kontrollokra hagyja.
A kikényszerítés semmit nem tesz a szállításért: MTA-STS és TLS-RPT nélkül a domainednek küldött levél még mindig visszaminősíthető vagy elfogható szállítás közben. Semmit nem tesz a márkafelismerésért: a BIMI — a logód, a postafióknál megjelenítve — bizalmi jelzés, nem biztonsági kontroll, és tisztességes ekként kezelni (fizetős tanúsítványt is igényel, ezért áll utolsóként, nem elsőként). A puszta p=reject pedig megelőzi a DMARCbis-t: az új RFC-k np= tagje és fabejárása bezárja a nem létező aldomain rését, amelyet a régebbi telepítések nyitva hagynak.
Egy p=reject-en lévő domain, amely a fentiek egyikét sem alkalmazza, védve van a leggyakoribb támadás ellen, és felkészületlen a többivel szemben. Ez valódi megkülönböztetés, és megérdemli a saját szakaszát.
A szakaszod mérhető
Ez a modell nem csupán egy ábra — egy domain szakasza kiszámítható, és éppen ez különbözteti meg egy falon lógó plakáttól.
A 3-tól 6-ig terjedő szakaszok levezethetők egy domain saját DMARC-jelentési adataiból, valamint a közzétett rekordjaiból: milyen szabályzat él, áramlanak-e a jelentések, és minden megfigyelt feladó igazodik-e. Az 1. és 2. szakaszt élő DNS-ellenőrzéssel értékeljük, mivel még nincsenek jelentések. Egy-egy őszinte korlát mindkét irányban: a 4. szakaszt idővel felhalmozódó bizonyíték erősíti meg — a „minden megfigyelt feladó igazodik elegendő jelentési napon át” erős közelítés, de egyetlen jelentés sem tudja felfedni azt a feladót, amelyet még nem csatlakoztattál. A 6. szakasz megerősítő rétege pedig — MTA-STS, TLS-RPT, BIMI — láthatatlan a DMARC-jelentésekben; egy DNS-ellenőrzés kell hozzá, hogy lássuk. Egy domain a jelentéseiből „késznek” tűnhet, miközben rejtett 5. → 6. szakaszbeli rést hordoz. Ez az a modell, amelyhez a saját jelentéselemzésünk viszonyít, akadályostul-mindenestül.
Egy kidolgozott példa
Egy közepes méretű cég Microsoft 365-öt üzemeltet egy levélszűrő átjáró mögött. Az SPF -all-lal zárul, a DKIM konfigurálva van, a DMARC p=none szinten közzétéve, a jelentések pedig egy megfigyelő eszközhöz áramlanak. A régi térképeken ez majdnem késznek látszik. Ezen a térképen viszont 3. szakasz — Megfigyelő: a nehéz beállítás megvan, és a domain pontosan a falnál akadt el — látható, de nem védett. A legnagyobb értékű lépés a 3. → 4. → 5.: erősítsd meg, hogy a (valószínűleg kevés) jogos feladó mind igazodik, majd emeld a szabályzatot szakaszosan. Egy ilyen alakú domain esetében ez általában hetek, nem hónapok odafigyelése — a fal azok számára a legmagasabb, akik soha nem térképezik fel.
Találd meg a szakaszodat
A kérdés, amelyet nyugdíjazni kell, ez: „van-e DMARC-unk?” — a domainek 24.89%-a mondhatja, hogy igen, miközben ezek 57.5%-a továbbra is hamisítható marad. A jobb kérdés ez: „melyik szakaszban vagyunk, és mi az egyetlen lépés a következőbe?” Az interneten minden domain pontosan e hat szakasz egyikében van ma. Annak ismerete, hogy melyikben, egy szorongást teendők listájává alakít.
Gyakran ismételt kérdések
Mi az a DAMM? A DMARC-bevezetési érettségi modell — az ezen az oldalon szereplő hatszakaszos modell: Védtelen, Hitelesített, Megfigyelő, Láthatóság, Kikényszerített, Megerősített. Egy domain szakasza mérhető a DNS-éből és a DMARC-jelentési adataiból, és éppen ez különbözteti meg egy falon lógó plakáttól.
Akkor a p=none közzététele értéktelen? Nem — ez a 3. szakasz, és a 3. szakasz teherhordó: a jelentés az, ahogyan minden feladót megtalálsz, mielőtt kikényszerítesz. Csak akkor válik problémává, ha célnak tekintik. Lásd miért nem védettség a p=none.
Ugorhatok egyenesen a p=reject-re? Ha a domained nem küld levelet — igen, már ma, és meg is kellene tenned. Ha küld — nem: a Láthatóság (4. szakasz) nélküli kikényszerítés az, ahogyan a jogos levél eltörik, és a visszaállások megtörténnek. A szakaszok a biztonságos út, nem ceremónia.
Szükségem van BIMI-re ahhoz, hogy „kész” legyek? Nem. A BIMI a 6. szakasz márkamegjelenítő rétege, és a modell legopcionálisabb eleme — az MTA-STS, a TLS-RPT és a DMARCbis np= lefedettsége azok a részek, amelyek érdemben megerősítik egy domaint. Ha a tanúsítvány költsége nem indokolt számodra, hagyd ki, és tartsd meg a 6. szakasz többi részét.
Hova illik az SPF és a DKIM? Minden alá — ezek az 1. → 2. szakasz, és az SPF DMARC nélkül kevesebbet véd, mint a legtöbb tulajdonos feltételezi. 2024 óta a nagyobb fogadók egyenesen hitelesítést is megkövetelnek a tömeges feladóktól.
Ellenőrizd, hol áll a saját domained
Ezek a szakaszok populációs mintázatok — a domained pontosan egyikükben van, és a következő lépés megismerhető. Ellenőrizheted bizalmasan és ingyen, és megnézheted, a 34 ellenőrzésből melyiken felelsz meg, és hogyan javítsd ki azokat, amelyeken nem.
Ellenőrizd a domainedet → · Hogyan minősítettük az internetet → · A DMARC-pillér → · Csak összesített adat. Az adatok tárolása és feldolgozása az EU-ban történik.