Defaults.Exposed › Javítások › Guides
DMARC p=none-tól p=reject-ig a jogszerű e-mailek elvesztése nélkül: A fokozatos bevezetés (2026)
Közzétéve 2026-07-08
Adatok: 2026-06-29 · módszertan v7. Összesített cenzusadatok 261 millió értékelt domain alapján. Lásd: hogyan osztályozunk.
Vigye a DMARC-ot p=none-tól p=reject-ig négy szakaszban: figyelje az rua-jelentéseket 2–4 hétig, javítson minden jogszerű küldőn, növelje p=quarantine-t pct-vel, majd utasítsa el — soha ne ugorjon egyenesen a reject értékre. A Defaults.Exposed cenzusza szerint a 261,086,232 értékelt domain közül 70,368,600 puha SPF-nél stagnál, DMARC-végrehajtás nélkül.
Ez az operatív végrehajtási útmutató: szakasztáblázat kilépési feltételekkel, az egyes szakaszok rekordjai, az RFC 7489 pct finomság, amely megváltoztatja, mit jelent az „50%” az elutasításnál, és az aldomainekre vonatkozó sp= tag. Ha azt dönti el, hogy érvényesítsen-e, először olvassa el a DMARC érettség 6 fokozatát — ez a keretrendszer; és ha a szabályzatszintek újak az Ön számára, mit jelent valójában a p=none, p=quarantine és p=reject a bevezetés. Ez az oldal a cselekvésről szól.
Miért nem ugorhat egyenesen p=reject értékre?
Mert a p=reject minden tisztelő fogadónak azt mondja, hogy pattintsa vissza a DMARC-on megbukó leveleket — és amíg nem nézte meg a jelentéseket, nem tudja, mi bukik meg. Szinte minden domain, amely bekapcsolja a figyelést, elfeledett jogszerű küldőket fedez fel: a CRM-et, a számlázási eszközt, az üzenetküldő formot. Ugorjon az elutasításhoz az első napon, és az a levél nem kerül spambe; SMTP-időben eltűnik. Egy számlaküldés elvesztése megtanít egy szervezetet a DMARC-tól félni, és a rekordot visszaállítják p=none-ra örökre — a 261,086,232 értékelt domainből 37,312,637 pontosan ott parkol, és csak 10.59% (27,640,987) ér el érvényesített szabályzatot.
A másik ok az igazítás. A DMARC csak akkor megy át, ha az SPF vagy a DKIM átmegy és igazodik a látható From domainhez — az SPF a Return-Path (RFC5321.MailFrom) domainjével szemben, a DKIM az aláírás d= tagjével szemben. A harmadik féltől származó küldők általában az SPF-en az ő domainjükön mennek át, nem az Önén, ezért a forrásjavítási szakasz elsősorban minden szállító egyéni domainű DKIM-jének engedélyezéséről szól — részletesen: DMARC megbukik, de az SPF és a DKIM átmegy.
Melyek a négy bevezetési szakasz?
| Szakasz | Szabályzatrekord | pct | Mi történik a megbukó levéllel | Kilépési feltételek |
|---|---|---|---|---|
| 1. Figyelés | p=none; rua=mailto:… | — | Normálisan kézbesítve; összesített jelentéseket kap | 2–4 hét jelentés; a bennük szereplő minden küldő azonosítva jogszerűként vagy sem |
| 2. Forrásjavítás | p=none (változatlan) | — | Még mindig normálisan kézbesítve | Minden jogszerű forrás igazítottan átmegy DMARC-on (szállítónkénti egyéni domainű DKIM); a fennmaradó hibák csak ismeretlen/hamisított forgalom |
| 3. Karantén növelés | p=quarantine | 10 → 25 → 50 → 100 | A mintavételezett rész spammappába kerül; a mintavételezetten kívüli rész p=none-ként kezelendő (kézbesítve) | 1–2 hét pct=100-nál, egyetlen jogszerű levél sem karanténba téve |
| 4. Elutasítás | p=reject | 100 | SMTP-időben visszapattintva; a küldő visszapattanót kap, a fogadó semmit nem lát | Folyamatos — tartsa örökre az rua-t bekapcsolva, hogy elkapja az új küldőket |
Adatok: 2026-06-29; szabályzatviselkedés az RFC 7489 szerint.
A 3. szakasz az, ahol a domainök megakadnak vagy pánikba esnek. A spambe helyezés javítható — a felhasználók megtalálják a levelet, lazít a pct-n, javítja a forrást. Az elutasítás nem visszafordítható, ezért a pct=100-on futó tiszta karantén a belépőjegy a 4. szakaszhoz.
Hogyan futtassa a bevezetést lépésről lépésre?
- Futtassa az ingyenes vizsgálatot a defaults.exposed oldalon a DNS megérintése előtt. Megerősíti a jelenlegi szabályzatát, és hogy az SPF és DKIM be van-e állítva alatta — a két láb, amelyen a végrehajtás áll.
- Kapcsolja be a figyelést, ha még nem tette. A
p=noneközzétételerua=-val az öt perces lépés a „DMARC-szabályzat nincs engedélyezve” cikkben. Gyűjtsön 2–4 hét jelentést — elegendő ahhoz, hogy elkapja a havi küldőket, például a számlaküldéseket. - Vegye számba a jelentésekben szereplő összes forrást. Rendezze a küldőket az Ön sajátjaira, szállítóira és ismertelekre. A nyers jelentések XML formátumban érkeznek — egy feldolgozó eszköz (vagy a szolgáltató irányítópultja) olvasható küldői leltárrá alakítja őket.
- Győződjön meg, hogy minden jogszerű forrás igazítottan átmegy. Engedélyezze minden szállító egyéni domainű DKIM-jét (általában két CNAME rekord az irányítópultján), hogy az aláírások az Ön domainjét hordozzák, nem a szállítóét. Előnyben részesítse a DKIM-et az igazításhoz: túléli a továbbítást, az SPF nem.
- Várja ki a tiszta két hetet. Csak akkor lépjen ki a 2. szakaszból, ha a bejelentkezett hibák kizárólag olyan forgalom, amelyet nem ismer fel — a hamisítás, amelyet blokkolni akar.
- Lépjen a
p=quarantine; pct=10értékre — szerkessze a meglévő_dmarcTXT rekordot (kidolgozott példa: IONOS DMARC beállítás), és figyeljen a szintaxisra: a szabályzati tagban lévő elírás teljesen érvénytelenítheti a rekordot. Növelje a pct-t 25-re, 50-re, 100-ra 2–4 héten át, figyelve a jelentéseket és a helpdesk-jegyeket. Jogszerű levél a spamben: csökkentse vissza a pct-t, javítsa a forrást, folytassa. - Lépjen a
p=rejectértékre apct=100-on töltött 1–2 tiszta hét után. Tartsa örökre azrua=-t bekapcsolva — minden új eszköz, amelyet a cége bevezet, egy jövőbeli megbukó küldő.
Mit csinál valójában a pct? Az RFC 7489 finomság
A pct arra kéri a fogadókat, hogy a megbukó levelek ennyi százalékára alkalmazzák a szabályzatát. A finomság az RFC 7489 §6.6.4 alapján: a mintavételezésből kizárt levelek nem „normálisan kézbesítve” viselkednek — a következő kevésbé szigorú szabályzatot kapják. A p=quarantine; pct=25 alatt a másik 75% p=none-ként kezelendő és kézbesített. De a p=reject; pct=50 alatt a másik 50% karanténba kerül, nem kézbesítve. Nincs enyhe elutasítás: amint a rekordja reject-et mond, minden megbukó üzenet minimum spammappába kerül a tisztelő fogadóknál.
Szándékosan alkalmazva ez egy funkcionalitás — a p=reject; pct=1 úgy viselkedik, mint a „szinte mindent karanténba, keveset elutasít”, ami egy jogszerű végső rámpálya. Két figyelmeztetés: a fogadók nem egyformán valósítják meg a mintavételezést, tehát a pct-t durva tárcsaként kezelje; és távolítsa el a tagot (vagy állítsa pct=100-ra), amint a 4. szakasz stabil, hogy a rekordja azt mondja, amit szándékozik.
Mi a helyzet az aldomainekkel — az sp= taggal?
Alapértelmezés szerint az aldomainek öröklik a szervezeti domain szabályzatát: a yourdomain.com-on lévő p=reject lefedi a mail.yourdomain.com-ot is. Az sp= tag lehetővé teszi, hogy eltérjenek, mindkét hasznos és veszélyes irányban. Hasznos: a p=quarantine; sp=reject lezárja az olyan aldomaineket, amelyekről soha nem küld, miközben a csúcsdomain még közepén van a növelésnek — a hamisítók szándékosan célozzák meg a figyelt domainok aldomainjeit. Veszélyes: egy elfeledett sp=none csendesen kiveszi az összes aldomaint az elvégzett elutasítási szabályzat alól. Ellenőrizze a 4. szakaszban; ha egy aldomainnek valóban lazább szabályzatra van szüksége, tegye közzé a _dmarc rekordot azon az aldomainen ahelyett, hogy az összeset lazítaná.
Jelenti-e ez az EU-s vállalkozásoknak, hogy ezt meg kell tenniük?
A DMARC mindenhol azonosan működik — ebben az útmutatóban semmi nem változik egy EU-s határ előtt. Ami változik, az a megfelelési vonzat. A NIS2 21. cikk (2) bekezdés j) pontja kötelezi a hatálya alá tartozó szerveket a kommunikáció biztonságossá tételére, és a (EU) 2024/2690 Végrehajtási Rendelet részletezi a lefedett digitális infrastruktúra szervek technikai követelményeit — melléklete (6.7.2(k) pont) végrehajtási tervet követel a nemzetközileg elfogadott modern e-mail-biztonsági szabványok bevezetéséhez, és a 6.7.2(l) pont DNS-biztonsági legjobb gyakorlatokat ír elő. Az érvényesített DMARC-szabályzat, SPF-fel és DKIM-mel alatta, a hamisítás elismert, auditálható ellenőrzése; a p=none demonstrálhatóan figyelés, nem biztonság. Ha ügyfelei hatályon belül vannak, szállítói kérdőíveik egyre inkább pontosan ezt kérdezik.
Gyakran ismételt kérdések
Mennyi ideig tart az egész bevezetés? Hat-tíz hét jellemző: 2–4 hét figyelés, 1–3 hét forrásjavítás, 2–4 hét karantén növelése, majd elutasítás. Ez naptári idő, nem erőfeszítés — többnyire a változásokat megerősítő jelentések megérkezésére való várakozás. A 261,086,232 értékelt domain 89.41%-a érvényesített szabályzat nélkül (adatok: 2026-06-29) többnyire nem a bevezetés közepén van; soha nem indítottak el egy számlálót.
Kihagyhatom a karantént, és pct-vel alacsony értékű p=reject-et használhatok?
Igen — az RFC 7489 §6.6.4 szerint a p=reject; pct=10 10%-os elutasítást és 90%-os karantént jelent, durván a 3. szakasz vége. De a p=quarantine elsőként könnyebb érvelni mellette, és a fogadók változóan pontosan szimulálják. Bármelyik esetben az 1–2. szakasz tárgyalható: semmilyen végrehajtási változat nem biztonságos, amíg a jogszerű küldők még mindig megbuknak.
Mi van a nem javítható levelekkel — a továbbítókkal és a levelezőlistákkal? A továbbítás szándékosan tönkreteszi az SPF-et, és egyes levelezőlisták átírják a tartalmat, ezzel tönkretéve a DKIM-et is. Az igazított DKIM túléli a normál továbbítást, ami a legtöbbet kezeli; a kis maradék az, amiért a karantén szakasz létezik — a spammappalevél helyrehozható, miközben értékeli. Részletek: a továbbított e-mail megbukik SPF-en.
Elég jó a p=quarantine-nál megállni?
Ez az érték nagy része, és messze jobb, mint a p=none-nál parkoló 37,312,637 domain (261,086,232 értékeltből, adatok: 2026-06-29) — de a hamisított levelek még mindig elérik a spammappát, ahonnan az emberek kihalásszák őket. Az elutasítás a végpont: az összes értékelt domainnek csak 10.59%-a érvényesít egyáltalán, és a befejezés az, amit az ellenőrzők, a biztosítók és a kérdőívek elismernek.
Küldje el a tulajdonosnak a jelentést
Ha ezt a bevezetést egy ügyfélnek vagy munkaadójának futtatja, a befejező egyenes megmutatható. Futtassa újra az ingyenes vizsgálatot a p=reject feloldása után, és továbbítsa az értékelt jelentést: a domain érvényesített szabályzatra lép, időbélyeggel és egyszerű nyelven. Ez az az oldal, amely megválaszolja az e-mail-biztonsági sort a kiberbizosítás megújításakor és a NIS2-alapú szállítói kérdőíveken — és hat hét gondos, láthatatlan munkát tesz láthatóvá annak, aki fizet érte.
Ellenőrizze DMARC-szabályzatát ingyen
Nézze meg, hogy mi a jelenlegi szabályzata — és hogy az SPF és DKIM képes-e hordozni a végrehajtást — privát módon, csak a tulajdonos számára.
Ellenőrizze domainjét → · DMARC javítása → · „DMARC-szabályzat nincs engedélyezve” — a becsületes első lépés → · Csak összesített adatok. Az adatok tárolása és feldolgozása az EU-ban történik.