Defaults.Exposed

Defaults.ExposedJavításokGuides

E-mail beállítása új doménhoz: A 20 perces SPF, DKIM és DMARC ellenőrzőlista (2026)

Közzétéve 2026-07-08

Adatok: 2026-06-29 · módszertan v7. Összesített adatok 261 millió értékelt domain felmérése alapján. Lásd: hogyan értékeltük az internetet.

Egy új domén az első e-mail előtt négy dolgot igényel: alapállapot-vizsgálatot, egy SPF-rekordot, amely megnevezi a valódi szolgáltatóját, egyedi domain DKIM-aláírást, és egy DMARC-rekordot riportolással az első naptól. A legtöbb domain soha nem jut el idáig — 46.4% (121,145,609 a 261,086,232 értékelt domain közül) egyáltalán nem rendelkezik SPF-fel, a Defaults.Exposed felmérése szerint (adatok: 2026-06-29).

Mindent közzétenni nagyjából 20 percet vesz igénybe: vizsgálat az alapállapothoz, egy SPF-rekord hozzáadása, a szolgáltató egyedi domain DKIM-jének bekapcsolása, DMARC p=none közzététele riport-címmel, opcionálisan MTA-STS, majd újravizsgálat és a riport megőrzése. Ami tovább tart, azt egyetlen ellenőrzőlista sem sietetheti — a DNS-propagáció és a küldési reputáció —, és ez az útmutató mindkettőre őszintén rámutat.

Tényleg elég 20 perc?

A rekordok közzétételéhez igen — minden alábbi lépés egy DNS-bejegyzés plusz néhány kattintás a szolgáltató adminisztrációs konzolján. Két dolog tart tovább, és ha ezt elhallgatjuk, az a magyarázat arra, miért kerülnek az új domének spambe:

Az őszinte állítás: 20 perc helyesen közzétett hitelesítést vesz. Az ezt követő néhány hét józan küldés vesz kézbesíthetőséget.

A 20 perces ellenőrzőlista

  1. Először futtassa az ingyenes vizsgálatot a defaults.exposed oldalon. Vizsgálja meg az új domént, mielőtt megérintené a DNS-t. Az értékelt „semmi nincs beállítva” alapállapot rögzítése másodperceket vesz igénybe, és a záróriportot értelmezetté teszi — szüksége lesz az előtte-utána párra (6. lépés).
  2. Tegyen közzé egy SPF-rekordot a tényleges szolgáltatójához. Pontosan egy TXT-rekord v=spf1 kezdéssel, amely tartalmazza a szolgáltató include-ját — például v=spf1 include:_spf.google.com ~all a Google Workspace-hez, vagy include:spf.protection.outlook.com a Microsoft 365-höz; ha a DNS egy regisztrátori panelen van, a GoDaddy-útmutató leírja a felületi sajátosságokat. Csak egy rekord: két v=spf1 rekord permanens hiba, amely teljesen érvényteleníti az SPF-et — ebben az állapotban van 1,013,416 domain, nagyjából minden 138-ból egy az SPF-et megkísérlők közül (felmérés, adatok: 2026-06-29), általában migrációs maradék. Ne adjon hozzá include-okat „csak úgy”: az SPF 10-re korlátozza a DNS-kereséseket, és legalább 797,263 domain érvénytelenítette a rekordját e korlát átlépésével. És tudja, mit ellenőriz valójában az SPF: a fogadók a Return-Path (RFC5321.MailFrom) doménnel szemben értékelik — a visszapattanási cím doménjével —, nem a fogadók által látott From fejléccel.
  3. Kapcsolja be az egyedi domain DKIM-aláírást. A szolgáltatója mindenképpen aláírja a leveleket; a kérdés az, melyik domain neve szerepel az aláírásban. Amíg ezt a lépést el nem végzi, a Google Workspace az alapértelmezett gappssmtp.com doménjével, a Microsoft 365 az onmicrosoft.com-mal ír alá — olyan aláírások, amelyek átmennek DKIM-en, de nem igazodnak a doménjéhez, tehát a DMARC még mindig megbukik. Generálja a kulcsot az adminkonzolon, és tegye közzé, amit a szolgáltató ad: egy 2048 bites TXT-rekordot Google esetén, két CNAME-t (selector1/selector2) a Microsoft 365-höz. Ha egy rekord nem fér be a DNS-panelre, lásd a DKIM javítását — a felületek által megcsonkított hosszú kulcsok klasszikus probléma.
  4. Tegye közzé a DMARC-ot az első naptól — p=none riport-címmel. Egy TXT-rekord a _dmarc.ujdomain.hu alatt: v=DMARC1; p=none; rua=mailto:[email protected]. Legyen tisztában azzal, mit tesz ez: a p=none egyelőre semmit nem véd — ez megfigyelési mód. De semmibe sem kerül, és az összesítő riportok ezután a domain küldési előzményeit az első üzenettől kezdve fedik le. A már meglévő domének a riportolás heteit töltik az elfelejtett küldők felfedezésével; Ön ezt a láthatóságot ingyenesen veszi meg, a nulladik naptól. Lásd a DMARC javítását a rekord anatómiájához.
  5. Opcionális, de egy új doménen olcsó: MTA-STS és TLS-RPT. Az MTA-STS azt közli a küldő szerverekkel, hogy a doménje TLS-t igényel a bejövő levelekhez (egy DNS-rekord plusz egy kis tárolt házirendfájl); a TLS-RPT a kézbesítési titkosítási hibákról riportol. Egy már meglévő doménen ezek gondosságot igényelnek; egy új doménen egyetlen levelezési szolgáltatóval nincs mit eltörni, és a mode: testing lényegében kockázatmentes. Állítsa be most, vagy hagyja ki — de döntse el, ne sodródjon.
  6. Futtassa újra a vizsgálatot és tartsa meg a riportot. Futtassa újra a vizsgálatot — az SPF-nek, a DKIM-nek és a DMARC-nak mind zöldet kell mutatnia. Mentse az értékelt riportot: dátumozott bizonyíték a domain indítási állapotáról, és pontosan az, amit egy biztosító vagy ügyfélkérdőív kérni fog.

Hány domain teljesíti valójában ezt az ellenőrzőlistát?

Nagyon kevés — és a legtöbb az első akadálynál elesik. A Defaults.Exposed felmérésben értékelt 261,086,232 domain közül (adatok: 2026-06-29):

Ellenőrzőlista-mérföldkőFelmérési valóság (a 261,086,232 értékelt domén közül, adatok: 2026-06-29)
2. lépés — bármilyen SPF-rekord közzététele46.4% soha nem teszi meg: 121,145,609 doménnek egyáltalán nincs SPF-je
4+ lépés — DMARC érvényesítő házirenddel10.59% (27,640,987 domain); 89.41%-nak nincs érvényesített házirend
A teljes triász — SPF + DKIM + érvényesített DMARC3.87% (10,092,481 domain)

Az ezen az oldalon leírt 20 perc egy vadonatúj domént az internet nagyjából 96%-a elé helyez a teljes triász tekintetében. Az SPF-adoptációs érettségi modell a létra minden fokát részletezi.

Milyen gyorsan érhet el egy új domain a p=reject értékre?

Heteket, nem hónapokat vesz igénybe — az újrakezdés valódi előnye. Ami a DMARC érvényesítését a meglévő domének esetén lassúvá teszi, az az örökség: az elfelejtett CRM-összekötő, a 2019-ben valaki által beállított számlázóeszköz, a dokumentálatlan hírlevélplatform. Mindegyiket meg kell találni a riportokban és javítani, mielőtt a házirend szigorodhat — innen a szokásos hónapokig tartó bevezetés.

Egy új domén nem rendelkezik örökölt küldőkkel: minden küldési forrást Ön konfigurált, ezen a héten, és a 4. lépés riportjai megerősítik. Futtassa a p=none értéket két-négy hétig valódi küldéssel, ellenőrizze, hogy a riportok lefedik-e mindazt, amit ténylegesen használ (postafiókokat, számlákat, nyugtákat, a webhely kapcsolatfelvételi űrlapját), majd lépjen p=quarantine-ra és tovább p=reject-re, ha tisztán futnak. A fokozatos mechanika — pct rámpázás, aldomén-házirend, mit figyeljen — a p=none-tól p=reject-re útmutatóban van; egy új doménnel gyorsan végigmegy rajtuk, arra a helyre, ahová az értékelt domének csak 10.59%-a jutott el.

Mi a helyzet a felváltott régi doménnel?

Ha ez az új domain egy rebrandinggel függ össze, az elhagyott domain most a legnagyobb e-mail-biztonsági kockázata: még mindig az Öné, az üzleti partnerek még mindig megbíznak benne, de senki sem figyeli. Ne hagyja el — zárja le kifejezetten. Ez saját rövid munkája: a rebranding óta ott heverő régi doménje nyitva hagyott ajtó.

Gyakran ismételt kérdések

Közzétehetem ezeket a rekordokat, mielőtt levelezési szolgáltatót választanék? A DMARC-ot igen — a p=none és az rua szolgáltatófüggetlen, tehát tegye közzé a regisztráció napján. Az SPF igényli a szolgáltató include-ját; amíg nem választott, tegyen közzé v=spf1 -all értéket (semmi nincs engedélyezve küldésre), és cserélje ki a 2. lépésben. Ez szigorúan jobb, mint a rekordmentes állapot, amelyben 121,145,609 domain ül (46.4% a 261,086,232 értékelt domén közül, adatok: 2026-06-29).

Szükségem van-e DKIM-re, ha az SPF már átmegy? Igen. Az SPF tervezettan meghibásodik továbbítás alatt, és a Return-Path domént validálja, ami sok eszköznél nem a sajátja — az igazított DKIM az a szár, amely mindkettőt túléli. Az értékelt domének csak 3.87%-a teljesíti a teljes SPF+DKIM+érvényesített-DMARC triászt (felmérés, adatok: 2026-06-29); a DKIM az a lépés, amelyet a legtöbb lemorzsolódó hagy ki. Kezdje a DKIM javításával, ha a vizsgálat ezt jelzi.

Egy új domén ~all vagy -all értéket használjon? Egy meglévő doménen a ~all az óvatos választás, amíg az elfelejtett küldőket megtalálja. Egy új doménnek nincsenek ilyenek: miután a szolgáltató include-ja bent van és a DKIM aláír, a -all sokkal hamarabb biztonságos. Biztonsági okokból: erősítse meg két tiszta hét DMARC-riportjával.

Mindhárom rekord átmegy — miért kerül mégis spambe a levelezésem? Mert a hitelesítés és a reputáció különböző dolgok: az átmenő rekordok azt jelentik, a fogadók ellenőrizhetik, hogy a levél az Öné, de nem azt, hogy már megbíznak Önben. Az új domének a megbízhatóságot konzisztens, kívánt, alacsony volumenű küldéssel és fokozatos emelkedéssel szerzik. Ha a levelek ellenőrzéseket buknak meg, nem csak spambe kerülnek, kezdje az SPF javításával, és dolgozzon végig a vizsgálati eredményeken.

Küldje el a riportot a tulajdonosnak

Ha Ön állítja be ezt a domént egy ügyfél számára, zárja le a munkát bizonyítékkal. Futtassa újra az ingyenes vizsgálatot a 6. lépés után, és továbbítsa az értékelt riportot az üzlettulajdonosnak: SPF, DKIM és DMARC átmenve, közérthető nyelven, az indítás dátumán. Ez az a dokumentum, amelyre a kiberbiztosítás-megújításkor és a következő szállítói biztonsági kérdőívnél szüksége lesz — és bizonyítja, hogy a domain olyan állapotban indult, amelyet az internet 96%-a soha nem ér el.

Ellenőrizze a doménjét → · p=none-tól p=reject-re a valódi levelek elvesztése nélkül → · Csak összesített adatok. Az adatok tárolása és feldolgozása az EU-ban történik.