Defaults.Exposed › Laporan
Menerbitkan Secara Buta: Sebagian Besar Rekaman DMARC Tidak Meminta Laporan
Diterbitkan 2026-07-03 · diperbarui 2026-07-03
Angka per 2026-06-29 · metodologi v7. Data sensus mencakup setiap domain yang menerbitkan rekaman DMARC yang dapat diurai, didedupe per domain. Keberadaan
rua=diukur di semua rekaman, sehingga tumpang tindih persisnya dengan kebijakan tunggal mana pun tidak dapat diturunkan — di mana artikel ini membuat klaim tentang tumpang tindih itu, ia menyatakan batas, bukan tabulasi silang yang persis. Semua angka bersifat agregat — kami tidak pernah menerbitkan nilai suatu bisnis individu.
Sebagian besar rekaman DMARC tidak sedang mengawasi
Dari 65 juta domain yang menerbitkan rekaman DMARC, hanya 23 juta — 35.7% — yang menyertakan tag rua= yang meminta laporan agregat. 64.3% lainnya menerbitkan secara buta: sebuah kebijakan ada pada rekaman, tetapi tidak ada yang meminta untuk diberitahu apa yang terjadi di bawahnya. Itu adalah 42 juta domain dengan rekaman DMARC yang tidak dapat menunjukkan apa pun kepada mereka.
Rekaman DMARC tanpa pelaporan adalah bel pintu tanpa siapa pun di rumah. Penerima surel dengan patuh memeriksa setiap pesan terhadapnya — dan temuan mereka, daftar semua orang yang mengirim atas nama domain Anda, tidak menuju ke mana-mana. Mekanismenya bekerja; pemiliknya saja yang tidak mendengarkan.
Apa yang sebenarnya dilakukan rua=
DMARC memiliki dua bagian. Bagian kebijakan (p=none, quarantine atau reject) memberi tahu penerima apa yang harus dilakukan dengan surel yang gagal autentikasi. Bagian pelaporan — tag rua=, sebuah alamat kotak surat — meminta penerima untuk mengirimi Anda laporan agregat harian: server mana yang mengirim atas nama domain Anda, seberapa banyak surel, dan apakah lolos SPF dan DKIM.
Bagian kedua itu adalah keseluruhan lingkaran umpan balik. Laporan adalah cara Anda menemukan platform buletin yang tidak didokumentasikan siapa pun, alat penagihan yang dihubungkan oleh tim pemasaran, pengirim bayangan di wilayah lain — sebelum Anda menegakkan kebijakan dan merusaknya. Tanpa rua=, tidak ada satu pun kecerdasan itu yang pernah sampai kepada Anda. Menambahkannya hanya perlu satu suntingan DNS: tambahkan rua=mailto:[email protected] (atau alamat layanan pemantauan) ke rekaman yang sudah ada.
Celah antara Tahap 2 dan 3: diterbitkan dan buta
Dalam enam tahap kematangan DMARC, Tahap 3 — Mengamati — dimulai ketika DMARC diterbitkan dan laporan agregat mengalir. Rekaman tanpa rua= tidak memenuhi syarat. Ia berada di celah antara Tahap 2 dan 3 — diterbitkan dan buta — sebuah tempat yang sengaja dibiarkan oleh model tanpa angkanya sendiri.
Hal ini penting karena setiap tahap setelahnya bergantung pada laporan. Anda tidak dapat mengidentifikasi pengirim Anda (Tahap 4) dari laporan yang tidak pernah Anda terima; Anda tidak dapat menegakkan kebijakan dengan aman (Tahap 5) tanpa mengetahui pengirim Anda. Rekaman buta bukanlah langkah awal dalam perjalanan — ia adalah tempat menepi tepat di sampingnya. Dan sensus menunjukkan bahwa sebagian besar pemegang rekaman terparkir di sana atau di dekatnya: 57.5% dari semua rekaman DMARC tidak pernah mencapai penegakan.
Lebih buruk daripada tidak berguna, karena terasa seperti kemajuan
Rekaman DMARC yang hilang setidaknya terlihat apa adanya: sebuah celah. Rekaman yang buta terlihat seperti tanda centang. Seseorang menjalankan daftar periksa kepatuhan, atau panduan keterkiriman, atau perbaikan satu baris dari vendor — menerbitkan v=DMARC1; p=none — dan pemindai menjadi hijau. Organisasi itu kini merasa lebih maju daripada organisasi tanpa rekaman sama sekali, padahal secara fungsional berada di tempat yang sama: tanpa visibilitas, tanpa penegakan, tanpa jalan menuju keduanya.
Konsekuensinya senyap dan menumpuk. Rekaman buta tidak gagal dengan keras; mereka hanya tidak pernah menghasilkan bukti yang akan membenarkan langkah berikutnya. Bertahun-tahun kemudian rekaman masih tertulis p=none, tidak ada yang bisa mengatakan pengirim mana yang sah, dan penegakan terasa lebih berisiko dari sebelumnya — justru karena tidak ada laporan yang pernah dikumpulkan.
Apa yang bisa dan tidak bisa dikatakan oleh sensus
Karena keberadaan rua= diukur di seluruh 65 juta rekaman — bukan ditabulasi-silang per kebijakan — jumlah persis rekaman p=none yang juga buta tidak dapat diturunkan dari marginal ini. Batasannya tetap mencolok. 37 juta rekaman (57.4% dari pemegang rekaman) berada di p=none; hanya 23 juta rekaman dalam seluruh sensus yang meminta laporan. Jadi paling banyak 23 juta dari rekaman p=none itu yang dapat menerima laporan — dan setidaknya 14 juta di antaranya pasti tidak, bahkan jika setiap alamat pelaporan dalam sensus milik domain p=none. Bagaimana pun tumpang tindihnya jatuh sebenarnya, jutaan domain berada di “mode pemantauan” dengan monitor yang tidak tercolok.
Perbaikan satu suntingan
Jika rekaman DMARC Anda tidak memiliki tag rua=, perbaikannya adalah satu perubahan DNS dan aman di tingkat kebijakan mana pun:
- Pilih tujuan pelaporan — kotak surat yang benar-benar akan Anda proses, atau layanan pemantauan DMARC gratis/berbayar yang mengubah XML menjadi sesuatu yang dapat dibaca.
- Tambahkan ke rekaman:
v=DMARC1; p=none; rua=mailto:[email protected]. Jika tujuannya adalah domain yang berbeda, domain tersebut harus mengizinkan penerimaan laporan Anda (satu rekaman DNS tambahan kecil di sisinya). - Tunggu beberapa hari, lalu baca. Laporan tiba setiap hari dari penerima besar. Apa yang mereka tunjukkan — setiap sumber yang mengirim atas nama domain Anda — adalah peta untuk sisa perjalanan.
Kemudian rekaman berhenti menjadi perabot dan mulai menjadi instrumen. (Perbaiki DMARC →.)
Pertanyaan yang sering diajukan
Apa itu laporan rua DMARC? Laporan XML agregat yang dikirim oleh penerima surel yang berpartisipasi (biasanya harian) ke alamat pada tag rua= rekaman Anda, yang meringkas sumber mana yang mengirim surel atas nama domain Anda dan apakah lolos penyelarasan SPF dan DKIM. Laporan ini tidak berisi konten pesan — hanya infrastruktur pengirim dan jumlah lolos/gagal.
Apakah DMARC tanpa rua tidak berguna? Tidak sepenuhnya tidak berguna — kebijakan yang menegakkan tetap memblokir pemalsuan tanpanya. Tetapi di p=none, rekaman tanpa rua= tidak memblokir apa pun dan tidak menunjukkan apa pun kepada Anda — satu-satunya tugas yang tersisa adalah mencentang kotak persyaratan minimum penyedia kotak surat. Dan bahkan domain yang menegakkan tanpa pelaporan kehilangan deteksi penyimpangan yang menjaga penegakan tetap aman saat pengirim baru muncul. p=none bukanlah perlindungan bagaimana pun — tanpa laporan, itu bahkan bukan persiapan.
Bisakah rua= menunjuk ke kotak surat mana pun? Ya, termasuk yang berada di domain berbeda — sebagian besar layanan pemantauan bekerja persis seperti itu. Domain penerima menerbitkan rekaman verifikasi kecil yang mengizinkan laporan Anda. Yang penting adalah ada sesuatu yang benar-benar memproses XML tersebut; kotak surat yang tidak dibaca siapa pun adalah kebutaan dengan langkah tambahan.
Apakah laporan agregat mengungkap data pribadi? Tidak. Laporan agregat rua membawa statistik sumber pengiriman dan autentikasi, bukan isi pesan atau daftar penerima. (Laporan kegagalan ruf= yang terpisah dapat berisi fragmen pesan, itulah sebabnya banyak penerima tidak lagi mengirimnya — rua adalah yang penting.)
Periksa apakah rekaman Anda sedang mengawasi
Rekaman DMARC yang tidak meminta laporan adalah salah satu temuan yang paling mudah diperbaiki dalam seluruh perjalanan — satu suntingan DNS mengubah buta menjadi Mengamati. Anda dapat memeriksa secara pribadi dan gratis, serta melihat mana dari 34 pemeriksaan yang Anda lolos dan bagaimana memperbaiki yang tidak.
Periksa domain Anda → · Enam tahap kematangan DMARC → · Pilar DMARC → · Hanya data agregat. Data disimpan dan diproses di UE.