Defaults.Exposed › Laporan
6 Tahap Kematangan DMARC
Diterbitkan 2026-07-03 · diperbarui 2026-07-03
Angka per 2026-06-29 · metodologi v7. Ini adalah model rujukan yang didukung oleh sensus berulang; setiap edisi mengukur ulang populasi yang sama sehingga angka-angkanya dapat dilacak dari waktu ke waktu. Semua angka bersifat agregat — kami tidak pernah menerbitkan nilai suatu bisnis individu.
Menerbitkan DMARC tidak sama dengan terlindungi
Di seluruh 261 juta domain yang diukur, 24.89% menerbitkan catatan DMARC — tetapi hanya 10.59% yang menegakkannya. Dengan kata lain: dari sekitar 65 juta domain yang memulai perjalanan DMARC, 57.5% tidak pernah mencapai bagian yang benar-benar memblokir apa pun. Mereka menerbitkan catatan, mengarahkan pelaporan ke suatu tempat, lalu macet. Studi independen yang lebih kecil menemukan bentuk yang sama — satu laporan industri tahun 2026 menyebutkan sekitar 9% yang menegakkan di antara ~938.000 domain yang diperiksanya.
Adopsi bukan lagi masalahnya. Perlindungan-lah masalahnya. Dan domain macet karena alasan struktural: peta yang digunakan semua orang berhenti di tengah jalan. Peta-peta itu berakhir terlalu dini, dan tidak ada satu pun yang memberi nama tersendiri pada langkah tersulit.
Di mana peta yang ada berhenti di tengah jalan
Model-model yang menjadi acuan industri sudah tepat untuk zamannya, dan layak dibaca secara adil:
- Model penerapan lima fase yang dipopulerkan oleh dmarcian (yang pendirinya turut menyusun DMARC itu sendiri) menempuh deploy → pemantauan → pengetatan kebijakan — dan menganggap pencapaian
p=rejectsebagai tujuan akhir. - Progresi RFC —
p=none → quarantine → reject— adalah tiga tingkat penegakan, bukan model kematangan. Ia tidak mengatakan apa pun tentang prasyarat dan tidak mengatakan apa pun tentang apa yang datang setelahnya. - “Merangkak, berjalan, berlari” adalah model rakyat: benar dari segi arah, tetapi kosong dari segi struktur.
Ketiganya memiliki dua keterbatasan yang sama. Pertama, semuanya berhenti di p=reject — seolah-olah penegakan adalah garis akhir. Padahal bukan: standarnya sendiri telah bergerak maju (DMARCbis — RFC 9989, 9990 dan 9991 — diterbitkan pada Mei 2026, menggantikan RFC 7489 yang asli), dan penegakan tidak melakukan apa pun untuk keamanan transport atau kepercayaan merek. Kedua — dan inilah yang benar-benar membuat domain terdampar — tidak ada satu pun yang menjadikan “setiap pengirim tercatat” sebagai tahap bernama. Agar adil, panduan penerapan memang menyebutkan pekerjaan itu: model dmarcian mencakup identifikasi sumber sebagai tugas di dalam fase pemantauannya. Tetapi tugas yang terkubur di dalam sebuah fase memang persis diperlakukan seperti itu — sebagai bagian dari “pemantauan” alih-alih sebagai pencapaian terpisah yang sebenarnya. Menyaksikan laporan berdatangan terasa seperti kemajuan. Padahal belum. Alasan tunggal terbesar mengapa domain bertahan di p=none selama bertahun-tahun adalah karena mereka bisa melihat email mereka tetapi belum mencatat semuanya — sehingga mereka tidak berani menegakkan, karena takut merusak sesuatu yang nyata.
Model yang berguna perlu memberi langkah itu nama tersendiri dan kriteria keluarnya sendiri. Model ini melakukannya. Kami menyebutnya DMARC Adoption Maturity Model — DAMM: enam tahap, satu langkah masing-masing, dan sebuah nama yang bisa Anda kutip.
Modelnya
Tahap 1 — Tanpa Perlindungan. Tidak ada catatan DMARC — atau SPF dan DKIM tidak lengkap di bawahnya. Siapa pun dapat mengirim email atas nama domain Anda, dan tidak ada apa pun di mana pun yang memeriksa. Langkahnya: konfigurasikan SPF dan DKIM untuk email utama Anda, dan pastikan keduanya terautentikasi dan selaras. DMARC dibangun di atas keduanya; Anda tidak dapat melewati fondasi ini.
Tahap 2 — Terautentikasi. SPF dan DKIM sudah benar dan selaras untuk alur email utama Anda. Email sah Anda membuktikan asal-usulnya — tetapi tidak ada yang memberi tahu kotak masuk di seluruh dunia apa yang harus dilakukan terhadap email yang tidak. Langkahnya: terbitkan catatan DMARC di p=none dengan alamat pelaporan rua=.
Tahap 3 — Mengamati. DMARC telah diterbitkan, laporan agregat mengalir, dan untuk pertama kalinya Anda dapat melihat siapa yang mengirim atas nama domain Anda. Tidak ada yang diblokir. Kebanyakan alat menyebut tahap ini “visibilitas” — kami sengaja tidak melakukannya, karena melihat laporan dan memahaminya adalah dua pencapaian yang berbeda. Langkahnya: identifikasi setiap sumber sah yang mengirim atas nama domain Anda, dan buat masing-masing selaras.
Tahap 4 — Visibilitas. Setiap pengirim sah telah teridentifikasi dan selaras — platform buletin, sistem penagihan, CRM, hal yang didaftarkan tim pemasaran musim semi lalu. Anda mengenal email Anda. Tidak ada yang sah akan rusak jika Anda menegakkan. Inilah tahap yang dilewati peta-peta lama, dan tembok yang tidak pernah didaki oleh sebagian besar domain. Langkahnya: naikkan kebijakan — p=none → p=quarantine (mode uji t=y DMARCbis membantu di sini) → p=reject.
Tahap 5 — Ditegakkan. p=quarantine atau p=reject sudah aktif, dengan subdomain tercakup oleh kebijakan sp= yang eksplisit. Email yang gagal autentikasi kini benar-benar dikarantina atau ditolak di penerima yang berpartisipasi — yang mencakup setiap penyedia kotak surat besar — sehingga pemalsuan langsung atas domain persis Anda berhenti mendarat di tempat DMARC diperiksa. Langkahnya: tambahkan lapisan penguatan — cakupan np= dan tree-walk DMARCbis, MTA-STS dan TLS-RPT untuk transport, BIMI jika tampilan merek penting bagi Anda.
Tahap 6 — Diperkuat & berkelanjutan. Penegakan ditambah tumpukan modern: cakupan subdomain-tidak-ada (np=) dari DMARCbis, MTA-STS dan TLS-RPT yang mengamankan email dalam transit, BIMI di tempat yang layak — dan, yang terpenting, pemantauan berkelanjutan terhadap penyimpangan dan pengirim baru. Ini bukan lencana; ini adalah disiplin. Pengirim baru muncul, penyedia mengubah IP, konfigurasi membusuk. Langkahnya: bertahan di sini.
Jalur tanpa-email. Diukur di seluruh inventaris domain — termasuk domain mati — 51.5% domain tidak menjalankan layanan email sama sekali, dan bagi mereka perjalanannya menyusut menjadi satu langkah. Domain yang tidak pernah mengirim harus segera menerbitkan SPF
-alldan DMARCp=reject: tidak ada email sah yang perlu dilindungi, jadi tidak ada yang perlu diamati dan tidak ada tembok yang perlu didaki. Domain merek yang diparkir dan tidak aktif langsung menuju Ditegakkan dalam satu perubahan DNS — dan melakukannya menutup salah satu vektor peniruan yang paling umum.
Tembok itu: Tahap 3 → 4
Setiap transisi lain dalam model ini adalah perubahan DNS. Yang satu ini adalah pekerjaan investigatif — dan di sinilah berbulan-bulan waktu terbuang.
Beranjak dari Mengamati ke Visibilitas berarti mengaitkan setiap sumber pengirim dalam laporan Anda ke sistem nyata: ESP mana, CRM mana, relai email kantor regional mana, alat SaaS mana yang dihubungkan seseorang pada 2023 lalu dilupakan. Itu berarti menemukan pengirim shadow-IT yang tidak didokumentasikan siapa pun. Itu berarti memperbaiki keselarasan satu per satu ESP, karena setiap platform punya caranya sendiri untuk mengautentikasi atas nama Anda — beberapa di antaranya salah secara bawaan.
Melewati tembok inilah yang membuat DMARC mendapat reputasi menakutkan. Tegakkan dari Mengamati — tanpa Visibilitas — dan Anda pasti akan memblokir sesuatu yang nyata: proses penerbitan faktur, alur reset kata sandi, buletin sang CEO. Lalu datanglah kepanikan mengembalikan ke p=none, post-mortem internal, dan pelajaran yang dipetik semua orang secara keliru: “kami mencoba DMARC dan itu merusak email.” Sebagian besar kisah horor DMARC persis seperti ini — penegakan dicoba satu tahap terlalu dini. Tembok bukan alasan untuk berhenti di Tahap 3. Tembok adalah alasan mengapa Tahap 4 ada.
Ini juga tahap di mana pemilik paling sering membawa bantuan — penyedia IT atau layanan pemantauan DMARC dapat melakukan pekerjaan identifikasi pengirim; tahap-tahapnya tetap sama dengan cara mana pun.
Bagian yang semua orang lupakan: Tahap 5 → 6
Mencapai p=reject menghentikan pemalsuan langsung domain Anda di baris From:, di penerima yang memeriksanya. Itu diperlukan — dan itu tidak cukup. Perlu juga disebutkan apa yang tidak pernah dicakup oleh penegakan: domain mirip (yourc0mpany.com) dan peniruan nama tampilan sepenuhnya berada di luar jangkauan DMARC, sehingga penegakan menutup pintu domain-persis dan menyerahkan pintu-pintu tetangganya kepada kewaspadaan dan kontrol lain.
Penegakan tidak melakukan apa pun untuk transport: tanpa MTA-STS dan TLS-RPT, email ke domain Anda masih dapat diturunkan atau dicegat dalam transit. Ia tidak melakukan apa pun untuk pengenalan merek: BIMI — logo Anda, ditampilkan di kotak masuk — adalah sinyal kepercayaan, bukan kontrol keamanan, dan jujurlah untuk memperlakukannya demikian (ia juga memerlukan sertifikat berbayar, itulah mengapa ia berada di urutan terakhir, bukan pertama). Dan p=reject polos mendahului DMARCbis: tag np= dan tree-walk dari RFC baru menutup celah subdomain-tidak-ada yang dibiarkan terbuka oleh penerapan lama.
Domain di p=reject tanpa satu pun hal di atas terlindungi dari serangan paling umum tetapi tidak siap untuk sisanya. Itu perbedaan yang nyata, dan layak mendapat tahapnya sendiri.
Tahap Anda dapat diukur
Model ini bukan sekadar diagram — tahap suatu domain dapat dihitung, dan itulah yang membedakannya dari poster di dinding.
Tahap 3 hingga 6 dapat diturunkan dari data pelaporan DMARC domain itu sendiri ditambah catatan yang diterbitkannya: kebijakan apa yang aktif, apakah laporan mengalir, dan apakah setiap pengirim yang teramati selaras. Tahap 1 dan 2 dinilai dengan pemeriksaan DNS langsung, karena belum ada laporan. Satu keterbatasan jujur di setiap arah: Tahap 4 dikonfirmasi oleh bukti dari waktu ke waktu — “setiap pengirim yang teramati selaras di sepanjang cukup banyak hari pelaporan” adalah proksi yang kuat, tetapi tidak ada laporan yang dapat mengungkap pengirim yang belum Anda hubungkan. Dan lapisan penguatan Tahap 6 — MTA-STS, TLS-RPT, BIMI — tidak terlihat dalam laporan DMARC; diperlukan pemeriksaan DNS untuk melihatnya. Sebuah domain bisa tampak “selesai” dari laporannya dan tetap membawa celah tersembunyi Tahap 5 → 6. Inilah model yang menjadi acuan analisis pelaporan kami sendiri, lengkap dengan segala penghambatnya.
Sebuah contoh yang dikerjakan
Sebuah perusahaan menengah menjalankan Microsoft 365 di belakang gateway penyaringan email. SPF berakhir dengan -all, DKIM dikonfigurasi, DMARC diterbitkan di p=none, dan laporan mengalir ke alat pemantauan. Pada peta lama ini tampak hampir selesai. Pada peta ini ini adalah Tahap 3 — Mengamati: penyiapan sulitnya sudah lengkap, dan domain telah macet persis di tembok — terlihat, tidak terlindungi. Langkah bernilai tertinggi adalah 3 → 4 → 5: konfirmasi bahwa (kemungkinan sedikit) pengirim sah semuanya selaras, lalu naikkan kebijakan secara bertahap. Untuk domain dalam bentuk ini, itu biasanya berupa perhatian selama beberapa minggu, bukan beberapa bulan — tembok paling tinggi bagi mereka yang tidak pernah memetakannya.
Temukan tahap Anda
Pertanyaan yang harus dipensiunkan adalah “apakah kami punya DMARC?” — 24.89% domain bisa menjawab ya sementara 57.5% dari mereka tetap dapat dipalsukan. Pertanyaan yang lebih baik adalah “kami di tahap apa, dan apa satu langkah ke tahap berikutnya?” Setiap domain di internet berada tepat di salah satu dari enam tahap ini hari ini. Mengetahui yang mana mengubah kecemasan menjadi daftar tugas.
Pertanyaan yang sering diajukan
Apa itu DAMM? DMARC Adoption Maturity Model — model enam tahap di halaman ini: Tanpa Perlindungan, Terautentikasi, Mengamati, Visibilitas, Ditegakkan, Diperkuat. Tahap suatu domain dapat diukur dari DNS-nya dan data pelaporan DMARC-nya, dan itulah yang membedakannya dari poster di dinding.
Kalau begitu, apakah menerbitkan p=none tidak berguna? Tidak — itu adalah Tahap 3, dan Tahap 3 bersifat menopang: pelaporan adalah cara Anda menemukan setiap pengirim sebelum Anda menegakkan. Ia hanya menjadi masalah ketika diperlakukan sebagai tujuan akhir. Lihat mengapa p=none bukan perlindungan.
Bisakah saya langsung melompat ke p=reject? Jika domain Anda tidak mengirim email — ya, hari ini juga, dan Anda memang sebaiknya. Jika ia mengirim email — tidak: menegakkan tanpa Visibilitas (Tahap 4) adalah cara email sah menjadi rusak dan pengembalian terjadi. Tahap-tahap itu adalah jalur yang aman, bukan seremoni.
Apakah saya butuh BIMI agar “selesai”? Tidak. BIMI adalah lapisan tampilan-merek dari Tahap 6 dan elemen paling opsional dalam model ini — MTA-STS, TLS-RPT dan cakupan np= DMARCbis adalah bagian yang secara nyata memperkuat sebuah domain. Jika biaya sertifikatnya tidak sepadan bagi Anda, lewati saja dan pertahankan sisa Tahap 6.
Di mana posisi SPF dan DKIM? Di bawah segalanya — keduanya adalah Tahap 1 → 2, dan SPF tanpa DMARC melindungi lebih sedikit daripada yang diasumsikan sebagian besar pemilik. Sejak 2024, penerima besar juga telah mewajibkan autentikasi secara langsung dari pengirim massal.
Periksa posisi domain Anda sendiri
Tahap-tahap ini adalah pola populasi — domain Anda berada tepat di salah satunya, dan langkah berikutnya dapat diketahui. Anda dapat memeriksa secara pribadi dan gratis, serta melihat mana dari 34 pemeriksaan yang Anda lolos dan cara memperbaiki yang tidak.
Periksa domain Anda → · Bagaimana kami menilai internet → · Pilar DMARC → · Hanya data agregat. Data disimpan dan diproses di UE.