Defaults.Exposed

Defaults.Exposed › Ataskaitos

6 DMARC brandos etapai

Paskelbta 2026-07-03 · atnaujinta 2026-07-03

Duomenys 2026-06-29 · metodika v7. Tai etaloninis modelis, paremtas pasikartojančiu surašymu; kiekvienas leidimas iš naujo matuoja tą pačią populiaciją, todėl skaičius galima stebėti laikui bėgant. Visi skaičiai yra apibendrinti — mes niekada neskelbiame atskiros įmonės įvertinimo.

DMARC paskelbimas nėra tas pats, kas apsauga

261 milijonų išmatuotų domenų 24.89% paskelbia DMARC įrašą, tačiau tik 10.59% jį taiko priverstinai. Kitaip tariant: iš maždaug 65 milijonų domenų, kurie pradėjo DMARC kelionę, 57.5% niekada nepasiekė tos dalies, kuri ką nors blokuoja. Jie paskelbė įrašą, nukreipė ataskaitas kažkur ir įstrigo. Mažesni nepriklausomi tyrimai randa tą pačią tendenciją — vienoje 2026 m. pramonės ataskaitoje nurodyta, kad iš maždaug 938 000 tirtų domenų priverstinį taikymą naudoja apie 9%.

Pritaikymas nebėra problema. Apsauga yra. Ir domenai įstringa dėl struktūrinės priežasties: žemėlapiai, kuriais visi naudojasi, nutrūksta per anksti. Jie baigiasi per greitai, ir nė vienas iš jų nesuteikia sunkiausiam žingsniui atskiro pavadinimo.

Kur esami žemėlapiai nutrūksta

Modeliai, kuriais pramonė vadovaujasi, buvo teisingi savo epochai ir nusipelno sąžiningo įvertinimo:

Visi trys turi du bendrus apribojimus. Pirma, jie sustoja ties p=reject — tarsi priverstinis taikymas būtų finišo linija. Taip nėra: pats standartas pažengė toliau (DMARCbis — RFC 9989, 9990 ir 9991 — buvo paskelbtas 2026 m. gegužę, pakeisdamas pradinį RFC 7489), o priverstinis taikymas nieko nedaro perdavimo saugumui ar prekės ženklo pasitikėjimui. Antra — ir būtent tai iš tikrųjų palieka domenus įstrigusius — nė vienas iš jų nepaverčia „kiekvienas siuntėjas apskaitytas“ įvardytu etapu. Sąžiningumo dėlei — diegimo vadovai šį darbą paminėti: dmarcian modelis įtraukia siuntėjų identifikavimą kaip užduotį savo stebėsenos fazėje. Bet užduotis, palaidota fazės viduje, būtent taip ir traktuojama — kaip „stebėsenos“ dalis, o ne kaip atskiras pasiekimas, kuris ji yra. Ataskaitų atkeliavimo stebėjimas atrodo kaip pažanga. Kol kas taip nėra. Pati didžiausia priežastis, kodėl domenai metų metus sėdi ties p=none, yra ta, kad jie mato savo paštą, bet jo neapskaitė — todėl nedrįsta taikyti priverstinio taikymo, bijodami sugadinti kažką realaus.

Naudingas modelis turi suteikti tam žingsniui savo pavadinimą ir savo pabaigos kriterijus. Šis suteikia. Mes jį vadiname DMARC pritaikymo brandos modeliu — DAMM: šeši etapai, po vieną žingsnį kiekviename, ir pavadinimas, kurį galima cituoti.

Modelis

Šeši DMARC brandos etapai — nuo Neapsaugoto iki Sustiprinto, su siena tarp Stebimo ir Matomumo

1 etapas — Neapsaugotas. Nėra DMARC įrašo — arba po juo neužbaigti SPF ir DKIM. Bet kas gali siųsti el. laiškus jūsų domeno vardu, ir niekur niekas netikrina. Žingsnis: sukonfigūruokite SPF ir DKIM savo pagrindiniam paštui ir įsitikinkite, kad jie autentifikuojasi ir suderinami. DMARC remiasi abiem; šio pamato praleisti negalima.

2 etapas — Autentifikuotas. SPF ir DKIM yra teisingi ir suderinami jūsų pagrindiniam pašto srautui. Jūsų teisėtas paštas įrodo savo kilmę — bet niekas nenurodo pasaulio pašto dėžutėms, ką daryti su paštu, kuris to nedaro. Žingsnis: paskelbkite DMARC įrašą su p=none ir rua= ataskaitų adresu.

3 etapas — Stebimas. DMARC paskelbtas, apibendrintos ataskaitos plaukia, ir pirmą kartą galite matyti, kas siunčia jūsų domeno vardu. Niekas neblokuojama. Dauguma įrankių šį etapą vadina „matomumu“ — mes sąmoningai to nedarome, nes ataskaitų matymas ir jų supratimas yra skirtingi pasiekimai. Žingsnis: identifikuokite kiekvieną teisėtą šaltinį, kuris siunčia jūsų domeno vardu, ir suderinkite kiekvieną iš jų.

4 etapas — Matomumas. Kiekvienas teisėtas siuntėjas identifikuotas ir suderintas — naujienlaiškių platforma, sąskaitų sistema, CRM, tas dalykas, kurį rinkodara užsiregistravo praėjusį pavasarį. Jūs pažįstate savo paštą. Niekas teisėto nesulūš, jei taikysite priverstinį taikymą. Tai etapas, kurį senieji žemėlapiai praleidžia, ir siena, kurios dauguma domenų niekada neįveikia. Žingsnis: pakelkite politiką — p=none → p=quarantine (čia padeda DMARCbis t=y bandymo režimas) → p=reject.

5 etapas — Priverstinis taikymas. p=quarantine arba p=reject yra aktyvus, o subdomenus dengia aiški sp= politika. Paštas, kuris nepraeina autentifikacijos, dabar iš tikrųjų karantinuojamas arba atmetamas dalyvaujančiuose gavėjuose — o tai apima kiekvieną didelį pašto dėžučių tiekėją — todėl tiesioginis jūsų tikslaus domeno klastojimas nustoja pasiekti ten, kur tikrinamas DMARC. Žingsnis: pridėkite sustiprinimo sluoksnį — DMARCbis np= ir medžio apėjimo aprėptį, MTA-STS ir TLS-RPT perdavimui, BIMI, jei jums svarbus prekės ženklo rodymas.

6 etapas — Sustiprintas ir palaikomas. Priverstinis taikymas plius modernus rinkinys: neegzistuojančių subdomenų (np=) aprėptis iš DMARCbis, MTA-STS ir TLS-RPT, saugantys paštą perdavimo metu, BIMI ten, kur jis pasiteisina — ir, svarbiausia, nuolatinė stebėsena dėl nuokrypių ir naujų siuntėjų. Tai nėra ženkliukas; tai disciplina. Atsiranda nauji siuntėjai, tiekėjai keičia IP, konfigūracijos genda. Žingsnis: likite čia.

Nesiunčiančiųjų juosta. Išmatuota visame domenų inventoriuje — įskaitant negyvus domenus — 51.5% domenų visai neteikia pašto paslaugų, ir jiems kelionė susitraukia iki vieno žingsnio. Domenas, kuris niekada nesiunčia, turėtų nedelsiant paskelbti SPF -all ir DMARC p=reject: nėra teisėto pašto, kurį reikėtų saugoti, todėl nėra ko stebėti ir nėra sienos, kurią reikėtų įveikti. Užparkuoti ir neveiklūs prekės ženklo domenai pereina tiesiai į Priverstinį taikymą vienu DNS pakeitimu — ir tai užkerta kelią vienam iš dažniausiai pasitaikančių apsimetinėjimo vektorių.

Siena: 3 → 4 etapas

Kiekvienas kitas perėjimas šiame modelyje yra DNS pakeitimas. Šis yra tiriamasis darbas — ir būtent čia miršta mėnesiai.

Perėjimas nuo Stebimo prie Matomumo reiškia kiekvieno siunčiančio šaltinio jūsų ataskaitose priskyrimą realiai sistemai: kuris ESP, kuris CRM, kurio regioninio biuro pašto perdavimas, kuris SaaS įrankis, kurį kažkas prijungė 2023 m. ir pamiršo. Tai reiškia surasti šešėlinės IT siuntėjus, kurių niekas nedokumentavo. Tai reiškia taisyti suderinimą ESP po ESP, nes kiekviena platforma turi savo būdą autentifikuotis jūsų vardu — kai kurie iš jų numatytai neteisingi.

Sienos praleidimas — būtent taip DMARC įgijo savo baisią reputaciją. Taikykite priverstinį taikymą nuo Stebimo — be Matomumo — ir jūs tikrai užblokuosite kažką realaus: sąskaitų siuntimą, slaptažodžio atkūrimo srautą, generalinio direktoriaus naujienlaiškį. Tada seka panikos apimta atstata į p=none, vidinis tyrimas ir pamoka, kurios visi neteisingai išmoksta: „mes bandėme DMARC ir jis sugadino el. paštą.“ Dauguma DMARC siaubo istorijų yra būtent tokios — priverstinis taikymas bandytas vienu etapu per anksti. Siena nėra priežastis sustoti ties 3 etapu. Tai priežastis, kodėl egzistuoja 4 etapas.

Tai taip pat etapas, kuriame savininkai dažniausiai pasitelkia pagalbą — IT tiekėjas ar DMARC stebėsenos paslauga gali atlikti siuntėjų identifikavimo darbą; etapai bet kuriuo atveju lieka tie patys.

Dalis, kurią visi pamiršta: 5 → 6 etapas

p=reject pasiekimas sustabdo tiesioginį jūsų domeno klastojimą From: laukelyje pas gavėjus, kurie jį tikrina. Tai yra būtina — bet nepakankama. Verta įvardyti ir tai, ko priverstinis taikymas niekada nepadengė: panašiai atrodantys domenai (yourc0mpany.com) ir rodomo vardo apsimetinėjimas yra visiškai už DMARC pasiekiamumo ribų, todėl priverstinis taikymas uždaro tikslaus domeno duris ir palieka gretimas budrumui bei kitoms kontrolės priemonėms.

Priverstinis taikymas nieko nedaro perdavimui: be MTA-STS ir TLS-RPT paštas į jūsų domeną vis tiek gali būti pažemintas ar perimtas perdavimo metu. Jis nieko nedaro prekės ženklo atpažinimui: BIMI — jūsų logotipas, rodomas pašto dėžutėje — yra pasitikėjimo signalas, o ne saugumo kontrolė, ir sąžininga jį taip ir traktuoti (jis taip pat reikalauja mokamo sertifikato, todėl jis yra paskutinis, o ne pirmas). Ir paprastas p=reject yra ankstesnis už DMARCbis: naujų RFC np= žymė ir medžio apėjimas uždaro neegzistuojančio subdomeno spragą, kurią senesni diegimai palieka atvirą.

Domenas su p=reject, neturintis nė vieno iš aukščiau išvardytų dalykų, yra apsaugotas nuo dažniausio atakos tipo ir nepasiruošęs likusiems. Tai realus skirtumas, ir jis nusipelno savo etapo.

Jūsų etapas yra išmatuojamas

Šis modelis nėra vien diagrama — domeno etapas yra apskaičiuojamas, o būtent tai skiria jį nuo plakato ant sienos.

3–6 etapus galima išvesti iš paties domeno DMARC ataskaitų duomenų plius jo paskelbtų įrašų: kokia politika yra aktyvi, ar plaukia ataskaitos ir ar kiekvienas stebimas siuntėjas yra suderintas. 1 ir 2 etapai vertinami tiesioginiu DNS patikrinimu, nes ataskaitų dar nėra. Vienas sąžiningas apribojimas kiekviena kryptimi: 4 etapas patvirtinamas įrodymais laikui bėgant — „kiekvienas stebimas siuntėjas suderintas per pakankamai ataskaitų dienų“ yra stiprus pakaitalas, bet jokia ataskaita negali atskleisti siuntėjo, kurio dar neprijungėte. O 6 etapo sustiprinimo sluoksnis — MTA-STS, TLS-RPT, BIMI — DMARC ataskaitose nematomas; jį pamatyti reikia DNS patikrinimo. Domenas gali atrodyti „baigtas“ pagal savo ataskaitas ir vis tiek turėti paslėptą 5 → 6 etapo spragą. Būtent su šiuo modeliu lyginama mūsų pačių ataskaitų analizė, su visomis kliūtimis.

Praktinis pavyzdys

Vidutinio dydžio įmonė naudoja Microsoft 365 už pašto filtravimo šliuzo. SPF baigiasi -all, DKIM sukonfigūruotas, DMARC paskelbtas su p=none, o ataskaitos plaukia į stebėsenos įrankį. Senuose žemėlapiuose tai atrodo beveik baigta. Šiame tai yra 3 etapas — Stebimas: sunkus nustatymas užbaigtas, o domenas įstrigo būtent prie sienos — matomas, o ne apsaugotas. Vertingiausias žingsnis yra 3 → 4 → 5: patvirtinkite, kad (tikriausiai negausūs) teisėti siuntėjai visi suderinti, tada pakelkite politiką etapais. Tokios formos domenui tai paprastai yra savaitės dėmesio, o ne mėnesiai — siena aukščiausia tiems, kurie jos niekada nesudaro žemėlapyje.

Raskite savo etapą

Klausimas, kurį reikia išeiti į pensiją, yra „ar turime DMARC?“ — 24.89% domenų gali atsakyti taip, o 57.5% iš jų vis tiek lieka klastojami. Geresnis klausimas yra „kokiame etape esame ir koks vienintelis žingsnis į kitą?“ Kiekvienas domenas internete šiandien yra tiksliai viename iš šių šešių etapų. Žinojimas, kuriame, paverčia nerimą į darbų sąrašą.

Kur internetas yra šešiuose etapuose — dauguma domenų visai neturi DMARC įrašo; dauguma tų, kurie turi, įstrigę prieš priverstinį taikymą

Dažnai užduodami klausimai

Kas yra DAMM? DMARC pritaikymo brandos modelis — šešių etapų modelis šiame puslapyje: Neapsaugotas, Autentifikuotas, Stebimas, Matomumas, Priverstinis taikymas, Sustiprintas. Domeno etapas yra išmatuojamas iš jo DNS ir jo DMARC ataskaitų duomenų, o būtent tai skiria jį nuo plakato ant sienos.

Ar tada p=none paskelbimas beprasmis? Ne — tai 3 etapas, o 3 etapas yra laikantysis: ataskaitos yra būdas surasti kiekvieną siuntėją prieš taikant priverstinį taikymą. Problema atsiranda tik tada, kai jis laikomas galutiniu tikslu. Žr. kodėl p=none nėra apsauga.

Ar galiu iškart pereiti prie p=reject? Jei jūsų domenas nesiunčia pašto — taip, šiandien, ir turėtumėte. Jei jis siunčia paštą — ne: priverstinis taikymas be Matomumo (4 etapo) yra būdas sulaužyti teisėtą paštą ir sukelti atstatas. Etapai yra saugus kelias, o ne ceremonija.

Ar man reikia BIMI, kad būčiau „baigęs“? Ne. BIMI yra 6 etapo prekės ženklo rodymo sluoksnis ir labiausiai neprivalomas elementas modelyje — MTA-STS, TLS-RPT ir DMARCbis np= aprėptis yra dalys, kurios reikšmingai sustiprina domeną. Jei sertifikato kaina jums nepasiteisina, praleiskite jį ir išlaikykite likusią 6 etapo dalį.

Kur įsipaišo SPF ir DKIM? Po viskuo — jie yra 1 → 2 etapai, o SPF be DMARC apsaugo mažiau, nei dauguma savininkų mano. Nuo 2024 m. dideli gavėjai taip pat tiesiogiai reikalauja autentifikacijos iš masinių siuntėjų.

Patikrinkite, kur stovi jūsų domenas

Šie etapai yra populiacijos modeliai — jūsų domenas yra tiksliai viename iš jų, o kitas žingsnis yra sužinojamas. Galite patikrinti privačiai ir nemokamai bei pamatyti, kurias iš 34 patikrų praeinate ir kaip pataisyti tas, kurių ne.

Patikrinkite savo domeną → · Kaip įvertinome internetą → · DMARC ramstis → · Tik apibendrinti duomenys. Duomenys saugomi ir apdorojami ES.