Defaults.Exposed

Defaults.Exposed › Laporan

Menerbitkan Secara Buta: Kebanyakan Rekod DMARC Tidak Meminta Laporan

Diterbitkan 2026-07-03 · dikemas kini 2026-07-03

Angka setakat 2026-06-29 · metodologi v7. Data banci merentasi setiap domain yang menerbitkan rekod DMARC yang boleh dihuraikan, dinyahduplikasi bagi setiap domain. Kehadiran rua= diukur merentasi semua rekod, jadi pertindihan tepatnya dengan mana-mana dasar tunggal tidak boleh diperoleh — di mana artikel ini membuat dakwaan tentang pertindihan itu, ia menyatakan had, bukan tab silang yang tepat. Semua angka adalah agregat — kami tidak pernah menerbitkan gred sesebuah perniagaan secara individu.

Kebanyakan rekod DMARC tidak memerhati

Daripada 65 juta domain yang menerbitkan rekod DMARC, hanya 23 juta — 35.7% — yang menyertakan tag rua= yang meminta laporan agregat. Baki 64.3% menerbitkan secara buta: dasar ada pada rekod, tetapi tiada sesiapa meminta untuk diberitahu apa yang berlaku di bawahnya. Itu ialah 42 juta domain dengan rekod DMARC yang tidak dapat menunjukkan apa-apa kepada mereka.

Rekod DMARC tanpa pelaporan ibarat loceng pintu tanpa sesiapa di rumah. Penerima mel dengan tekun memeriksa setiap mesej terhadapnya — dan penemuan mereka, senarai semua orang yang menghantar sebagai domain anda, tidak pergi ke mana-mana. Mekanismenya berfungsi; pemiliknya sahaja yang tidak mendengar.

Apa yang rua= sebenarnya lakukan

DMARC mempunyai dua bahagian. Bahagian dasar (p=none, quarantine atau reject) memberitahu penerima apa yang perlu dilakukan dengan mel yang gagal pengesahan. Bahagian pelaporan — tag rua=, iaitu alamat peti mel — meminta penerima menghantar kepada anda laporan agregat harian: pelayan mana yang menghantar sebagai domain anda, berapa banyak mel, dan sama ada ia lulus SPF dan DKIM.

Bahagian kedua itu ialah keseluruhan gelung maklum balas. Laporan ialah cara anda menemui platform surat berita yang tiada sesiapa dokumenkan, alat pengeposan invois yang disambungkan oleh pemasaran, penghantar bayangan di rantau lain — sebelum anda menguatkuasakan dan merosakkannya. Tanpa rua=, tiada satu pun perisikan itu sampai kepada anda. Menambahnya hanya memerlukan satu suntingan DNS: tambahkan rua=mailto:[email protected] (atau alamat perkhidmatan pemantauan) pada rekod sedia ada.

Jurang antara Peringkat 2 dan 3: diterbitkan dan buta

Dalam enam peringkat kematangan DMARC, Peringkat 3 — Memerhati — bermula apabila DMARC diterbitkan dan laporan agregat mengalir. Rekod tanpa rua= tidak layak. Ia berada dalam jurang antara Peringkat 2 dan 3 — diterbitkan dan buta — satu tempat yang sengaja ditinggalkan oleh model itu tanpa nombornya sendiri.

Ini penting kerana setiap peringkat selepasnya bergantung pada laporan. Anda tidak boleh mengenal pasti penghantar anda (Peringkat 4) daripada laporan yang tidak pernah anda terima; anda tidak boleh menguatkuasakan dengan selamat (Peringkat 5) tanpa mengetahui penghantar anda. Rekod buta bukanlah langkah awal dalam perjalanan — ia adalah tempat berhenti tepi jalan. Dan banci menunjukkan kebanyakan pemegang rekod terparkir di situ atau berhampiran: 57.5% daripada semua rekod DMARC tidak pernah mencapai penguatkuasaan.

Lebih teruk daripada tidak berguna, kerana ia terasa seperti kemajuan

Rekod DMARC yang tiada sekurang-kurangnya kelihatan seperti apa adanya: satu jurang. Rekod buta pula kelihatan seperti satu tanda betul. Seseorang menjalankan senarai semak pematuhan, atau panduan kebolehsampaian, atau pembetulan satu baris daripada vendor — menerbitkan v=DMARC1; p=none — dan pengimbas bertukar hijau. Organisasi itu kini terasa lebih ke hadapan berbanding organisasi yang langsung tiada rekod, sedangkan dari segi fungsi berada di tempat yang sama: tiada keterlihatan, tiada penguatkuasaan, tiada laluan ke arah mana-mana.

Akibatnya senyap dan terkumpul. Rekod buta tidak gagal dengan lantang; ia sekadar tidak pernah menjana bukti yang akan mewajarkan langkah seterusnya. Bertahun-tahun kemudian rekod itu masih berbunyi p=none, tiada sesiapa boleh menyatakan penghantar mana yang sah, dan penguatkuasaan terasa lebih berisiko daripada sebelumnya — tepat sekali kerana tiada laporan yang pernah dikumpulkan.

Apa yang banci boleh dan tidak boleh nyatakan

Kerana kehadiran rua= diukur merentasi kesemua 65 juta rekod — bukan ditab silang bagi setiap dasar — bilangan tepat rekod p=none yang juga buta tidak boleh diperoleh daripada marginal ini. Hadnya masih ketara. 37 juta rekod (57.4% daripada pemegang rekod) berada pada p=none; hanya 23 juta rekod dalam keseluruhan banci meminta laporan. Jadi paling banyak 23 juta daripada rekod p=none itu boleh menerima laporan — dan sekurang-kurangnya 14 juta daripadanya pasti tidak, walaupun setiap alamat pelaporan dalam banci itu milik domain p=none. Walau bagaimanapun pertindihan itu jatuh sebenarnya, berjuta-juta domain berada dalam “mod pemantauan” dengan pemantau tidak dipasang.

Pembetulan satu suntingan

Jika rekod DMARC anda tiada tag rua=, pembetulannya ialah satu perubahan DNS dan ia selamat pada mana-mana tahap dasar:

  1. Pilih destinasi pelaporan — peti mel yang benar-benar akan anda proses, atau perkhidmatan pemantauan DMARC percuma/berbayar yang menukar XML kepada sesuatu yang boleh dibaca.
  2. Tambahkannya pada rekod: v=DMARC1; p=none; rua=mailto:[email protected]. Jika destinasi ialah domain yang berbeza, domain itu mesti membenarkan penerimaan laporan anda (satu rekod DNS tambahan yang kecil di pihaknya).
  3. Tunggu beberapa hari, kemudian baca. Laporan tiba setiap hari daripada penerima utama. Apa yang ditunjukkannya — setiap sumber yang menghantar sebagai domain anda — ialah peta untuk selebihnya perjalanan.

Kemudian rekod itu berhenti menjadi perabot dan mula menjadi instrumen. (Betulkan DMARC →.)

Soalan lazim

Apakah laporan rua DMARC? Laporan XML agregat yang dihantar oleh penerima mel yang menyertai (biasanya setiap hari) ke alamat dalam tag rua= rekod anda, meringkaskan sumber mana yang menghantar mel sebagai domain anda dan sama ada ia lulus penjajaran SPF dan DKIM. Ia tidak mengandungi kandungan mesej — hanya infrastruktur penghantar dan kiraan lulus/gagal.

Adakah DMARC tanpa rua tidak berguna? Bukan tidak berguna — dasar penguatkuasaan masih menyekat penyamaran tanpanya. Tetapi pada p=none, rekod tanpa rua= tidak menyekat apa-apa dan tidak menunjukkan apa-apa kepada anda — satu-satunya tugas yang tinggal ialah menandakan kotak keperluan minimum penyedia peti mel. Dan walaupun domain yang menguatkuasakan tanpa pelaporan kehilangan pengesanan hanyutan yang memastikan penguatkuasaan selamat apabila penghantar baharu muncul. p=none bukan perlindungan walau apa pun — tanpa laporan ia bukan pun persediaan.

Bolehkah rua= menuding ke mana-mana peti mel? Ya, termasuk peti mel pada domain yang berbeza — kebanyakan perkhidmatan pemantauan berfungsi persis seperti itu. Domain penerima menerbitkan rekod pengesahan kecil yang membenarkan laporan anda. Yang penting ialah sesuatu benar-benar memproses XML itu; peti mel yang tiada sesiapa baca ialah kebutaan dengan langkah tambahan.

Adakah laporan agregat mendedahkan data peribadi? Tidak. Laporan agregat rua membawa statistik sumber penghantaran dan pengesahan, bukan badan mesej atau senarai penerima. (Laporan kegagalan ruf= yang berasingan boleh mengandungi serpihan mesej, sebab itulah ramai penerima tidak lagi menghantarnya — rua ialah yang penting.)

Semak sama ada rekod anda memerhati

Rekod DMARC yang tidak meminta laporan ialah salah satu penemuan yang paling mudah untuk dibetulkan dalam keseluruhan perjalanan — satu suntingan DNS menukar buta kepada Memerhati. Anda boleh menyemak secara peribadi dan percuma, dan melihat yang mana antara 34 semakan itu anda lulus dan cara membetulkan yang anda gagal.

Semak domain anda → · 6 peringkat kematangan DMARC → · Tonggak DMARC → · Data agregat sahaja. Data disimpan dan diproses di EU.