Defaults.Exposed

Defaults.Exposed › Laporan

6 Peringkat Kematangan DMARC

Diterbitkan 2026-07-03 · dikemas kini 2026-07-03

Angka setakat 2026-06-29 · metodologi v7. Ini ialah model rujukan yang disokong oleh banci berulang; setiap edisi mengukur semula populasi yang sama supaya angka boleh dijejaki dari semasa ke semasa. Semua angka adalah agregat — kami tidak pernah menerbitkan gred sesebuah perniagaan secara individu.

Menerbitkan DMARC tidak sama dengan terlindung

Merentasi 261 juta domain yang diukur, 24.89% menerbitkan rekod DMARC — tetapi hanya 10.59% yang menguatkuasakannya. Dengan kata lain: daripada kira-kira 65 juta domain yang memulakan perjalanan DMARC, 57.5% tidak pernah sampai ke bahagian yang menyekat apa-apa. Mereka menerbitkan rekod, mengarahkan pelaporan ke suatu tempat, dan terhenti. Kajian bebas yang lebih kecil mendapati bentuk yang sama — satu laporan industri 2026 meletakkannya pada ~9% yang menguatkuasakan dalam kalangan ~938,000 domain yang diperiksa.

Penerimaan bukan lagi masalahnya. Perlindungan itulah masalahnya. Dan domain terhenti atas sebab struktur: peta yang digunakan semua orang berhenti separuh jalan. Peta itu berakhir terlalu awal, dan tiada satu pun daripadanya memberi langkah paling sukar itu nama tersendiri.

Di mana peta sedia ada berhenti separuh jalan

Model yang digunakan industri sebagai panduan adalah betul untuk zamannya, dan wajar dibaca secara adil:

Ketiga-tiganya berkongsi dua batasan. Pertama, ia berhenti pada p=reject — seolah-olah penguatkuasaan ialah garisan penamat. Ia bukan: piawaian itu sendiri telah bergerak lebih jauh (DMARCbis — RFC 9989, 9990 dan 9991 — telah diterbitkan pada Mei 2026, menggantikan RFC 7489 asal), dan penguatkuasaan tidak melakukan apa-apa untuk keselamatan pengangkutan atau kepercayaan jenama. Kedua — dan inilah yang sebenarnya membuatkan domain terkandas — tiada satu pun daripadanya menjadikan “setiap penghantar diambil kira” sebagai peringkat yang dinamakan. Untuk berlaku adil, panduan penggunaan itu memang menyebut kerja tersebut: model dmarcian memasukkan pengenalpastian sumber sebagai satu tugas dalam fasa pemantauannya. Tetapi tugas yang tersembunyi di dalam sesebuah fasa memang begitulah cara ia diperlakukan — sebagai sebahagian daripada “pemantauan” dan bukannya sebagai pencapaian berasingan sepertimana sepatutnya. Menyaksikan laporan tiba terasa seperti kemajuan. Ia belum lagi. Sebab tunggal terbesar domain kekal pada p=none selama bertahun-tahun ialah mereka boleh melihat mel mereka tetapi belum mengambil kira mel itu — jadi mereka tidak berani menguatkuasakan, kerana takut merosakkan sesuatu yang sebenar.

Sebuah model yang berguna perlu memberi langkah itu namanya sendiri dan kriteria keluarnya sendiri. Model ini melakukannya. Kami menamakannya Model Kematangan Penerimaan DMARC — DAMM: enam peringkat, satu langkah setiap satu, dan nama yang boleh anda petik.

Model

Enam peringkat kematangan DMARC — daripada Tidak Terlindung hingga Diperkukuh, dengan tembok antara Memerhati dan Keterlihatan

Peringkat 1 — Tidak Terlindung. Tiada rekod DMARC — atau SPF dan DKIM tidak lengkap di bawahnya. Sesiapa sahaja boleh menghantar e-mel sebagai domain anda, dan tiada apa-apa di mana-mana yang memeriksanya. Langkahnya: konfigurasikan SPF dan DKIM untuk mel utama anda, dan sahkan ia mengesahkan serta menjajar. DMARC dibina atas kedua-duanya; anda tidak boleh melangkau lantai ini.

Peringkat 2 — Disahkan. SPF dan DKIM adalah betul dan menjajar untuk aliran mel utama anda. Mel sah anda membuktikan asal usulnya — tetapi tiada apa yang memberitahu peti masuk di seluruh dunia apa yang harus dilakukan terhadap mel yang tidak menjajar. Langkahnya: terbitkan rekod DMARC pada p=none dengan alamat pelaporan rua=.

Peringkat 3 — Memerhati. DMARC diterbitkan, laporan agregat sedang mengalir, dan buat kali pertama anda boleh melihat siapa yang menghantar sebagai domain anda. Tiada apa yang disekat. Kebanyakan alat memanggil peringkat ini “keterlihatan” — kami sengaja tidak, kerana melihat laporan dan memahaminya adalah dua pencapaian yang berbeza. Langkahnya: kenal pasti setiap sumber sah yang menghantar sebagai domain anda, dan pastikan setiap satu menjajar.

Peringkat 4 — Keterlihatan. Setiap penghantar sah dikenal pasti dan menjajar — platform surat berita, sistem invois, CRM, benda yang pihak pemasaran daftar musim bunga lalu. Anda kenal mel anda. Tiada apa yang sah akan rosak jika anda menguatkuasakan. Inilah peringkat yang dilangkau oleh peta lama, dan tembok yang paling banyak domain tidak pernah panjat. Langkahnya: naikkan dasar — p=none → p=quarantine (mod ujian t=y DMARCbis membantu di sini) → p=reject.

Peringkat 5 — Dikuatkuasakan. p=quarantine atau p=reject sedang aktif, dengan subdomain diliputi oleh dasar sp= yang eksplisit. Mel yang gagal pengesahan kini benar-benar dikuarantin atau ditolak di penerima yang mengambil bahagian — yang merangkumi setiap penyedia peti mel utama — jadi penyamaran langsung domain tepat anda berhenti mendarat di tempat DMARC diperiksa. Langkahnya: tambah lapisan pengukuhan — liputan np= dan tree-walk DMARCbis, MTA-STS dan TLS-RPT untuk pengangkutan, BIMI jika paparan jenama penting bagi anda.

Peringkat 6 — Diperkukuh & dikekalkan. Penguatkuasaan ditambah dengan tindanan moden: liputan subdomain-tidak-wujud (np=) daripada DMARCbis, MTA-STS dan TLS-RPT yang menjamin mel semasa pengangkutan, BIMI di tempat yang berbaloi — dan, yang paling penting, pemantauan berterusan terhadap penyelewengan dan penghantar baharu. Ini bukan lencana; ia satu disiplin. Penghantar baharu muncul, penyedia menukar IP, konfigurasi reput. Langkahnya: kekal di sini.

Laluan tiada-mel. Diukur merentasi keseluruhan inventori domain — termasuk domain mati — 51.5% domain langsung tidak menjalankan perkhidmatan mel, dan bagi mereka perjalanan itu runtuh menjadi satu langkah. Domain yang tidak pernah menghantar sepatutnya menerbitkan SPF -all dan DMARC p=reject dengan segera: tiada mel sah untuk dilindungi, jadi tiada apa untuk diperhatikan dan tiada tembok untuk dipanjat. Domain jenama yang diletak dan dorman terus ke Dikuatkuasakan dalam satu perubahan DNS — dan berbuat demikian menutup salah satu vektor penyamaran yang paling lazim.

Tembok: Peringkat 3 → 4

Setiap peralihan lain dalam model ini ialah perubahan DNS. Yang satu ini ialah kerja penyiasatan — dan di sinilah berbulan-bulan mati.

Bergerak daripada Memerhati ke Keterlihatan bermaksud mengaitkan setiap sumber penghantaran dalam laporan anda kepada sistem sebenar: ESP yang mana, CRM yang mana, geganti mel pejabat serantau yang mana, alat SaaS yang mana yang seseorang sambungkan pada 2023 dan lupa. Ia bermaksud mencari penghantar shadow-IT yang tiada siapa dokumenkan. Ia bermaksud membetulkan penjajaran ESP demi ESP, kerana setiap platform mempunyai cara tersendiri mengesahkan bagi pihak anda — sebahagiannya salah secara lalai.

Melangkau tembok inilah punca DMARC mendapat reputasi menakutkan. Kuatkuasakan daripada Memerhati — tanpa Keterlihatan — dan anda akan menyekat sesuatu yang sebenar: larian invois, aliran set semula kata laluan, surat berita CEO. Kemudian tibalah pengunduran panik kembali ke p=none, bedah siasat dalaman, dan pengajaran yang semua orang pelajari secara salah: “kami cuba DMARC dan ia merosakkan e-mel.” Kebanyakan kisah ngeri DMARC adalah tepat begini — penguatkuasaan dicuba satu peringkat terlalu awal. Tembok itu bukan alasan untuk berhenti pada Peringkat 3. Ia sebabnya Peringkat 4 wujud.

Ini juga peringkat di mana pemilik paling kerap membawa masuk bantuan — penyedia IT atau perkhidmatan pemantauan DMARC boleh melakukan kerja pengenalpastian penghantar; peringkat itu kekal sama walau apa cara pun.

Bahagian yang semua orang lupa: Peringkat 5 → 6

Mencapai p=reject menghentikan penyamaran langsung domain anda dalam baris From:, di penerima yang memeriksanya. Itu perlu — dan ia tidak mencukupi. Ia juga wajar dinamakan apa yang penguatkuasaan tidak pernah liputi: domain seakan-akan sama (yourc0mpany.com) dan penyamaran nama paparan berada sepenuhnya di luar jangkauan DMARC, jadi penguatkuasaan menutup pintu domain-tepat dan meninggalkan pintu-pintu jiran kepada kewaspadaan dan kawalan lain.

Penguatkuasaan tidak melakukan apa-apa untuk pengangkutan: tanpa MTA-STS dan TLS-RPT, mel ke domain anda masih boleh diturunkan taraf atau dipintas semasa pengangkutan. Ia tidak melakukan apa-apa untuk pengecaman jenama: BIMI — logo anda, dipaparkan di peti masuk — ialah isyarat kepercayaan, bukan kawalan keselamatan, dan jujur untuk memperlakukannya sebagai satu isyarat (ia juga memerlukan sijil berbayar, sebab itu ia berada di akhir, bukan di awal). Dan p=reject biasa mendahului DMARCbis: tag np= dan tree-walk RFC baharu menutup jurang subdomain-tidak-wujud yang ditinggalkan terbuka oleh penggunaan lama.

Domain pada p=reject tanpa mana-mana perkara di atas terlindung daripada serangan paling lazim tetapi tidak bersedia untuk yang selebihnya. Itu perbezaan sebenar, dan ia wajar mempunyai peringkatnya sendiri.

Peringkat anda boleh diukur

Model ini bukan sekadar rajah — peringkat sesebuah domain boleh dikira, dan itulah yang membezakannya daripada poster di dinding.

Peringkat 3 hingga 6 boleh diperoleh daripada data pelaporan DMARC domain itu sendiri ditambah rekod yang diterbitkannya: dasar apa yang aktif, sama ada laporan mengalir, dan sama ada setiap penghantar yang diperhatikan menjajar. Peringkat 1 dan 2 dinilai dengan semakan DNS langsung, kerana belum ada laporan wujud lagi. Satu batasan jujur dalam setiap arah: Peringkat 4 disahkan melalui bukti dari semasa ke semasa — “setiap penghantar yang diperhatikan menjajar merentasi hari pelaporan yang mencukupi” ialah proksi yang kuat, tetapi tiada laporan boleh mendedahkan penghantar yang belum anda sambungkan. Dan lapisan pengukuhan Peringkat 6 — MTA-STS, TLS-RPT, BIMI — tidak kelihatan dalam laporan DMARC; ia memerlukan semakan DNS untuk dilihat. Sesebuah domain boleh kelihatan “selesai” daripada laporannya dan masih membawa jurang Peringkat 5 → 6 yang tersembunyi. Inilah model yang menjadi ukuran analisis pelaporan kami sendiri, berserta penghalang dan segalanya.

Contoh dikerjakan

Sebuah firma bersaiz sederhana menjalankan Microsoft 365 di belakang gerbang penapisan mel. SPF berakhir dengan -all, DKIM dikonfigurasi, DMARC diterbitkan pada p=none, dan laporan mengalir ke alat pemantauan. Pada peta lama ini kelihatan hampir selesai. Pada peta ini ia adalah Peringkat 3 — Memerhati: persediaan sukar telah lengkap, dan domain telah terhenti tepat di tembok — kelihatan, tidak terlindung. Langkah paling bernilai ialah 3 → 4 → 5: sahkan bahawa penghantar sah (yang berkemungkinan sedikit) semuanya menjajar, kemudian naikkan dasar secara berperingkat. Bagi domain dalam bentuk ini, itu biasanya beberapa minggu perhatian, bukan berbulan-bulan — tembok itu paling tinggi bagi mereka yang tidak pernah memetakannya.

Cari peringkat anda

Soalan yang perlu disingkirkan ialah “adakah kami mempunyai DMARC?” — 24.89% domain boleh menjawab ya sementara 57.5% daripadanya kekal boleh disamar. Soalan yang lebih baik ialah “pada peringkat mana kami berada, dan apakah satu langkah ke peringkat seterusnya?” Setiap domain di internet berada tepat pada salah satu daripada enam peringkat ini hari ini. Mengetahui yang mana satu mengubah kebimbangan menjadi senarai tugasan.

Di mana internet berada merentasi enam peringkat — kebanyakan domain langsung tiada rekod DMARC; kebanyakan yang ada pula terhenti sebelum penguatkuasaan

Soalan lazim ditanya

Apakah DAMM? Model Kematangan Penerimaan DMARC — model enam peringkat pada halaman ini: Tidak Terlindung, Disahkan, Memerhati, Keterlihatan, Dikuatkuasakan, Diperkukuh. Peringkat sesebuah domain boleh diukur daripada DNS dan data pelaporan DMARC-nya, dan itulah yang membezakannya daripada poster di dinding.

Jadi, adakah menerbitkan p=none tidak berguna? Tidak — ia Peringkat 3, dan Peringkat 3 menanggung beban: pelaporan ialah cara anda mencari setiap penghantar sebelum anda menguatkuasakan. Ia hanya menjadi masalah apabila ia diperlakukan sebagai destinasi. Lihat mengapa p=none bukan perlindungan.

Bolehkah saya terus melangkau ke p=reject? Jika domain anda tidak menghantar mel — ya, hari ini juga, dan anda patut. Jika ia memang menghantar mel — tidak: menguatkuasakan tanpa Keterlihatan (Peringkat 4) ialah cara mel sah dirosakkan dan pengunduran berlaku. Peringkat itu ialah laluan selamat, bukan upacara.

Adakah saya perlukan BIMI untuk “selesai”? Tidak. BIMI ialah lapisan paparan jenama Peringkat 6 dan elemen paling pilihan dalam model — MTA-STS, TLS-RPT dan liputan np= DMARCbis ialah bahagian yang benar-benar mengukuhkan sesebuah domain. Jika kos sijil tidak berbaloi bagi anda, langkau ia dan kekalkan bahagian lain Peringkat 6.

Di mana SPF dan DKIM sesuai? Di bawah segalanya — ia ialah Peringkat 1 → 2, dan SPF tanpa DMARC melindungi kurang daripada yang diandaikan kebanyakan pemilik. Sejak 2024, penerima utama juga telah menuntut pengesahan secara langsung daripada penghantar pukal.

Semak di mana kedudukan domain anda sendiri

Peringkat ini ialah corak populasi — domain anda berada tepat pada salah satunya, dan langkah seterusnya boleh diketahui. Anda boleh menyemak secara persendirian dan percuma, serta melihat yang mana antara 34 semakan itu anda lulus dan cara membetulkan yang anda tidak lulus.

Semak domain anda → · Bagaimana kami menggredkan internet → · Tiang DMARC → · Data agregat sahaja. Data disimpan dan diproses di EU.