Defaults.Exposed

Defaults.Exposed › Rapporter

Publisering i blinde: De fleste DMARC-poster ber ikke om rapporter

Publisert 2026-07-03 · oppdatert 2026-07-03

Tall per 2026-06-29 · metodikk v7. Folketellingsdata på tvers av alle domener som publiserer en DMARC-post som lar seg tolke, deduplisert per domene. Tilstedeværelse av rua= måles på tvers av alle poster, så den nøyaktige overlappingen med én enkelt policy kan ikke utledes — der denne artikkelen kommer med påstander om den overlappingen, oppgir den grenser, aldri nøyaktige kryssoppslag. Alle tall er aggregerte — vi publiserer aldri en enkelt virksomhets karakter.

De fleste DMARC-poster følger ikke med

Av de 65 millioner domenene som publiserer en DMARC-post, inkluderer bare 23 millioner — 35.7 % — rua=-taggen som ber om aggregerte rapporter. De øvrige 64.3 % publiserer i blinde: en policy står på posten, men ingen ba om å få vite hva som skjer under den. Det er 42 millioner domener med en DMARC-post som ikke kan vise dem noe som helst.

En DMARC-post uten rapportering er en dørklokke uten noen hjemme. Postmottakere sjekker pliktoppfyllende hver melding mot den — og funnene deres, listen over alle som sender som ditt domene, går ingen steder. Mekanismen virker; eieren lytter bare ikke.

Hva rua= egentlig gjør

DMARC har to halvdeler. Policy-halvdelen (p=none, quarantine eller reject) forteller mottakere hva de skal gjøre med post som ikke består autentisering. Rapporterings-halvdelen — rua=-taggen, en postboksadresse — ber mottakere sende deg daglige aggregerte rapporter: hvilke servere som sendte som ditt domene, hvor mye post, og om den bestod SPF og DKIM.

Den andre halvdelen er hele tilbakemeldingssløyfen. Rapporter er slik du oppdager nyhetsbrevplattformen ingen dokumenterte, faktureringsverktøyet markedsavdelingen koblet på, skyggeavsenderen i en annen region — før du håndhever og ødelegger for dem. Uten rua= når ingen av den innsikten deg noen gang. Å legge det til koster én DNS-endring: legg til rua=mailto:[email protected] (eller adressen til en overvåkingstjeneste) på den eksisterende posten.

Gapet mellom trinn 2 og 3: publisert og blind

I de seks trinnene av DMARC-modenhet begynner trinn 3 — Observerende — når DMARC er publisert og aggregerte rapporter flyter. En post uten rua= kvalifiserer ikke. Den ligger i gapet mellom trinn 2 og 3 — publisert og blind — et sted modellen bevisst lar stå uten et eget tall.

Dette betyr noe fordi hvert trinn etter det er avhengig av rapportene. Du kan ikke identifisere avsenderne dine (trinn 4) fra rapporter du aldri mottar; du kan ikke håndheve trygt (trinn 5) uten å kjenne avsenderne dine. En blind post er ikke et tidlig steg på reisen — det er en lomme like ved siden av den. Og folketellingen antyder at de fleste postholdere står parkert der eller i nærheten: 57.5 % av alle DMARC-poster når aldri håndheving.

Verre enn ubrukelig, fordi det føles som fremgang

En manglende DMARC-post ser i det minste ut som det den er: et hull. En blind ser ut som en hake. Noen kjørte en samsvarssjekkliste, eller en leveringsguide, eller en enlinjes rettelse fra en leverandør — publiserte v=DMARC1; p=none — og skanneren ble grønn. Organisasjonen føler seg nå lenger på vei enn organisasjonen uten post i det hele tatt, mens den funksjonelt er på samme sted: ingen innsikt, ingen håndheving, ingen vei til noen av delene.

Konsekvensen er stille og kumulativ. Blinde poster feiler ikke høylytt; de genererer bare aldri beviset som ville rettferdiggjort neste trekk. År senere sier posten fortsatt p=none, ingen kan si hvilke avsendere som er legitime, og å håndheve føles risikablere enn noensinne — nettopp fordi ingen rapporter noensinne ble samlet inn.

Hva folketellingen kan og ikke kan si

Fordi tilstedeværelse av rua= måles på tvers av alle 65 millioner poster — ikke krysstabulert per policy — kan ikke det nøyaktige antallet p=none-poster som også er blinde utledes fra disse marginalene. Grensene er likevel tydelige. 37 millioner poster (57.4 % av postholderne) står på p=none; bare 23 millioner poster i hele folketellingen ber om rapporter. Så høyst 23 millioner av de p=none-postene kan motta rapporter — og minst 14 millioner av dem gjør det definitivt ikke, selv om hver eneste rapporteringsadresse i folketellingen tilhørte et p=none-domene. Uansett hvordan overlappingen faktisk fordeler seg, står millioner av domener i «overvåkingsmodus» med overvåkeren koblet fra.

Rettelsen med én endring

Hvis DMARC-posten din ikke har noen rua=-tag, er rettelsen en enkelt DNS-endring og den er trygg på ethvert policynivå:

  1. Velg et rapporteringsmål — en postboks du faktisk kommer til å behandle, eller en gratis/betalt DMARC-overvåkingstjeneste som gjør XML-en om til noe leselig.
  2. Legg det til på posten: v=DMARC1; p=none; rua=mailto:[email protected]. Hvis målet er et annet domene, må det domenet autorisere mottak av rapportene dine (en liten ekstra DNS-post på sin side).
  3. Vent noen dager, les så. Rapporter ankommer daglig fra store mottakere. Det de viser — hver kilde som sender som ditt domene — er kartet for resten av reisen.

Da slutter posten å være møblement og begynner å bli et instrument. (Rett DMARC →.)

Ofte stilte spørsmål

Hva er en DMARC rua-rapport? En aggregert XML-rapport som deltakende postmottakere sender (typisk daglig) til adressen i postens rua=-tag, som oppsummerer hvilke kilder som sendte post som ditt domene og om den bestod SPF- og DKIM-justering. Den inneholder ikke noe meldingsinnhold — kun avsenderinfrastruktur og bestått/ikke bestått-tellinger.

Er DMARC uten rua verdiløst? Ikke verdiløst — en håndhevende policy blokkerer fortsatt forfalskning uten det. Men på p=none blokkerer en post uten rua= ingenting og viser deg ingenting — dens eneste gjenværende oppgave er å hake av postbokstilbydernes minstekrav-boks. Og selv håndhevende domener uten rapportering mister avviksdeteksjonen som holder håndheving trygg etter hvert som nye avsendere dukker opp. p=none er ikke beskyttelse uansett — uten rapporter er det ikke engang forberedelse.

Kan rua= peke til hvilken som helst postboks? Ja, inkludert en på et annet domene — de fleste overvåkingstjenester fungerer akkurat slik. Det mottakende domenet publiserer en liten verifiseringspost som autoriserer rapportene dine. Det som betyr noe er at noe faktisk behandler XML-en; en postboks ingen leser er blindhet med ekstra steg.

Avslører aggregerte rapporter private data? Nei. rua-aggregerte rapporter bærer avsenderkilde- og autentiseringsstatistikk, ikke meldingskropper eller mottakerlister. (De separate ruf=-feilrapportene kan inneholde meldingsfragmenter, og det er derfor mange mottakere ikke lenger sender dem — rua er den som betyr noe.)

Sjekk om posten din følger med

En DMARC-post som ikke ber om rapporter er et av de enkleste funnene å rette på hele reisen — én DNS-endring gjør blind til Observerende. Du kan sjekke privat og gratis, og se hvilke av de 34 sjekkene du består og hvordan du retter dem du ikke består.

Sjekk domenet ditt → · De 6 trinnene av DMARC-modenhet → · DMARC-pilaren → · Kun aggregerte data. Data lagres og behandles i EU.