Defaults.Exposed

Defaults.Exposed › Rapporter

De 6 stadiene av DMARC-modenhet

Publisert 2026-07-03 · oppdatert 2026-07-03

Tall per 2026-06-29 · metodikk v7. Dette er en referansemodell støttet av en tilbakevendende folketelling; hver utgave måler samme populasjon på nytt slik at tallene kan følges over tid. Alle tall er aggregerte – vi publiserer aldri en enkelt virksomhets karakter.

Å publisere DMARC er ikke det samme som å være beskyttet

På tvers av 261 millioner målte domener publiserer 24.89% en DMARC-post – men bare 10.59% håndhever en. Sagt på en annen måte: av de om lag 65 millioner domenene som startet på DMARC-reisen, nådde 57.5% aldri den delen som faktisk blokkerer noe. De publiserte en post, pekte rapportering et sted hen, og stoppet opp. Mindre uavhengige studier finner samme mønster – en bransjerapport fra 2026 anslo det til ~9 % som håndhever blant de ~938 000 domenene den undersøkte.

Utbredelse er ikke problemet lenger. Beskyttelse er det. Og domener stopper opp av en strukturell grunn: kartene alle bruker slutter for tidlig. De ender for raskt, og ingen av dem gir det vanskeligste steget et eget navn.

Der de eksisterende kartene stopper opp

Modellene bransjen navigerer etter var riktige for sin tid, og fortjener en rettferdig lesning:

Alle tre deler to begrensninger. For det første stopper de ved p=reject – som om håndheving var mållinjen. Det er den ikke: selve standarden har gått videre (DMARCbis – RFC 9989, 9990 og 9991 – ble publisert i mai 2026 og erstattet den opprinnelige RFC 7489), og håndheving gjør ingenting for transportsikkerhet eller merkevaretillit. For det andre – og dette er det som faktisk lar domener bli hengende – gjør ingen av dem «hver avsender gjort rede for» til et navngitt stadium. For å være rettferdig nevner utrullingsveiledningene arbeidet: dmarcians modell inkluderer identifisering av kilder som en oppgave inne i overvåkningsfasen. Men en oppgave begravd inne i en fase er akkurat slik den blir behandlet – som en del av «overvåkning» heller enn som den separate bragden den er. Å se rapporter komme inn føles som fremgang. Det er det ikke, ennå. Den enkeltstående største grunnen til at domener blir sittende på p=none i årevis er at de kan se posten sin, men ikke har gjort rede for den – så de tør ikke håndheve, av frykt for å ødelegge noe reelt.

En brukbar modell må gi det steget sitt eget navn og sine egne utgangskriterier. Denne gjør det. Vi kaller den DMARC Adoption Maturity Model – DAMM: seks stadier, ett grep hver, og et navn du kan referere til.

Modellen

De seks stadiene av DMARC-modenhet – fra Ubeskyttet til Herdet, med veggen mellom Observerende og Synlighet

Stadium 1 — Ubeskyttet. Ingen DMARC-post – eller SPF og DKIM ufullstendige under den. Hvem som helst kan sende e-post som ditt domene, og ingenting noe sted sjekker. Grepet: konfigurer SPF og DKIM for din primære e-post, og bekreft at de autentiserer og stemmer overens. DMARC bygger på begge; du kan ikke hoppe over dette gulvet.

Stadium 2 — Autentisert. SPF og DKIM er korrekte og stemmer overens for din hovede-postflyt. Din legitime e-post beviser sitt opphav – men ingenting forteller verdens innbokser hva de skal gjøre med e-post som ikke gjør det. Grepet: publiser en DMARC-post på p=none med en rua=-rapporteringsadresse.

Stadium 3 — Observerende. DMARC er publisert, aggregerte rapporter flyter, og for første gang kan du se hvem som sender som ditt domene. Ingenting blokkeres. De fleste verktøy kaller dette stadiet «synlighet» – det gjør vi bevisst ikke, fordi å se rapporter og å forstå dem er to forskjellige bragder. Grepet: identifiser hver legitim kilde som sender som ditt domene, og få hver enkelt til å stemme overens.

Stadium 4 — Synlighet. Hver legitim avsender er identifisert og bringer i overensstemmelse – nyhetsbrevplattformen, faktureringssystemet, CRM-en, den tingen markedsføring meldte seg på sist vår. Du kjenner posten din. Ingenting legitimt vil bli ødelagt om du håndhever. Dette er stadiet de gamle kartene hopper over, og veggen de fleste domener aldri klatrer over. Grepet: hev policyen – p=none → p=quarantine (DMARCbis’ testmodus t=y hjelper her) → p=reject.

Stadium 5 — Håndhevet. p=quarantine eller p=reject er i drift, med subdomener dekket av en eksplisitt sp=-policy. E-post som ikke består autentisering blir nå faktisk satt i karantene eller avvist hos deltakende mottakere – som inkluderer alle større innboksleverandører – slik at direkte forfalskning av ditt eksakte domene slutter å lande der DMARC sjekkes. Grepet: legg til herdingslaget – DMARCbis’ np= og tre-gjennomgangsdekning, MTA-STS og TLS-RPT for transport, BIMI dersom merkevarevisning betyr noe for deg.

Stadium 6 — Herdet og opprettholdt. Håndheving pluss den moderne stakken: dekning av ikke-eksisterende subdomener (np=) fra DMARCbis, MTA-STS og TLS-RPT som sikrer e-post under transport, BIMI der det gjør nytte for seg – og, avgjørende, kontinuerlig overvåkning for avvik og nye avsendere. Dette er ikke et merke; det er en disiplin. Nye avsendere dukker opp, leverandører bytter IP-er, konfigurasjoner råtner. Grepet: bli værende her.

Ingen-e-post-banen. Målt på tvers av hele domenebeholdningen – døde domener inkludert – kjører 51.5% av domenene ingen e-posttjeneste i det hele tatt, og for dem kollapser reisen til ett enkelt steg. Et domene som aldri sender bør publisere SPF -all og DMARC p=reject umiddelbart: det finnes ingen legitim e-post å beskytte, så det er ingenting å observere og ingen vegg å klatre. Parkerte og hvilende merkevaredomener går rett til Håndhevet i én enkelt DNS-endring – og ved å gjøre det stenger man av en av de vanligste etterligningsvektorene som finnes.

Veggen: Stadium 3 → 4

Hver annen overgang i denne modellen er en DNS-endring. Denne er etterforskningsarbeid – og det er her månedene dør.

Å komme fra Observerende til Synlighet betyr å tilskrive hver eneste sendekilde i rapportene dine til et reelt system: hvilken ESP, hvilken CRM, hvilket regionkontors e-postrelé, hvilket SaaS-verktøy noen koblet til i 2023 og glemte. Det betyr å finne skygge-IT-avsenderne ingen dokumenterte. Det betyr å fikse overensstemmelse ESP for ESP, fordi hver plattform har sin egen måte å autentisere på dine vegne – noen av dem feil som standard.

Å hoppe over veggen er slik DMARC fikk sitt skremmende rykte. Håndhev fra Observerende – uten Synlighet – og du vil blokkere noe reelt: en fakturakjøring, en flyt for tilbakestilling av passord, direktørens nyhetsbrev. Så kommer den panikkslagne tilbakerullingen til p=none, den interne obduksjonen, og lærdommen alle trekker feil: «vi prøvde DMARC og det ødela e-posten». De fleste DMARC-skrekkhistorier er akkurat dette – håndheving forsøkt ett stadium for tidlig. Veggen er ikke en grunn til å stoppe ved Stadium 3. Den er grunnen til at Stadium 4 finnes.

Dette er også stadiet der eiere oftest henter inn hjelp – en IT-leverandør eller en DMARC-overvåkningstjeneste kan gjøre avsenderidentifiseringsarbeidet; stadiene forblir de samme uansett.

Delen alle glemmer: Stadium 5 → 6

Å nå p=reject stopper direkte forfalskning av ditt domene i Fra:-linjen, hos mottakerne som sjekker den. Det er nødvendig – og det er ikke tilstrekkelig. Det er også verdt å navngi hva håndheving aldri dekket: lignende domener (dittf1rma.no) og etterligning av visningsnavn ligger fullstendig utenfor DMARCs rekkevidde, så håndheving lukker den eksakte domenedøren og overlater nabodørene til årvåkenhet og andre kontroller.

Håndheving gjør ingenting for transport: uten MTA-STS og TLS-RPT kan e-post til ditt domene fortsatt bli nedgradert eller avlyttet underveis. Det gjør ingenting for merkevaregjenkjenning: BIMI – logoen din, vist i innboksen – er et tillitssignal, ikke en sikkerhetskontroll, og det er ærlig å behandle det som ett (det krever også et betalt sertifikat, som er grunnen til at det kommer sist, ikke først). Og rent p=reject er eldre enn DMARCbis: de nye RFC-enes np=-tag og tre-gjennomgang lukker gapet med ikke-eksisterende subdomener som eldre utrullinger lar stå åpent.

Et domene på p=reject uten noe av det ovennevnte er beskyttet mot det vanligste angrepet og uforberedt på resten. Det er en reell forskjell, og den fortjener sitt eget stadium.

Ditt stadium er målbart

Denne modellen er ikke bare et diagram – et domenes stadium er beregnbart, og det er det som skiller den fra en plakat på en vegg.

Stadium 3 til 6 kan utledes fra et domenes egne DMARC-rapporteringsdata pluss dets publiserte poster: hvilken policy som er i drift, om rapporter flyter, og om hver observerte avsender stemmer overens. Stadium 1 og 2 vurderes med en direkte DNS-sjekk, siden ingen rapporter finnes ennå. Én ærlig begrensning i hver retning: Stadium 4 bekreftes av bevis over tid – «hver observerte avsender stemmer overens over nok rapporteringsdager» er en sterk indikator, men ingen rapport kan avsløre avsenderen du ennå ikke har koblet til. Og Stadium 6s herdingslag – MTA-STS, TLS-RPT, BIMI – er usynlig i DMARC-rapporter; det kreves en DNS-sjekk for å se det. Et domene kan se «ferdig» ut fra rapportene sine og likevel bære et skjult gap fra Stadium 5 → 6. Dette er modellen vår egen rapporteringsanalyse måler mot, hindringer og alt.

Et gjennomarbeidet eksempel

Et mellomstort firma kjører Microsoft 365 bak en e-postfiltrerende gateway. SPF ender i -all, DKIM er konfigurert, DMARC er publisert på p=none, og rapporter flyter til et overvåkningsverktøy. På de gamle kartene ser dette nesten ferdig ut. På dette er det Stadium 3 — Observerende: det harde oppsettet er fullført, og domenet har stoppet opp akkurat ved veggen – synlig, ikke beskyttet. Det mest verdifulle grepet er 3 → 4 → 5: bekreft at de (sannsynligvis få) legitime avsenderne alle stemmer overens, og hev deretter policyen i trinn. For et domene i denne formen er det som regel uker med oppmerksomhet, ikke måneder – veggen er høyest for dem som aldri kartlegger den.

Finn ditt stadium

Spørsmålet som bør pensjoneres er «har vi DMARC?» – 24.89% av domenene kan si ja, mens 57.5% av dem forblir mulige å forfalske. Det bedre spørsmålet er «hvilket stadium er vi på, og hva er det ene grepet til det neste?» Hvert domene på internett er på nøyaktig ett av disse seks stadiene i dag. Å vite hvilket gjør en engstelse om til en oppgaveliste.

Der internett befinner seg på tvers av de seks stadiene – de fleste domener har ingen DMARC-post i det hele tatt; de fleste av dem som har det, sitter fast før håndheving

Ofte stilte spørsmål

Hva er DAMM? DMARC Adoption Maturity Model – seksstadiemodellen på denne siden: Ubeskyttet, Autentisert, Observerende, Synlighet, Håndhevet, Herdet. Et domenes stadium er målbart fra dets DNS og dets DMARC-rapporteringsdata, og det er det som skiller den fra en plakat på en vegg.

Er det da verdiløst å publisere p=none? Nei – det er Stadium 3, og Stadium 3 er bærende: rapportering er hvordan du finner hver avsender før du håndhever. Det blir bare et problem når det behandles som et mål. Se hvorfor p=none ikke er beskyttelse.

Kan jeg hoppe rett til p=reject? Hvis domenet ditt ikke sender e-post – ja, i dag, og det bør du. Hvis det sender e-post – nei: å håndheve uten Synlighet (Stadium 4) er hvordan legitim e-post blir ødelagt og tilbakerullinger skjer. Stadiene er den trygge veien, ikke seremoni.

Trenger jeg BIMI for å være «ferdig»? Nei. BIMI er merkevarevisningslaget i Stadium 6 og det mest valgfrie elementet i modellen – MTA-STS, TLS-RPT og DMARCbis’ np=-dekning er delene som materielt herder et domene. Dersom sertifikatkostnaden ikke er berettiget for deg, hopp over den og hold resten av Stadium 6.

Hvor passer SPF og DKIM inn? Under alt – de er Stadium 1 → 2, og SPF uten DMARC beskytter mindre enn de fleste eiere antar. Siden 2024 har større mottakere også krevd autentisering direkte fra masseavsendere.

Sjekk hvor ditt eget domene står

Disse stadiene er populasjonsmønstre – ditt domene er på nøyaktig ett av dem, og det neste grepet er mulig å vite. Du kan sjekke privat og gratis, og se hvilke av de 34 sjekkene du består og hvordan du fikser dem du ikke består.

Sjekk ditt domene → · Slik graderte vi internett → · DMARC-pilaren → · Kun aggregerte data. Data lagret og behandlet i EU.