Defaults.Exposed › Fikser › Guides
DMARC p=none til p=reject uten å miste legitim e-post: Den trinnvise utrullingen (2026)
Publisert 2026-07-08
Tall per 2026-06-29 · metodikk v7. Samlet sensusdata for 261 millioner graderte domener. Se hvordan vi graderer.
Flytt DMARC fra p=none til p=reject i fire stadier: overvåk rua-rapporter i 2–4 uker, fiks alle legitime avsendere, rampe opp p=quarantine med pct, deretter reject — hopp aldri rett til reject. 70,368,600 av 261,086,232 graderte domener sitter stoppet på myk SPF uten DMARC-håndhevelse, ifølge Defaults.Exposed-sensus.
Dette er det operative kjøreboken: en stadiertabell med utgangsvilkår, posten for hvert stadium, RFC 7489 pct-nyansen som endrer hva «50%» betyr ved reject, og sp=-taggen for subdomener. Hvis du bestemmer deg for om du skal håndheve, les de 6 stadiene av DMARC-modenhet først — det er rammeverket; og hvis policy-nivåene selv er nye for deg, er hva p=none, p=quarantine og p=reject faktisk betyr grunnteksten. Denne siden handler om gjøringen.
Hvorfor kan du ikke hoppe rett til p=reject?
Fordi p=reject forteller alle håndhevende mottakere å returnere e-post som feiler DMARC — og før du har sett rapportene vet du ikke hva som feiler. Nesten alle domener som slår på overvåking oppdager legitime avsendere de hadde glemt: CRM-et, faktureringsverktøyet, et kontaktskjema. Hopp til reject på dag én og den e-posten går ikke til søppel; den forsvinner på SMTP-tidspunktet. Å miste et fakturakjøring lærer en organisasjon å frykte DMARC, og posten rulles tilbake til p=none permanent — av 261,086,232 graderte domener er 37,312,637 parkert nøyaktig der, og bare 10.59% (27,640,987) når noen gang en håndhevet policy.
Den andre grunnen er justering. DMARC bestås bare når SPF eller DKIM bestås og er justert med det synlige Fra-domenet — SPF mot Return-Path (RFC5321.MailFrom)-domenet, DKIM mot signaturens d=. Tredjepartsavsendere består vanligvis SPF på sitt domene, ikke ditt, noe som er grunnen til at fix-alle-kilder-stadiet for det meste handler om å aktivere hver leverandørs egendefinerte-domene-DKIM — utdypet i DMARC feiler men SPF og DKIM er OK.
Hva er de fire utrullingsstadiene?
| Stadium | Policy-post | pct | Hva skjer med e-post som feiler | Utgangsvilkår |
|---|---|---|---|---|
| 1. Overvåk | p=none; rua=mailto:… | — | Leveres normalt; du mottar samlede rapporter | 2–4 uker med rapporter; alle avsendere i dem identifisert som legitime eller ikke |
| 2. Fiks kilder | p=none (uendret) | — | Leveres fortsatt normalt | Alle legitime kilder består DMARC justert (egendefinert-domene-DKIM per avsender); gjenværende feil er bare ukjent/forfalsket trafikk |
| 3. Quarantine-ramp | p=quarantine | 10 → 25 → 50 → 100 | Samplet andel går til søppelmapper; den ikke-samplede andelen behandles som p=none (leveres) | 1–2 uker på pct=100 uten noen legitim e-post i karantene |
| 4. Reject | p=reject | 100 | Returnert på SMTP-tidspunktet; avsender får en avvisning, mottaker ser ingenting | Pågående — behold rua for alltid for å fange opp nye avsendere |
Data per 2026-06-29; policy-atferd per RFC 7489.
Stadium 3 er der domener stopper eller får panikk. Søppelmappe-postering er reverserbar — brukere finner e-posten, du løsner pct, du fikser kilden. Avvisning er ikke reverserbar, noe som er grunnen til at quarantine på pct=100 som kjører rent er inngangsbilletten til stadium 4.
Hvordan kjører du utrullingen, steg for steg?
- Kjør den gratis skanningen på defaults.exposed før du rører DNS. Den bekrefter gjeldende policy og om SPF og DKIM er på plass i bunnen — de to beina håndhevelse hviler på.
- Slå på overvåking hvis du ikke har det. Å publisere
p=nonemedrua=er det fem-minutters steget i «DMARC-policy ikke aktivert». Samle inn 2–4 uker med rapporter — nok til å fange månedlige avsendere som fakturakjøringer. - Lag oversikt over alle kilder i rapportene. Sorter avsendere i dine egne, leverandørenes og ukjente. Rå rapporter ankommer som XML — et rapportbehandlingsverktøy (eller leverandørens dashbord) gjør dem til et lesbart avsender-inventar.
- Få hver legitim kilde til å bestå justert. Aktiver hver leverandørs egendefinerte-domene-DKIM (vanligvis to CNAME-poster i dashbordet deres) slik at signaturer bærer domenet ditt, ikke deres. Foretrekk DKIM for justering: det overlever videresending, SPF gjør det ikke.
- Vent på en ren to-ukers periode. Forlat stadium 2 bare når rapporterte feil utelukkende er trafikk du ikke kjenner igjen — forfalskningen du vil blokkere.
- Flytt til
p=quarantine; pct=10— rediger den eksisterende_dmarcTXT-posten (gjennomarbeidet eksempel: IONOS DMARC-oppsett), og se på syntaksen: en skrivefeil i policy-taggen kan ugyldiggjøre posten fullstendig. Rampe pct til 25, 50, 100 over 2–4 uker, se på rapporter og helpdesk-billetter. Noe legitimt i søppel: slipp pct tilbake, fiks kilden, fortsett. - Flytt til
p=rejectetter 1–2 rene uker påpct=100. Beholdrua=permanent — alle nye verktøy din bedrift tar i bruk er en fremtidig mislykket avsender.
Hva gjør pct egentlig? RFC 7489-nyansen
pct ber mottakere om å anvende policyen din på den prosentandelen av e-post som feiler. Nyansen, fra RFC 7489 §6.6.4: e-post som er samplet ut faller ikke tilbake til «lever normalt» — den får neste-mindre-alvorlige policy. Under p=quarantine; pct=25 behandles de andre 75% som p=none og leveres. Men under p=reject; pct=50 settes de andre 50% i karantene, ikke leveres. Det finnes ingen skånsom avvisning: i det øyeblikket posten din sier reject, er alle mislykket meldinger minimum søppelmappe-kategorisert hos håndhevende mottakere.
Brukt bevisst er det en funksjon — p=reject; pct=1 oppfører seg som «sett nesten alt i karantene, avvis et rislende», en legitim endelig inngangsvei. To forbehold: mottakere implementerer ikke sampling identisk, så behandle pct som en grov bryter; og fjern taggen (eller sett pct=100) når stadium 4 er stabilt, slik at posten sier hva du mener.
Hva med subdomener — sp=-taggen?
Som standard arver subdomener organisasjonsdomenet sin policy: p=reject på dittdomene.com dekker mail.dittdomene.com også. sp=-taggen lar dem avvike, i nyttige og farlige retninger. Nyttig: p=quarantine; sp=reject låser ned subdomener du aldri sender fra mens apex-domenet fortsatt er midt i rampeopprullingen — svindlere retter seg bevisst mot subdomener av overvåkede domener. Farlig: en glemt sp=none unntar stille alle subdomener fra reject-policyen du brukte seks uker på å tjene. Sjekk for det i stadium 4; hvis ett subdomene genuint trenger en løsere policy, publiser en _dmarc-post på det subdomenet i stedet for å løsne alle.
Betyr NIS2 at EU-bedrifter må gjøre dette?
DMARC fungerer identisk overalt — ingenting i denne kjøreboken endres ved en EU-grense. Det som endres er samsvarskraften. NIS2 artikkel 21(2)(j) krever at in-scope-enheter sikrer kommunikasjon, og Kommisjonens gjennomføringsforordning (EU) 2024/2690 presiserer de tekniske kravene for de digitale infrastrukturenhetene den dekker — dens vedlegg (punkt 6.7.2(k)) krever en implementeringsplan for utplassering av internasjonalt anerkjente moderne e-postsikkerhets-standarder, og punkt 6.7.2(l) krever beste DNS-sikkerhets-praksis. En håndhevet DMARC-policy, med SPF og DKIM i bunnen, er den anerkjente revisjonsbare kontrollen for forfalskning; p=none er påviselig overvåking, ikke sikring. Hvis kundene dine er in-scope, spør leverandørenes spørreskjemaer i økende grad nøyaktig etter dette.
Ofte stilte spørsmål
Hvor lang tid tar hele utrullingen? Seks til ti uker er typisk: 2–4 uker overvåking, 1–3 uker fiksing av kilder, 2–4 uker ramping av quarantine, deretter reject. Det er kalendertid, ikke innsats — mest venting på at rapporter bekrefter hver endring. De 89.41% av 261,086,232 graderte domener uten håndhevet policy (data per 2026-06-29) er for det meste ikke midt i en utrulling; de startet aldri klokken.
Kan jeg hoppe over quarantine og bruke p=reject med lav pct i stedet?
Du kan — per RFC 7489 §6.6.4 betyr p=reject; pct=10 at 10% avvises og 90% settes i karantene, omtrent sent stadium 3. Men p=quarantine først er enklere å resonnere om, og mottakere varierer i hvor trofast de sampler. Uansett er stadiene 1–2 ikke-omsettelige: ingen håndhevelses-smak er trygg mens legitime avsendere fortsatt feiler.
Hva med e-post jeg ikke kan fikse — forwardere og e-postlister? Videresending bryter SPF av design, og noen e-postlister skriver om innhold, og bryter DKIM også. Justert DKIM overlever vanlig videresending, som håndterer det meste; den lille resten er grunnen til at quarantine-stadiet finnes — søppelmappe-kategorisert e-post er reverserbar mens du vurderer. Detaljer i videresending av e-post feiler SPF.
Er det godt nok å stoppe på p=quarantine?
Det er det meste av verdien, og langt bedre enn de 37,312,637 domenene parkert på p=none (av 261,086,232 graderte, data per 2026-06-29) — men forfalsket e-post havner fortsatt i søppelmapper, der folk fisker den opp. Reject er sluttpunktet: bare 10.59% av graderte domener håndhever i det hele tatt, og å fullføre er det sjekketjenester, forsikringsgivere og spørreskjemaer gir kreditt for.
Send eieren rapporten
Hvis du kjører denne utrullingen for en klient eller arbeidsgiver, er mållinjen synlig. Kjør den gratis skanningen etter at p=reject er løst opp og videresend den graderte rapporten: domenet som flyttes til en håndhevet policy, tidsstemplet og på enkelt norsk. Den siden svarer på e-postsikkerhets-linjen ved fornyelse av cyberforsikring og NIS2-drevne leverandørspørreskjemaer bedre enn et skjermbilde av et DNS-panel — og den gjør seks uker med nøysomt, usynlig arbeid synlig for den som betaler for det.
Sjekk DMARC-policyen din gratis
Se hva policyen din er i dag — og om SPF og DKIM kan bære håndhevelse — privat og kun for eieren.
Sjekk domenet ditt → · Fiks DMARC → · «DMARC-policy ikke aktivert» — det ærlige første steget → · Kun aggregerte data. Data lagret og behandlet i EU.