Defaults.Exposed › Raporty
Publikowanie na ślepo: większość rekordów DMARC nie prosi o żadne raporty
Opublikowano 2026-07-03 · zaktualizowano 2026-07-03
Dane na dzień 2026-06-29 · metodologia v7. Dane census obejmujące każdą domenę publikującą możliwy do sparsowania rekord DMARC, zdeduplikowane per domena. Obecność
rua=jest mierzona we wszystkich rekordach, więc jej dokładne pokrycie z jakąkolwiek pojedynczą polityką nie jest wyprowadzalne — tam, gdzie ten artykuł formułuje twierdzenia o tym pokryciu, podaje przedziały, nigdy dokładnych tabel krzyżowych. Wszystkie liczby są zagregowane — nigdy nie publikujemy oceny pojedynczej firmy.
Większość rekordów DMARC nie obserwuje
Spośród 65 mln domen, które publikują rekord DMARC, tylko 23 mln — 35,7% — zawiera tag rua=, który prosi o raporty zagregowane. Pozostałe 64,3% publikuje na ślepo: polityka jest w rekordzie, ale nikt nie poprosił, aby go informowano, co się pod nią dzieje. To 42 mln domen z rekordem DMARC, który nie może im niczego pokazać.
Rekord DMARC bez raportowania to dzwonek do drzwi, za którymi nikogo nie ma. Serwery odbiorcze skrupulatnie sprawdzają każdą wiadomość względem niego — a ich ustalenia, lista wszystkich, którzy wysyłają w imieniu Twojej domeny, trafiają donikąd. Mechanizm działa; właściciel po prostu nie słucha.
Co tak naprawdę robi rua=
DMARC ma dwie połowy. Połowa polityki (p=none, quarantine lub reject) mówi odbiorcom, co robić z pocztą, która nie przejdzie uwierzytelnienia. Połowa raportowania — tag rua=, adres skrzynki pocztowej — prosi odbiorców, aby wysyłali Ci codzienne raporty zagregowane: które serwery wysyłały w imieniu Twojej domeny, ile poczty i czy przeszła SPF oraz DKIM.
Ta druga połowa to cała pętla sprzężenia zwrotnego. Raporty to sposób, w jaki odkrywasz platformę do newsletterów, której nikt nie udokumentował, narzędzie do fakturowania podłączone przez marketing, ukrytego nadawcę w innym regionie — zanim wymusisz politykę i je zablokujesz. Bez rua= żadna z tych informacji nigdy do Ciebie nie dotrze. Dodanie tego kosztuje jedną zmianę w DNS: dopisz rua=mailto:[email protected] (lub adres usługi monitorującej) do istniejącego rekordu.
Luka między etapem 2 a 3: opublikowane i ślepe
W sześciu etapach dojrzałości DMARC etap 3 — Obserwowanie — zaczyna się, gdy DMARC jest opublikowany i płyną raporty zagregowane. Rekord bez rua= się nie kwalifikuje. Tkwi w luce między etapem 2 a 3 — opublikowany i ślepy — miejscu, które model celowo pozostawia bez własnego numeru.
Ma to znaczenie, ponieważ każdy kolejny etap zależy od raportów. Nie możesz zidentyfikować swoich nadawców (etap 4) na podstawie raportów, których nigdy nie otrzymujesz; nie możesz bezpiecznie wymusić polityki (etap 5) bez znajomości swoich nadawców. Ślepy rekord nie jest wczesnym krokiem w tej podróży — jest zatoczką tuż obok niej. A census sugeruje, że większość posiadaczy rekordów jest zaparkowana właśnie tam lub w pobliżu: 57,5% wszystkich rekordów DMARC nigdy nie osiąga wymuszania.
Gorsze niż bezużyteczne, bo sprawia wrażenie postępu
Brakujący rekord DMARC przynajmniej wygląda na to, czym jest: lukę. Ślepy wygląda jak odhaczony punkt. Ktoś przeszedł listę kontrolną zgodności albo poradnik o dostarczalności, albo jednolinijkową poprawkę od dostawcy — opublikował v=DMARC1; p=none — i skaner zaświecił się na zielono. Organizacja czuje teraz, że jest dalej niż organizacja bez żadnego rekordu, będąc funkcjonalnie w tym samym miejscu: bez widoczności, bez wymuszania, bez ścieżki do jednego czy drugiego.
Konsekwencja jest cicha i kumulatywna. Ślepe rekordy nie zawodzą głośno; one po prostu nigdy nie generują dowodów, które uzasadniałyby następny krok. Lata później rekord wciąż mówi p=none, nikt nie potrafi powiedzieć, którzy nadawcy są uprawnieni, a wymuszanie wydaje się bardziej ryzykowne niż kiedykolwiek — właśnie dlatego, że nigdy nie zebrano żadnych raportów.
Co census może, a czego nie może powiedzieć
Ponieważ obecność rua= jest mierzona we wszystkich 65 mln rekordów — a nie w tabeli krzyżowej per polityka — dokładna liczba rekordów p=none, które są jednocześnie ślepe, nie jest wyprowadzalna z tych rozkładów brzegowych. Przedziały i tak są jaskrawe. 37 mln rekordów (57,4% posiadaczy rekordów) jest na p=none; tylko 23 mln rekordów w całym census prosi o raporty. Zatem co najwyżej 23 mln z tych rekordów p=none może otrzymywać raporty — a co najmniej 14 mln z nich na pewno ich nie otrzymuje, nawet gdyby każdy adres raportujący w census należał do domeny p=none. Jakkolwiek to pokrycie faktycznie się rozkłada, miliony domen tkwią w „trybie monitorowania” z odłączonym monitorem.
Poprawka jedną edycją
Jeśli Twój rekord DMARC nie ma tagu rua=, poprawką jest pojedyncza zmiana w DNS i jest bezpieczna na każdym poziomie polityki:
- Wybierz miejsce docelowe raportów — skrzynkę pocztową, którą faktycznie będziesz przetwarzać, lub darmową/płatną usługę monitorowania DMARC, która zamienia XML w coś czytelnego.
- Dopisz je do rekordu:
v=DMARC1; p=none; rua=mailto:[email protected]. Jeśli miejsce docelowe jest inną domeną, ta domena musi autoryzować odbieranie Twoich raportów (mały dodatkowy rekord DNS po jej stronie). - Poczekaj kilka dni, a potem czytaj. Raporty przychodzą codziennie od głównych odbiorców. To, co pokazują — każde źródło wysyłające w imieniu Twojej domeny — jest mapą na resztę podróży.
Wtedy rekord przestaje być meblem, a zaczyna być instrumentem. (Napraw DMARC →.)
Najczęściej zadawane pytania
Czym jest raport rua DMARC? Zagregowanym raportem XML, który uczestniczące serwery odbiorcze poczty wysyłają (zazwyczaj codziennie) na adres z tagu rua= Twojego rekordu, podsumowując, które źródła wysyłały pocztę w imieniu Twojej domeny i czy przeszła zgodność SPF oraz DKIM. Nie zawiera treści wiadomości — jedynie infrastrukturę nadawcy oraz liczby przejść/niepowodzeń.
Czy DMARC bez rua jest bezwartościowy? Nie bezwartościowy — wymuszająca polityka wciąż blokuje spoofing bez niego. Ale przy p=none rekord bez rua= niczego nie blokuje i niczego Ci nie pokazuje — jego jedynym pozostałym zadaniem jest odhaczenie minimalnego wymogu dostawców skrzynek pocztowych. A nawet wymuszające domeny bez raportowania tracą wykrywanie dryfu, które utrzymuje bezpieczeństwo wymuszania w miarę pojawiania się nowych nadawców. p=none to nie ochrona tak czy inaczej — bez raportów to nawet nie przygotowanie.
Czy rua= może wskazywać na dowolną skrzynkę pocztową? Tak, w tym na skrzynkę w innej domenie — większość usług monitorujących działa dokładnie w ten sposób. Domena odbierająca publikuje mały rekord weryfikacyjny autoryzujący Twoje raporty. Liczy się to, że coś faktycznie przetwarza XML; skrzynka, której nikt nie czyta, to ślepota z dodatkowymi krokami.
Czy raporty zagregowane ujawniają dane prywatne? Nie. Raporty zagregowane rua przenoszą statystyki źródeł wysyłania i uwierzytelniania, a nie treści wiadomości ani listy odbiorców. (Osobne raporty o niepowodzeniach ruf= mogą zawierać fragmenty wiadomości, dlatego wielu odbiorców już ich nie wysyła — to rua jest tym, który ma znaczenie.)
Sprawdź, czy Twój rekord obserwuje
Rekord DMARC, który nie prosi o żadne raporty, jest jednym z najłatwiejszych do naprawienia ustaleń na całej podróży — jedna zmiana w DNS zamienia ślepotę w Obserwowanie. Możesz sprawdzić prywatnie i za darmo oraz zobaczyć, które z 34 testów przechodzisz i jak naprawić te, których nie przechodzisz.
Sprawdź swoją domenę → · Sześć etapów dojrzałości DMARC → · Filar DMARC → · Wyłącznie dane zagregowane. Dane przechowywane i przetwarzane w UE.