Defaults.Exposed › Naprawy › Guides
"DMARC Policy Not Enabled": co oznaczają narzędzia i uczciwy 5-minutowy pierwszy krok (2026)
Opublikowano 2026-07-08
Dane z 2026-06-29 · metodologia v7. Zagregowane dane ze spisu 261 milionów ocenionych domen. Zobacz jak oceniamy.
„DMARC policy not enabled” oznacza jedną z dwóch różnych rzeczy: Twoja domena nie ma w ogóle rekordu DMARC lub ma jeden ustawiony na p=none. Tylko 10,59% domen — 27 640 987 z 261 086 232 — wymusza politykę DMARC, zgodnie ze spisem Defaults.Exposed. Opublikowanie rekordu monitorowania zajmuje pięć minut; wymuszanie to projekt.
Ten przewodnik dekoduje ostrzeżenie, daje Ci dokładny rekord TXT do opublikowania i dokładnie gdzie go wstawić, przeprowadza przez pułapki składni, które sprawiają, że pierwsze próby się nie udają, i szczerze wyjaśnia, jak wyglądają pierwsze tygodnie raportów DMARC. Celowo nie jest to przewodnik „napraw DMARC w 5 minut” — pięć minut daje Ci widoczność, nie ochronę.
Co tak naprawdę oznacza „DMARC policy not enabled”?
Narzędzia jak MXToolbox łączą dwa różne znaleziska w jedno pomarańczowe ostrzeżenie, a ścieżka naprawy zależy od tego, które masz:
| Co pokazuje narzędzie | Co to faktycznie oznacza | Dotknięte domeny (z 261 086 232 ocenionych) |
|---|---|---|
| „No DMARC record found” | Nic nie jest opublikowane pod _dmarc.yourdomain. Odbiorcy nie stosują żadnej polityki i nie wysyłają Ci żadnych raportów. Jesteś niewidoczny dla własnych problemów z pocztą. | 196 105 162 (75,11%) |
| „DMARC policy not enabled” / „policy is none” | Rekord istnieje, ale mówi p=none: raportowanie jest włączone, ochrona wyłączona. Odbiorcy dostarczają sfałszowaną pocztę dokładnie jak wcześniej. | 37 312 637 (14,29%) |
| „Policy: quarantine” lub „reject” | Wymuszona polityka. Odbiorcy działają na niepowodzenia. | 27 640 987 (10,59%) |
Dane z 2026-06-29.
Pierwsza linia to miejsce, gdzie mieszka większość internetu: 75,11% ocenionych domen nie publikuje w ogóle żadnego rekordu DMARC, a kolejne 14,29% tkwi na p=none. Odwrotność ostatniej linii to liczba, która ma znaczenie: 89,41% domen nie ma wymuszonej polityki DMARC — z 261 086 232 ocenionych domen w spisie. Jeśli Twoje narzędzie pokazuje ostrzeżenie, jesteś w przytłaczającej większości. To nie jest uspokojenie; to jest powód, dla którego spoofing pozostaje tani.
Jedno wyjaśnienie, które pozwoli uniknąć późniejszego zamieszania: DMARC to warstwa polityki na wierzchu SPF i DKIM, sprawdzana względem nagłówka From, który faktycznie widzi odbiorca. „Not enabled” oznacza, że jeszcze nie powiedziałeś odbiorcom, żeby cokolwiek robili. Jeśli trzy wartości polityki są Ci nowe, wyjaśnienie w prostym języku to co to jest DMARC: none, quarantine, reject.
Co możesz uczciwie naprawić w pięć minut?
Opublikowanie rekordu. To jest całe uczciwe twierdzenie.
v=DMARC1; p=none; rua=mailto:[email protected]
Pięć minut po tym jak ten rekord TXT wejdzie w życie, odbiorcy sprawdzający DMARC zaczną codziennie kompilować raporty o tym, kto wysyła pocztę jako Twoja domena — zarówno legalne serwery, jak i podszywacze. Ta widoczność jest naprawdę wartościowa i naprawdę natychmiastowa.
Czego nie robi: p=none niczego nie chroni. Sfałszowana poczta jest dostarczana dokładnie tak jak wczoraj, a narzędzie skanujące jutro może nadal mówić „policy not enabled” — słusznie, bo zielony znacznik jest zarezerwowany dla quarantine lub reject. Napisaliśmy o tym dlaczego w p=none to nie ochrona; etapowa ścieżka do polityki, która faktycznie blokuje spoofing, to od p=none do p=reject. Poniższy pięciominutowy krok to sposób na rozpoczęcie; tamten przewodnik to sposób na zakończenie.
Jak opublikować pierwszy rekord DMARC?
- Uruchom bezpłatne skanowanie przed dotykaniem DNS. Mówi Ci, które z dwóch znalezisk faktycznie masz — brak rekordu vs.
p=none— i czy SPF i DKIM są na miejscu poniżej, co decyduje, jak szybko możesz później przejść do wymuszania. - Wybierz adres do odbierania raportów. Dedykowana skrzynka jak
dmarc-reports@yourdomainjest dobra na start. Jeśli zamiast tego używasz usługi analizy raportów, patrz FAQ poniżej — adresy zewnętrzne mają cichą pułapkę. - Dodaj rekord TXT pod hostem
_dmarc. W większości paneli sterowania DNS (patrz przewodnik konfiguracji DMARC dla IONOS jako przepracowany przykład) wpisujesz_dmarcw polu hosta/nazwy — panel automatycznie dołącza Twoją domenę, produkując_dmarc.yourdomain.com. Wartość:v=DMARC1; p=none; rua=mailto:[email protected] - Zweryfikuj, że się rozwiązał.
dig TXT _dmarc.yourdomain.com(lub dowolne narzędzie online) powinno zwracać dokładnie jeden rekord zaczynający się odv=DMARC1. Większość zmian DNS jest widoczna w ciągu minut; niski TTL pomaga. - Ponów skanowanie. Twój raport pokaże DMARC obecny w trybie monitorowania — uczciwe odzwierciedlenie tego, gdzie jesteś: raportowanie włączone, wymuszanie oczekujące.
Jeden rekord obejmuje też Twoje subdomeny: odbiorcy, którzy nie znajdą rekordu na mail.yourdomain.com, cofają się do polityki domeny organizacyjnej, więc nie potrzebujesz rekordu na subdomenę, żeby zacząć monitorowanie.
Jakie są najczęstsze błędy przy dodawaniu rekordu?
Niemal każda nieudana pierwsza próba to jeden z tych — i mają one znaczenie, bo nieparse’owalny rekord jest traktowany jako brak rekordu. Spis liczy 48 648 opublikowanych rekordów DMARC, które nie parsują; literówki, które ludzie faktycznie publikują, są skatalogowane w spisie literówek DMARC.
- Zły host. Rekord musi mieszkać pod
_dmarc.yourdomain.com, nie przy wierzchołku. Na gołej domenie nic nie robi, a narzędzia nadal raportują „no DMARC record found”. - Podwójne dołączanie domeny. Wpisanie
_dmarc.yourdomain.comdo panelu, który auto-dołącza, daje_dmarc.yourdomain.com.yourdomain.com. Wpisz tylko_dmarc. - Przecinki zamiast średników. Tagi są rozdzielone przez
;. Nieparse’owalny rekord jest traktowany jako brak rekordu. - Brakujące lub źle umieszczone
v=DMARC1. Musi być pierwszym tagiem, napisanym dokładnie; rekordy zaczynające się odp=nie parsują. - Brak
mailto:w rua.rua=dmarc@yourdomainjest nieprawidłowe; musi byćrua=mailto:[email protected]. - Dwa rekordy DMARC. Odbiorcy znajdujący więcej niż jeden rekord
v=DMARC1ignorują je wszystkie — ta sama rodzina błędów co multi-rekordowy SPF. - Cudzysłowy typograficzne z kopiuj-wklej. Kędzierzawe cudzysłowy lub niełamliwe spacje przemycone z dokumentu psują parsowanie. Wpisz rekord od nowa, jeśli narzędzie mówi, że jest zniekształcony, ale wygląda poprawnie.
Jak będą wyglądać raporty rua w pierwszym tygodniu?
Ustal oczekiwania teraz, żeby nie dojść do wniosku, że coś jest zepsute:
- Przychodzą mniej więcej codziennie, na odbiorcę. Google zazwyczaj wysyła jeden raport zbiorczy co 24 godziny; Microsoft, Yahoo i inni na własnych cyklach. Dla małej domeny pierwszy tydzień to zazwyczaj garść e-maili, głównie od
[email protected]. - Są skompresowanymi załącznikami XML, nie panelem. Surowe są prawie nieczytelne; darmowy parser przekształca je w tabelę nadawców.
- Wolumen śledzi wolumen poczty. Jeśli wysyłasz mało poczty lub głównie do dostawców, którzy nie raportują, spodziewaj się rzadkich danych. Dwa ciche tygodnie są normalne dla domeny niskiego wolumenu — sprawdź rekord przez
dig, a nie zakładaj, że coś się nie powiodło. - Spodziewaj się niespodzianek. Większość domen odkrywa nadawców, o których zapomniała — CRM, narzędzie do fakturowania, formularz kontaktowy. Każdy potrzebuje wyrównanego SPF lub DKIM, zanim będziesz mógł wymuszać. Jeśli raporty pokazują nieprzechodzący DMARC, gdy SPF i DKIM indywidualnie przechodzą, to problem wyrównania — patrz DMARC nie przechodzi, ale SPF i DKIM tak.
I poproś o raporty: 64,3% domen z rekordem DMARC nie publikuje adresu rua=, więc nie otrzymuje z niego żadnych raportów — cięcie spisu na ten temat jest w DMARC publikowanie ślepo. Wszystko, czego się tu nauczysz, zasila wdrożenie wymuszania — monitorowanie to tydzień pierwszy tego projektu, nie cel. Parkowanie na p=none w nieskończoność to najczęstszy sposób, w jaki domeny lądują w 89,41%.
Często zadawane pytania
Czy opublikowanie p=none zaszkodzi dostarczalności poczty?
Nie. p=none nic nie zmienia w tym, jak odbiorcy traktują Twoją pocztę — tylko prosi o raporty. Może pomóc: wymagania masowych nadawców Google i Yahoo wymagają co najmniej rekordu DMARC p=none od nadawców wysokiego wolumenu, więc opublikowanie go to minimum zgodności, a nie ryzyko.
Opublikowałem rekord — dlaczego narzędzie nadal mówi „policy not enabled”?
Bo mówi Ci prawdę: Twoja polityka to none, a narzędzia rezerwują zaliczenie dla quarantine lub reject. Dołączyłeś do domen, które monitorują, ale nie wymuszają — według stanu na 2026-06-29, tylko 10,59% z 261 086 232 ocenionych domen wymusza. Ostrzeżenie znika gdy ukończysz wdrożenie do wymuszania.
Czy muszę mieć skonfigurowany SPF i DKIM przed dodaniem DMARC?
Potrzebujesz co najmniej jednego z nich, wyrównanego, żeby Twoja poczta przechodziła DMARC — ale nie musisz mieć ich perfekcyjnych przed opublikowaniem p=none. Monitorowanie to dokładnie sposób, żeby się dowiedzieć, co jest zepsute: 70 368 600 z 261 086 232 ocenionych domen (według stanu na 2026-06-29) ma miękkie SPF i brak wymuszania DMARC, a raporty są sposobem, żeby się dowiedzieć, co je blokuje.
Czy mogę wysyłać raporty do zewnętrznego analizatora zamiast własnej skrzynki?
Tak — ale adres rua na innej domenie wymaga, żeby dostawca opublikował rekord autoryzacji (yourdomain._report._dmarc.vendor.com), albo odbiorcy po cichu wstrzymują raporty. Renomowane usługi robią to automatycznie; jeśli raporty nigdy nie docierają, sprawdź to najpierw.
Wyślij właścicielowi raport
Jeśli naprawiasz to dla klienta lub pracodawcy, nie pozwól, żeby praca była niewidoczna. Ponów bezpłatne skanowanie gdy rekord się rozwiązuje i prześlij oceniony raport: pokazuje DMARC przechodzące od nieobecnego do monitorowanego, ze znacznikiem czasu i w prostym języku — i pokazuje, co dalej na ścieżce do wymuszania. Właściciele coraz częściej potrzebują dokładnie tych dowodów do przedłużenia ubezpieczenia cybernetycznego i kwestionariuszy bezpieczeństwa dostawców, a jednostronicowy oceniony raport odpowiada na te pytania lepiej niż zrzut ekranu panelu DNS kiedykolwiek to zrobi.
Sprawdź swoją domenę bezpłatnie
Sprawdź, które z dwóch znalezisk masz — brak rekordu czy p=none — i co jest poniżej, prywatnie i tylko dla właściciela.
Sprawdź swoją domenę → · Napraw DMARC → · Od p=none do p=reject → · Jak oceniamy → · Tylko dane zagregowane. Dane przechowywane i przetwarzane w UE.