Defaults.Exposed

Defaults.Exposed › Rapoarte

Cele 6 etape ale maturității DMARC

Publicat 2026-07-03 · actualizat 2026-07-03

Cifre valabile la 2026-06-29 · metodologie v7. Acesta este un model de referință susținut de un recensământ recurent; fiecare ediție remăsoară aceeași populație, astfel încât cifrele pot fi urmărite în timp. Toate cifrele sunt agregate — nu publicăm niciodată nota unei companii individuale.

Publicarea DMARC nu înseamnă același lucru cu a fi protejat

Din 261 milioane de domenii măsurate, 24.89% publică o înregistrare DMARC — dar doar 10.59% o aplică efectiv. Altfel spus: dintre cele aproximativ 65 milioane de domenii care au început parcursul DMARC, 57.5% nu au ajuns niciodată la partea care blochează efectiv ceva. Au publicat o înregistrare, au direcționat raportarea undeva și s-au blocat. Studii independente mai restrânse identifică aceeași formă — un raport industrial din 2026 a estimat la ~9% domeniile care aplicau efectiv, dintre cele ~938.000 examinate.

Adoptarea nu mai este problema. Protecția este. Iar domeniile se blochează dintr-un motiv structural: hărțile pe care le folosește toată lumea se opresc prea devreme. Se termină prematur, iar niciuna dintre ele nu dă cel mai dificil pas un nume propriu.

Unde se opresc hărțile existente

Modelele după care se orientează industria erau potrivite pentru epoca lor și merită o interpretare corectă:

Toate trei împărtășesc două limite. În primul rând, se opresc la p=reject — ca și cum aplicarea ar fi linia de sosire. Nu este: standardul însuși a evoluat (DMARCbis — RFC 9989, 9990 și 9991 — a fost publicat în mai 2026, înlocuind originalul RFC 7489), iar aplicarea nu face nimic pentru securitatea transportului sau încrederea în brand. În al doilea rând — și acesta este motivul care chiar blochează domeniile — niciunul dintre ele nu transformă „fiecare expeditor este identificat” într-o etapă cu nume propriu. Ca să fim corecți, ghidurile de implementare menționează munca: modelul dmarcian include identificarea surselor ca o sarcină în cadrul fazei de monitorizare. Dar o sarcină îngropată în interiorul unei faze este exact modul în care ajunge să fie tratată — ca parte din „monitorizare” mai degrabă decât ca realizarea separată care este în realitate. A privi rapoartele cum sosesc pare progres. Încă nu este. Cel mai important motiv pentru care domeniile rămân la p=none ani de zile este că își pot vedea poșta, dar nu au identificat-o — așa că nu îndrăznesc să aplice politica, de teamă să nu strice ceva real.

Un model util trebuie să dea acelui pas un nume propriu și criterii de ieșire proprii. Acesta o face. Îl numim Modelul de Maturitate a Adoptării DMARC — DAMM: șase etape, câte o mișcare fiecare, și un nume pe care îl poți cita.

Modelul

Cele șase etape ale maturității DMARC — de la Neprotejat la Consolidat, cu zidul dintre Observare și Vizibilitate

Etapa 1 — Neprotejat. Nicio înregistrare DMARC — sau SPF și DKIM incomplete în spatele ei. Oricine poate trimite email în numele domeniului tău, și nimic, nicăieri, nu verifică. Mișcarea: configurează SPF și DKIM pentru poșta ta principală și confirmă că se autentifică și se aliniază. DMARC se construiește pe amândouă; nu poți sări peste această fundație.

Etapa 2 — Autentificat. SPF și DKIM sunt corecte și se aliniază pentru fluxul tău principal de poștă. Poșta ta legitimă își dovedește originea — dar nimic nu spune căsuțelor de poștă din lume ce să facă cu poșta care nu o dovedește. Mișcarea: publică o înregistrare DMARC la p=none cu o adresă de raportare rua=.

Etapa 3 — Observare. DMARC este publicat, rapoartele agregate curg, și pentru prima dată poți vedea cine trimite în numele domeniului tău. Nimic nu este blocat. Majoritatea instrumentelor numesc această etapă „vizibilitate” — noi în mod deliberat nu o facem, pentru că a vedea rapoartele și a le înțelege sunt realizări diferite. Mișcarea: identifică fiecare sursă legitimă care trimite în numele domeniului tău și aliniază-o pe fiecare.

Etapa 4 — Vizibilitate. Fiecare expeditor legitim este identificat și aliniat — platforma de newsletter, sistemul de facturare, CRM-ul, chestia la care marketingul s-a înscris primăvara trecută. Îți cunoști poșta. Nimic legitim nu se va strica dacă aplici politica. Aceasta este etapa pe care hărțile vechi o sar și zidul pe care cele mai multe domenii nu îl escaladează niciodată. Mișcarea: ridică politica — p=none → p=quarantine (modul de testare t=y din DMARCbis ajută aici) → p=reject.

Etapa 5 — Aplicat. p=quarantine sau p=reject este activă, cu subdomeniile acoperite de o politică sp= explicită. Poșta care eșuează la autentificare este acum efectiv pusă în carantină sau refuzată la receptorii participanți — care includ fiecare furnizor major de căsuțe poștale — astfel încât falsificarea directă a domeniului tău exact încetează să mai ajungă acolo unde DMARC este verificat. Mișcarea: adaugă stratul de consolidare — acoperirea np= și tree-walk din DMARCbis, MTA-STS și TLS-RPT pentru transport, BIMI dacă afișarea brandului contează pentru tine.

Etapa 6 — Consolidat și menținut. Aplicarea plus stiva modernă: acoperirea subdomeniilor inexistente (np=) din DMARCbis, MTA-STS și TLS-RPT care securizează poșta în tranzit, BIMI acolo unde își merită efortul — și, esențial, monitorizarea continuă a derivelor și a noilor expeditori. Aceasta nu este o insignă; este o disciplină. Apar expeditori noi, furnizorii își schimbă IP-urile, configurațiile se degradează. Mișcarea: rămâi aici.

Banda fără poștă. Măsurat pe întregul inventar de domenii — inclusiv domeniile moarte — 51.5% dintre domenii nu rulează niciun serviciu de poștă, iar pentru ele parcursul se reduce la un singur pas. Un domeniu care nu trimite niciodată ar trebui să publice imediat SPF -all și DMARC p=reject: nu există poștă legitimă de protejat, așa că nu există nimic de observat și niciun zid de escaladat. Domeniile de brand parcate și dormante ajung direct la Aplicat printr-o singură modificare DNS — și făcând asta închid unul dintre cei mai frecvenți vectori de uzurpare a identității care există.

Zidul: Etapa 3 → 4

Fiecare altă tranziție din acest model este o modificare DNS. Aceasta este muncă de investigație — și aici mor lunile.

A trece de la Observare la Vizibilitate înseamnă a atribui fiecare sursă expeditoare din rapoartele tale unui sistem real: care ESP, care CRM, releul de poștă al cărui birou regional, care instrument SaaS pe care cineva l-a conectat în 2023 și l-a uitat. Înseamnă a găsi expeditorii din shadow-IT pe care nimeni nu i-a documentat. Înseamnă a repara alinierea ESP cu ESP, pentru că fiecare platformă are propriul mod de a se autentifica în numele tău — unele dintre ele greșite în mod implicit.

Sărirea peste zid este modul în care DMARC și-a căpătat reputația înspăimântătoare. Aplică politica din Observare — fără Vizibilitate — și vei bloca ceva real: o rulare de facturi, un flux de resetare a parolei, newsletterul CEO-ului. Apoi vine revenirea în panică la p=none, analiza internă a incidentului și lecția pe care toată lumea o învață greșit: „am încercat DMARC și a stricat emailul.” Cele mai multe povești de groază despre DMARC sunt exact aceasta — aplicarea încercată cu o etapă prea devreme. Zidul nu este un motiv să te oprești la Etapa 3. Este motivul pentru care Etapa 4 există.

Aceasta este și etapa în care proprietarii aduc cel mai des ajutor — un furnizor IT sau un serviciu de monitorizare DMARC poate face munca de identificare a expeditorilor; etapele rămân aceleași oricum.

Partea pe care toată lumea o uită: Etapa 5 → 6

Atingerea p=reject oprește falsificarea directă a domeniului tău în linia From:, la receptorii care o verifică. Aceasta este necesar — și nu este suficient. Merită de asemenea numit ce nu a acoperit niciodată aplicarea: domeniile similare (companiat4.com) și uzurparea numelui afișat se află în întregime în afara razei de acțiune a DMARC, așa că aplicarea închide ușa domeniului exact și le lasă pe cele vecine în seama vigilenței și a altor controale.

Aplicarea nu face nimic pentru transport: fără MTA-STS și TLS-RPT, poșta către domeniul tău poate fi în continuare degradată sau interceptată în tranzit. Nu face nimic pentru recunoașterea brandului: BIMI — logoul tău, afișat în căsuța de poștă — este un semnal de încredere, nu un control de securitate, și este onest să-l tratezi ca atare (necesită de asemenea un certificat plătit, motiv pentru care stă ultimul, nu primul). Iar p=reject simplu este anterior DMARCbis: eticheta np= și tree-walk din noile RFC-uri închid golul subdomeniilor inexistente pe care implementările mai vechi îl lasă deschis.

Un domeniu la p=reject fără niciunul dintre cele de mai sus este protejat împotriva celui mai frecvent atac și nepregătit pentru restul. Aceasta este o distincție reală și merită o etapă proprie.

Etapa ta este măsurabilă

Acest model nu este doar o diagramă — etapa unui domeniu este calculabilă, ceea ce îl separă de un afiș pe perete.

Etapele 3 până la 6 pot fi derivate din propriile date de raportare DMARC ale unui domeniu plus înregistrările sale publicate: ce politică este activă, dacă rapoartele curg și dacă fiecare expeditor observat se aliniază. Etapele 1 și 2 sunt evaluate cu o verificare DNS în timp real, întrucât încă nu există rapoarte. O limită onestă în fiecare direcție: Etapa 4 este confirmată prin dovezi în timp — „fiecare expeditor observat se aliniază de-a lungul suficientor zile de raportare” este un indicator puternic, dar niciun raport nu poate dezvălui expeditorul pe care încă nu l-ai conectat. Iar stratul de consolidare al Etapei 6 — MTA-STS, TLS-RPT, BIMI — este invizibil în rapoartele DMARC; e nevoie de o verificare DNS ca să-l vezi. Un domeniu poate părea „gata” din rapoartele sale și totuși să poarte un gol ascuns Etapa 5 → 6. Acesta este modelul față de care măsoară propria noastră analiză de raportare, cu tot cu obstacole.

Un exemplu concret

O firmă de dimensiuni medii rulează Microsoft 365 în spatele unei porți de filtrare a poștei. SPF se termină în -all, DKIM este configurat, DMARC este publicat la p=none, iar rapoartele curg către un instrument de monitorizare. Pe hărțile vechi aceasta pare aproape gata. Pe aceasta este Etapa 3 — Observare: configurarea grea este completă, iar domeniul s-a blocat exact la zid — vizibil, nu protejat. Mișcarea de cea mai mare valoare este 3 → 4 → 5: confirmă că (probabil puținii) expeditori legitimi se aliniază toți, apoi ridică politica pe etape. Pentru un domeniu în această formă, aceasta înseamnă de obicei săptămâni de atenție, nu luni — zidul este cel mai înalt pentru cei care nu îl cartografiază niciodată.

Găsește-ți etapa

Întrebarea de retras este „avem DMARC?” — 24.89% dintre domenii pot spune da, în timp ce 57.5% dintre acestea rămân falsificabile. Întrebarea mai bună este „la ce etapă suntem și care este singura mișcare către următoarea?” Fiecare domeniu de pe internet se află astăzi la exact una dintre aceste șase etape. A ști care anume transformă o anxietate într-o listă de sarcini.

Unde se situează internetul de-a lungul celor șase etape — cele mai multe domenii nu au deloc o înregistrare DMARC; cele mai multe dintre cele care au sunt blocate înainte de aplicare

Întrebări frecvente

Ce este DAMM? Modelul de Maturitate a Adoptării DMARC — modelul în șase etape de pe această pagină: Neprotejat, Autentificat, Observare, Vizibilitate, Aplicat, Consolidat. Etapa unui domeniu este măsurabilă din DNS-ul său și din datele sale de raportare DMARC, ceea ce îl separă de un afiș pe perete.

Atunci publicarea p=none nu are nicio valoare? Nu — este Etapa 3, iar Etapa 3 este de sprijin: raportarea este modul în care găsești fiecare expeditor înainte să aplici politica. Devine o problemă doar când este tratată ca o destinație. Vezi de ce p=none nu este protecție.

Pot sări direct la p=reject? Dacă domeniul tău nu trimite poștă — da, chiar astăzi, și ar trebui să o faci. Dacă trimite poștă — nu: aplicarea fără Vizibilitate (Etapa 4) este modul în care poșta legitimă se strică și au loc reveniri. Etapele sunt calea sigură, nu ceremonie.

Am nevoie de BIMI ca să fiu „gata”? Nu. BIMI este stratul de afișare a brandului din Etapa 6 și cel mai opțional element din model — MTA-STS, TLS-RPT și acoperirea np= din DMARCbis sunt părțile care consolidează material un domeniu. Dacă costul certificatului nu se justifică pentru tine, sari peste el și menține restul Etapei 6.

Unde se încadrează SPF și DKIM? Sub totul — sunt Etapele 1 → 2, iar SPF fără DMARC protejează mai puțin decât presupun cei mai mulți proprietari. Din 2024, receptorii majori au cerut de asemenea autentificarea în mod direct de la expeditorii de volum mare.

Verifică unde se situează propriul tău domeniu

Aceste etape sunt tipare de populație — domeniul tău se află la exact una dintre ele, iar mișcarea următoare poate fi cunoscută. Poți verifica privat și gratuit și vedea care dintre cele 34 de verificări le treci și cum să le repari pe cele pe care nu le treci.

Verifică-ți domeniul → · Cum am notat internetul → · Pilonul DMARC → · Doar date agregate. Date stocate și procesate în UE.