Defaults.Exposed › Отчёты
Публикация вслепую: большинство DMARC-записей не запрашивают отчёты
Опубликовано 2026-07-03 · обновлено 2026-07-03
Данные по состоянию на 2026-06-29 · методология v7. Данные переписи по каждому домену, публикующему разбираемую DMARC-запись, с дедупликацией по домену. Наличие
rua=измеряется по всем записям, поэтому его точное пересечение с какой-либо отдельной политикой невыводимо — там, где эта статья делает утверждения о таком пересечении, она указывает границы, а не точные перекрёстные таблицы. Все цифры агрегированы — мы никогда не публикуем оценку отдельного бизнеса.
Большинство DMARC-записей ни за чем не наблюдают
Из 65 миллионов доменов, публикующих DMARC-запись, лишь 23 миллионов — 35,7% — содержат тег rua=, который запрашивает агрегированные отчёты. Остальные 64,3% публикуют вслепую: политика указана в записи, но никто не попросил сообщать, что под ней происходит. Это 42 миллионов доменов с DMARC-записью, которая ничего не может им показать.
DMARC-запись без отчётности — это дверной звонок, когда никого нет дома. Почтовые получатели исправно проверяют каждое сообщение на её соответствие — а их выводы, список всех, кто отправляет письма от имени вашего домена, уходят в никуда. Механизм работает; просто владелец не слушает.
Что на самом деле делает rua=
У DMARC две половины. Половина политики (p=none, quarantine или reject) говорит получателям, что делать с почтой, не прошедшей аутентификацию. Половина отчётности — тег rua=, адрес почтового ящика — просит получателей присылать вам ежедневные агрегированные отчёты: какие серверы отправляли письма от имени вашего домена, сколько почты и прошла ли она SPF и DKIM.
Эта вторая половина и есть вся петля обратной связи. Отчёты — это то, как вы обнаруживаете платформу рассылок, которую никто не задокументировал, инструмент выставления счетов, подключённый маркетингом, теневого отправителя в другом регионе — прежде чем вы включите принуждение и сломаете их. Без rua= ни одна из этих сведений до вас не доходит. Добавить его стоит одной правки в DNS: допишите rua=mailto:[email protected] (или адрес службы мониторинга) к существующей записи.
Разрыв между этапами 2 и 3: опубликовано и вслепую
В шести этапах зрелости DMARC этап 3 — Наблюдение — начинается тогда, когда DMARC опубликован и агрегированные отчёты поступают. Запись без rua= под это не подпадает. Она находится в разрыве между этапами 2 и 3 — опубликовано и вслепую — в месте, которое модель намеренно оставляет без собственного номера.
Это важно, потому что каждый последующий этап зависит от отчётов. Вы не можете определить своих отправителей (этап 4) по отчётам, которых никогда не получаете; вы не можете безопасно включить принуждение (этап 5), не зная своих отправителей. Слепая запись — не ранний шаг на пути, а тупиковый карман сразу за его пределами. И перепись подсказывает, что большинство владельцев записей застряли там или рядом: 57,5% всех DMARC-записей так и не доходят до принуждения.
Хуже, чем бесполезно, потому что ощущается как прогресс
Отсутствующая DMARC-запись хотя бы выглядит тем, что она есть: пробелом. Слепая же выглядит как галочка. Кто-то прошёлся по чек-листу соответствия, или руководству по доставляемости, или однострочному исправлению от поставщика — опубликовал v=DMARC1; p=none — и сканер загорелся зелёным. Теперь организация ощущает себя дальше по пути, чем организация вовсе без записи, тогда как функционально находится в том же месте: нет видимости, нет принуждения, нет пути ни к тому, ни к другому.
Последствие тихое и накопительное. Слепые записи не проваливаются громко; они просто никогда не генерируют доказательства, которые оправдали бы следующий шаг. Годы спустя запись всё ещё гласит p=none, никто не может сказать, какие отправители легитимны, а включить принуждение кажется рискованнее, чем когда-либо, — именно потому что отчёты так и не были собраны.
Что перепись может и чего не может сказать
Поскольку наличие rua= измеряется по всем 65 миллионам записей — без перекрёстной разбивки по политике — точное число записей p=none, которые к тому же слепы, невыводимо из этих маргиналий. Границы всё равно резкие. 37 миллионов записей (57,4% владельцев записей) находятся на p=none; лишь 23 миллионов записей во всей переписи запрашивают отчёты. Так что не более 23 миллионов из этих записей p=none могут получать отчёты — и как минимум 14 миллионов из них точно не получают, даже если бы каждый адрес отчётности в переписи принадлежал домену с p=none. Как бы пересечение ни распределялось на деле, миллионы доменов сидят в «режиме мониторинга» с отключённым монитором.
Исправление в одну правку
Если в вашей DMARC-записи нет тега rua=, исправление — это единственное изменение в DNS, и оно безопасно на любом уровне политики:
- Выберите пункт назначения для отчётов — почтовый ящик, который вы действительно будете обрабатывать, или бесплатную/платную службу мониторинга DMARC, которая превращает XML во что-то читаемое.
- Допишите его к записи:
v=DMARC1; p=none; rua=mailto:[email protected]. Если пункт назначения — другой домен, этот домен должен разрешить приём ваших отчётов (небольшая дополнительная DNS-запись на его стороне). - Подождите несколько дней, затем читайте. Отчёты приходят ежедневно от крупных получателей. То, что они показывают — каждый источник, отправляющий письма от имени вашего домена — это карта для остального пути.
Тогда запись перестаёт быть мебелью и становится инструментом. (Исправить DMARC →.)
Часто задаваемые вопросы
Что такое DMARC-отчёт rua? Агрегированный XML-отчёт, который участвующие почтовые получатели присылают (обычно ежедневно) на адрес из тега rua= вашей записи, обобщая, какие источники отправляли почту от имени вашего домена и прошла ли она выравнивание SPF и DKIM. Он не содержит содержимого сообщений — только инфраструктуру отправителей и счётчики пройдено/не пройдено.
Бесполезен ли DMARC без rua? Не бесполезен — принуждающая политика по-прежнему блокирует подделку без него. Но на p=none запись без rua= ничего не блокирует и ничего вам не показывает — её единственная оставшаяся задача — поставить галочку в минимальном требовании почтовых провайдеров. И даже принуждающие домены без отчётности теряют обнаружение дрейфа, которое поддерживает безопасность принуждения по мере появления новых отправителей. p=none — это не защита в любом случае — без отчётов это даже не подготовка.
Может ли rua= указывать на любой почтовый ящик? Да, включая ящик на другом домене — именно так работает большинство служб мониторинга. Принимающий домен публикует небольшую проверочную запись, разрешающую ваши отчёты. Важно, чтобы что-то действительно обрабатывало XML; почтовый ящик, который никто не читает — это слепота с дополнительными шагами.
Раскрывают ли агрегированные отчёты приватные данные? Нет. Агрегированные отчёты rua несут статистику источников отправки и аутентификации, а не тела сообщений или списки получателей. (Отдельные отчёты о сбоях ruf= могут содержать фрагменты сообщений, поэтому многие получатели больше их не присылают — именно rua имеет значение.)
Проверьте, наблюдает ли ваша запись
DMARC-запись, которая не запрашивает отчёты — одно из самых лёгких исправлений на всём пути: одна правка в DNS превращает слепоту в Наблюдение. Вы можете проверить приватно и бесплатно и увидеть, какие из 34 проверок вы проходите и как исправить те, что не проходите.
Проверьте свой домен → · Шесть этапов зрелости DMARC → · Раздел о DMARC → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.