Defaults.Exposed › Отчёты
6 стадий зрелости DMARC
Опубликовано 2026-07-03 · обновлено 2026-07-03
Данные по состоянию на 2026-06-29 · методология v7. Это справочная модель, опирающаяся на регулярную перепись; каждый выпуск заново измеряет одну и ту же совокупность, так что цифры можно отслеживать во времени. Все показатели агрегированные — мы никогда не публикуем оценку отдельного бизнеса.
Опубликовать DMARC — не то же самое, что быть защищённым
Из 261 миллионов измеренных доменов 24,89% публикуют запись DMARC — но лишь 10,59% применяют её. Иначе говоря: из примерно 65 миллионов доменов, начавших путь к DMARC, 57,5% так и не дошли до той части, которая хоть что-то блокирует. Они опубликовали запись, направили куда-то отчёты — и застряли. Небольшие независимые исследования обнаруживают ту же картину — один отраслевой отчёт 2026 года оценил долю применяющих в ~9% из ~938 000 рассмотренных доменов.
Внедрение больше не является проблемой. Проблема — защита. И домены застревают по структурной причине: карты, которыми все пользуются, обрываются на полпути. Они заканчиваются слишком рано, и ни одна из них не даёт самому трудному шагу собственного имени.
Где существующие карты обрываются
Модели, по которым ориентируется отрасль, были верны для своего времени и заслуживают справедливого прочтения:
- Пятифазная модель развёртывания, популяризированная dmarcian (чей основатель был соавтором самого DMARC), проводит путь развернуть → наблюдать → ужесточать политику — и рассматривает достижение
p=rejectкак пункт назначения. - Прогрессия из RFC —
p=none → quarantine → reject— это три уровня применения, а не модель зрелости. Она ничего не говорит ни о предпосылках, ни о том, что идёт после. - «Ползи, иди, беги» — это народная модель: по направлению верна, по структуре пуста.
Все три разделяют два ограничения. Во-первых, они останавливаются на p=reject — как будто применение и есть финишная черта. Это не так: сам стандарт двинулся дальше (DMARCbis — RFC 9989, 9990 и 9991 — был опубликован в мае 2026 года, заменив исходный RFC 7489), а применение ничего не даёт ни для безопасности транспорта, ни для доверия к бренду. Во-вторых — и именно это по-настоящему оставляет домены на мели — ни одна из них не делает «каждый отправитель учтён» отдельной именованной стадией. Справедливости ради, руководства по развёртыванию упоминают эту работу: модель dmarcian включает идентификацию источников как задачу внутри фазы наблюдения. Но задача, зарытая внутри фазы, именно так и воспринимается — как часть «наблюдения», а не как то отдельное достижение, которым она является. Смотреть, как приходят отчёты, ощущается как прогресс. Но это ещё не прогресс. Главная причина, по которой домены сидят на p=none годами, в том, что они могут видеть свою почту, но не учли её — и потому не решаются применять политику, боясь сломать что-то реальное.
Полезной модели нужно дать этому шагу собственное имя и собственные критерии выхода. Наша это делает. Мы называем её моделью зрелости внедрения DMARC — DAMM (DMARC Adoption Maturity Model): шесть стадий, по одному шагу на каждой, и имя, на которое можно ссылаться.
Модель
Стадия 1 — Незащищённый. Нет записи DMARC — или под ней неполные SPF и DKIM. Кто угодно может отправлять письма от имени вашего домена, и нигде ничто это не проверяет. Шаг: настройте SPF и DKIM для вашей основной почты и убедитесь, что они аутентифицируют и выравнивают. DMARC построен на обоих; этот фундамент пропустить нельзя.
Стадия 2 — Аутентифицированный. SPF и DKIM корректны и выравниваются для вашего основного почтового потока. Ваша легитимная почта доказывает своё происхождение — но ничто не сообщает почтовым ящикам мира, что делать с почтой, которая не доказывает. Шаг: опубликуйте запись DMARC с p=none и адресом отчётности rua=.
Стадия 3 — Наблюдение. DMARC опубликован, агрегированные отчёты поступают, и впервые вы можете видеть, кто отправляет письма от имени вашего домена. Ничего не блокируется. Большинство инструментов называют эту стадию «видимостью» — мы намеренно так не делаем, потому что видеть отчёты и понимать их — разные достижения. Шаг: определите каждый легитимный источник, отправляющий письма от имени вашего домена, и добейтесь выравнивания каждого из них.
Стадия 4 — Видимость. Каждый легитимный отправитель определён и выровнен — платформа рассылок, система выставления счетов, CRM, тот сервис, который маркетинг подключил прошлой весной. Вы знаете свою почту. Ничто легитимное не сломается, если вы включите применение. Это та стадия, которую старые карты пропускают, и стена, на которую большинство доменов так и не взбираются. Шаг: поднимите политику — p=none → p=quarantine (здесь помогает тестовый режим t=y из DMARCbis) → p=reject.
Стадия 5 — Применяемый. p=quarantine или p=reject действует, а поддомены покрыты явной политикой sp=. Почта, не прошедшая аутентификацию, теперь действительно помещается в карантин или отклоняется у участвующих получателей — а к ним относится каждый крупный провайдер почтовых ящиков — так что прямая подделка вашего точного домена перестаёт доходить туда, где проверяется DMARC. Шаг: добавьте уровень укрепления — покрытие np= и обход дерева из DMARCbis, MTA-STS и TLS-RPT для транспорта, BIMI, если для вас важно отображение бренда.
Стадия 6 — Укреплённый и поддерживаемый. Применение плюс современный стек: покрытие несуществующих поддоменов (np=) из DMARCbis, MTA-STS и TLS-RPT, защищающие почту в пути, BIMI там, где он себя оправдывает — и, что критически важно, непрерывный мониторинг дрейфа и новых отправителей. Это не значок; это дисциплина. Появляются новые отправители, провайдеры меняют IP-адреса, конфигурации гниют. Шаг: оставайтесь здесь.
Полоса «без почты». По измерениям всей инвентаризации доменов — включая мёртвые домены — 51,5% доменов вообще не используют почтовый сервис, и для них путь сворачивается до одного шага. Домен, который никогда не отправляет писем, должен сразу опубликовать SPF
-allи DMARCp=reject: легитимной почты для защиты нет, а значит, нечего наблюдать и нет стены, на которую взбираться. Припаркованные и спящие брендовые домены переходят прямо в стадию «Применяемый» одним изменением DNS — и это закрывает один из самых распространённых векторов выдачи себя за другого.
Стена: стадия 3 → 4
Каждый другой переход в этой модели — изменение DNS. Этот же — исследовательская работа, и именно здесь умирают месяцы.
Перейти от Наблюдения к Видимости означает сопоставить каждый отправляющий источник в ваших отчётах с реальной системой: какой ESP, какая CRM, какой почтовый релей регионального офиса, какой SaaS-инструмент кто-то подключил в 2023 году и забыл. Это значит найти отправителей теневого ИТ, которых никто не задокументировал. Это значит исправлять выравнивание ESP за ESP, потому что у каждой платформы свой способ аутентификации от вашего имени — у некоторых по умолчанию неправильный.
Пропуск стены — вот как DMARC заработал свою пугающую репутацию. Включите применение из Наблюдения — без Видимости — и вы точно заблокируете что-то реальное: рассылку счетов, поток сброса пароля, рассылку от гендиректора. Затем следуют паническая откатка на p=none, внутренний разбор полётов и урок, который все усваивают неверно: «мы попробовали DMARC, и он сломал почту». Большинство страшилок про DMARC — именно об этом: применение попытались включить на одну стадию раньше срока. Стена — не повод останавливаться на стадии 3. Это причина, по которой стадия 4 существует.
Это также та стадия, на которой владельцы чаще всего привлекают помощь — ИТ-провайдер или служба мониторинга DMARC может выполнить работу по идентификации отправителей; стадии при этом остаются теми же.
То, о чём все забывают: стадия 5 → 6
Достижение p=reject останавливает прямую подделку вашего домена в строке From: у тех получателей, которые её проверяют. Это необходимо — но недостаточно. Стоит также назвать то, что применение никогда не покрывало: похожие домены (yourc0mpany.com) и подделку отображаемого имени, которые целиком лежат вне досягаемости DMARC, так что применение закрывает дверь точного домена и оставляет соседние на бдительность и другие меры контроля.
Применение ничего не даёт для транспорта: без MTA-STS и TLS-RPT почту к вашему домену всё ещё можно понизить или перехватить в пути. Оно ничего не даёт для узнаваемости бренда: BIMI — ваш логотип, отображаемый во входящих — это сигнал доверия, а не мера безопасности, и честно относиться к нему именно так (к тому же он требует платного сертификата, из-за чего стоит в конце, а не в начале). А простой p=reject предшествует DMARCbis: тег np= из новых RFC и обход дерева закрывают пробел с несуществующими поддоменами, который старые развёртывания оставляют открытым.
Домен на p=reject без всего перечисленного защищён от самой распространённой атаки и не готов к остальным. Это реальное различие, и оно заслуживает собственной стадии.
Вашу стадию можно измерить
Эта модель — не просто схема: стадию домена можно вычислить, и именно это отличает её от плаката на стене.
Стадии с 3 по 6 можно вывести из собственных данных отчётности DMARC домена плюс его опубликованных записей: какая политика действует, поступают ли отчёты и выравнивается ли каждый наблюдаемый отправитель. Стадии 1 и 2 оцениваются живой проверкой DNS, поскольку отчётов ещё нет. По одному честному ограничению в каждом направлении: стадия 4 подтверждается свидетельствами во времени — «каждый наблюдаемый отправитель выравнивается на протяжении достаточного числа дней отчётности» — это сильный косвенный признак, но ни один отчёт не раскроет отправителя, которого вы ещё не подключили. А уровень укрепления стадии 6 — MTA-STS, TLS-RPT, BIMI — невидим в отчётах DMARC; чтобы его увидеть, нужна проверка DNS. Домен может выглядеть «готовым» по своим отчётам и всё же нести скрытый пробел стадии 5 → 6. Именно с этой моделью сверяется наш собственный анализ отчётности, со всеми препятствиями включительно.
Разобранный пример
Средняя фирма использует Microsoft 365 за почтовым фильтрующим шлюзом. SPF заканчивается на -all, DKIM настроен, DMARC опубликован с p=none, а отчёты поступают в инструмент мониторинга. По старым картам это выглядит почти завершённым. По этой — это стадия 3 — Наблюдение: сложная настройка завершена, и домен застрял ровно у стены — видимый, но не защищённый. Самый ценный шаг — 3 → 4 → 5: убедиться, что (вероятно, немногочисленные) легитимные отправители все выравниваются, затем поднимать политику по стадиям. Для домена в такой форме это обычно недели внимания, а не месяцы — стена выше всего для тех, кто её так и не картирует.
Найдите свою стадию
Вопрос, который пора отправить на покой, — «есть ли у нас DMARC?» — 24,89% доменов могут ответить «да», при этом 57,5% из них остаются уязвимыми к подделке. Лучший вопрос — «на какой мы стадии и каков один шаг к следующей?» Каждый домен в интернете сегодня находится ровно на одной из этих шести стадий. Знание, на какой именно, превращает тревогу в список дел.
Часто задаваемые вопросы
Что такое DAMM? Модель зрелости внедрения DMARC (DMARC Adoption Maturity Model) — шестистадийная модель на этой странице: Незащищённый, Аутентифицированный, Наблюдение, Видимость, Применяемый, Укреплённый. Стадию домена можно измерить по его DNS и данным отчётности DMARC, и именно это отличает её от плаката на стене.
Значит, публиковать p=none бесполезно? Нет — это стадия 3, и стадия 3 несущая: отчётность — это то, как вы находите каждого отправителя перед тем, как применять политику. Она становится проблемой лишь тогда, когда её рассматривают как пункт назначения. См. почему p=none — это не защита.
Могу ли я перескочить сразу к p=reject? Если ваш домен не отправляет почту — да, сегодня же, и вам следует это сделать. Если он отправляет почту — нет: применение без Видимости (стадия 4) — это то, как ломается легитимная почта и случаются откаты. Стадии — это безопасный путь, а не церемония.
Нужен ли мне BIMI, чтобы считаться «готовым»? Нет. BIMI — это уровень отображения бренда стадии 6 и самый необязательный элемент модели — MTA-STS, TLS-RPT и покрытие np= из DMARCbis — вот части, которые существенно укрепляют домен. Если стоимость сертификата для вас не оправдана, пропустите его и удержите остальную часть стадии 6.
Куда вписываются SPF и DKIM? Под всем — это стадии 1 → 2, и SPF без DMARC защищает меньше, чем полагает большинство владельцев. С 2024 года крупные получатели также прямо требуют аутентификации от массовых отправителей.
Проверьте, где находится ваш собственный домен
Эти стадии — популяционные закономерности; ваш домен находится ровно на одной из них, и следующий шаг познаваем. Вы можете проверить приватно и бесплатно и увидеть, какие из 34 проверок вы проходите и как исправить те, что не проходите.
Проверьте свой домен → · Как мы оценили интернет → · Опора DMARC → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.