Defaults.Exposed › DMARC
DMARC: внедрение, зрелость и турнирные таблицы
Данные на 2026-06-29 · Выпуск №1 · данные по состоянию на 2026-06-29
DMARC — это запись DNS, которая сообщает почтовым ящикам всего мира, что делать с письмами, которые притворяются, будто приходят с вашего домена, — доставить их, отправить в карантин или отклонить. Не публикуйте ничего (или оставьте в режиме только-мониторинга) — и кто угодно сможет поставить ваше имя в строку «From» письма. Этот раздел измеряет, как весь интернет на самом деле использует DMARC, — и даёт результатам понятные, пригодные для цитирования названия.
Перепись, а не выборка: измерено 261 млн доменов. 10.6% применяют принудительный DMARC; 75.1% вообще не публикуют запись.
Модель: Модель зрелости внедрения DMARC (DAMM)
Цифры внедрения что-то значат только относительно карты. Наша — это Модель зрелости внедрения DMARC — DAMM: шесть этапов от Незащищённого до Усиленного, один шаг на этап, и одна честная стена посередине — шаг от Наблюдения (отчёты поступают) к Видимости (каждый отправитель учтён), на который большинство доменов так и не поднимаются. Каждая таблица и отчёт в этом разделе — это DAMM, применённый к переписи.
Пора дать DAMM.
Постоянные знаменатели
Каждая страница о DMARC на этом сайте использует одни и те же знаменатели, так что ни одна статистика здесь не может незаметно сменить свою базу:
- 65 млн доменов публикуют запись DMARC — 24.9% из 261 млн оценённых доменов.
- 27.6 млн применяют принудительный DMARC (p=quarantine или p=reject) — 42.5% записей, 10.6% всех оценённых доменов.
- Цифры по состоянию на 2026-06-29 (выпуск №1); обновляются ежемесячно вместе с переписью.
На каком вы этапе? Шесть вопросов
Начните с вопроса 0, затем отвечайте по порядку — первое «нет» и есть ваш этап. Ничего не нужно, кроме взгляда на ваши собственные записи DNS и почтовый ящик, — а если вы не можете ответить на один из них, не гадайте: бесплатная проверка считывает ваш действующий DNS и отвечает на вопросы 1, 2, 3 и 5 за вас.
0. Отправляет ли ваш домен почту вообще?
Нет → ваш путь сводится к одному шагу: опубликуйте SPF v=spf1 -all и DMARC p=reject сегодня же. Домен, который никогда не отправляет почту, не имеет легитимной почты для защиты — нечего наблюдать, нет стены, на которую нужно взбираться, — поэтому он попадает прямо на Этап 5 — Принудительный за одно изменение DNS. Да → следующий вопрос.
1. Существуют ли SPF и DKIM и проходят ли они проверку для отправляемой вами почты?
Нет → вы, вероятно, на Этапе 1 — Незащищённый. Ваш следующий шаг: настройте SPF и DKIM для вашей основной почты и убедитесь, что оба аутентифицируются и выравниваются — выравнивание означает, что домен, который проверяет SPF или DKIM, совпадает с доменом, который человек видит в видимой строке «From:», и это и есть то соответствие, которое фактически проверяет DMARC. DMARC строится на обоих. Да → следующий вопрос.
2. Публикуете ли вы запись DMARC?
Нет → вы, вероятно, на Этапе 2 — Аутентифицированный. Ваш следующий шаг: опубликуйте запись DMARC на p=none с адресом отчётности rua= — одна запись DNS, ничего не ломается. Да → следующий вопрос.
3. Запрашивает ли ваша запись отчёты (rua=), которые кто-то действительно получает?
Нет → вы, вероятно, застряли между Этапами 2 и 3 — опубликовано, но вслепую. Ваш следующий шаг: добавьте адрес rua= (одна правка DNS), чтобы агрегированные отчёты начали поступать, — запись, которая не наблюдает, не может найти отправителей, которых вам нужно будет выровнять. Да → следующий вопрос.
4. Определили ли вы каждого легитимного отправителя почты вашего домена — и выравнивается ли каждый из них?
Нет → вы, вероятно, на Этапе 3 — Наблюдение, перед стеной, у которой застревает большинство доменов. Ваш следующий шаг: составьте перечень каждой службы, отправляющей почту от имени вашего домена (инструмент рассылок, система выставления счетов, CRM), и добейтесь выравнивания каждой из них. Это также этап, на котором владельцы чаще всего привлекают помощь — ИТ-провайдер или служба мониторинга DMARC могут выполнить работу по идентификации отправителей; этапы остаются теми же в любом случае. Да → следующий вопрос.
5. Установлена ли ваша политика на p=quarantine или p=reject?
Нет → вы, вероятно, на Этапе 4 — Видимость, и можете безопасно перейти к принудительному применению. Ваш следующий шаг: повышайте политику поэтапно — none → quarantine → reject. Да → вы на Этапе 5 — Принудительный. Ваш следующий шаг: слой усиления — покрытие np=, MTA-STS и TLS-RPT — плюс непрерывный мониторинг. Это Этап 6.
Все пять «да», усиление на месте, и кто-то по-прежнему следит за отчётами? Это Этап 6 — Усиленный. Шаг здесь — удержаться: появляются новые отправители, провайдеры меняют IP-адреса, конфигурации ветшают. Не уверены в ответе? Запустите бесплатную проверку — она решает вопросы 1, 2, 3 и 5 по вашему действующему DNS менее чем за минуту, конфиденциально.
Турнирные таблицы и ежемесячный отчёт
- Зрелость DMARC по TLD
155 окончаний доменов, ранжированных по Индексу зрелости, — лидеры, отстающие и правило зафиксированного членства, которое держит рейтинг честным. - Зрелость DMARC по странам
68 стран, ранжированных по их национальным окончаниям доменов, — кто применяет принудительный DMARC, кто наблюдает, кто не публикует ничего. - DAMMM — ежемесячный отчёт о внедрении DMARC
Матрица зрелости внедрения DMARC — ежемесячная: этапы × срезы совокупности, Наблюдение за стеной, Наблюдение вслепую. Выпуск №1 является базовым.
Углублённые разборы
- 6 этапов зрелости DMARC — сама модель
- Публикация вслепую — большинство записей DMARC не запрашивают отчётов
- SPF недостаточно — количество доменов, полагающихся только на SPF
- Полностью защищённое меньшинство — что домены, дошедшие до конца, делают иначе
Хотите узнать, где находится ваш домен? Запустить бесплатную проверку → — конфиденциально; оценку домена мы показываем только его подтверждённому владельцу.
Как мы оцениваем → · Только агрегированные данные; мы никогда не публикуем оценку отдельного домена.