Defaults.Exposed

Defaults.Exposed › DMARC

DMARC: внедрение, зрелость и турнирные таблицы

Данные на 2026-06-29 · Выпуск №1 · данные по состоянию на 2026-06-29

DMARC — это запись DNS, которая сообщает почтовым ящикам всего мира, что делать с письмами, которые притворяются, будто приходят с вашего домена, — доставить их, отправить в карантин или отклонить. Не публикуйте ничего (или оставьте в режиме только-мониторинга) — и кто угодно сможет поставить ваше имя в строку «From» письма. Этот раздел измеряет, как весь интернет на самом деле использует DMARC, — и даёт результатам понятные, пригодные для цитирования названия.

Перепись, а не выборка: измерено 261 млн доменов. 10.6% применяют принудительный DMARC; 75.1% вообще не публикуют запись.

Модель: Модель зрелости внедрения DMARC (DAMM)

Цифры внедрения что-то значат только относительно карты. Наша — это Модель зрелости внедрения DMARC — DAMM: шесть этапов от Незащищённого до Усиленного, один шаг на этап, и одна честная стена посередине — шаг от Наблюдения (отчёты поступают) к Видимости (каждый отправитель учтён), на который большинство доменов так и не поднимаются. Каждая таблица и отчёт в этом разделе — это DAMM, применённый к переписи.

Пора дать DAMM.

Постоянные знаменатели

Каждая страница о DMARC на этом сайте использует одни и те же знаменатели, так что ни одна статистика здесь не может незаметно сменить свою базу:

На каком вы этапе? Шесть вопросов

Начните с вопроса 0, затем отвечайте по порядку — первое «нет» и есть ваш этап. Ничего не нужно, кроме взгляда на ваши собственные записи DNS и почтовый ящик, — а если вы не можете ответить на один из них, не гадайте: бесплатная проверка считывает ваш действующий DNS и отвечает на вопросы 1, 2, 3 и 5 за вас.

0. Отправляет ли ваш домен почту вообще?

Нет → ваш путь сводится к одному шагу: опубликуйте SPF v=spf1 -all и DMARC p=reject сегодня же. Домен, который никогда не отправляет почту, не имеет легитимной почты для защиты — нечего наблюдать, нет стены, на которую нужно взбираться, — поэтому он попадает прямо на Этап 5 — Принудительный за одно изменение DNS. Да → следующий вопрос.

1. Существуют ли SPF и DKIM и проходят ли они проверку для отправляемой вами почты?

Нет → вы, вероятно, на Этапе 1 — Незащищённый. Ваш следующий шаг: настройте SPF и DKIM для вашей основной почты и убедитесь, что оба аутентифицируются и выравниваются — выравнивание означает, что домен, который проверяет SPF или DKIM, совпадает с доменом, который человек видит в видимой строке «From:», и это и есть то соответствие, которое фактически проверяет DMARC. DMARC строится на обоих. Да → следующий вопрос.

2. Публикуете ли вы запись DMARC?

Нет → вы, вероятно, на Этапе 2 — Аутентифицированный. Ваш следующий шаг: опубликуйте запись DMARC на p=none с адресом отчётности rua= — одна запись DNS, ничего не ломается. Да → следующий вопрос.

3. Запрашивает ли ваша запись отчёты (rua=), которые кто-то действительно получает?

Нет → вы, вероятно, застряли между Этапами 2 и 3 — опубликовано, но вслепую. Ваш следующий шаг: добавьте адрес rua= (одна правка DNS), чтобы агрегированные отчёты начали поступать, — запись, которая не наблюдает, не может найти отправителей, которых вам нужно будет выровнять. Да → следующий вопрос.

4. Определили ли вы каждого легитимного отправителя почты вашего домена — и выравнивается ли каждый из них?

Нет → вы, вероятно, на Этапе 3 — Наблюдение, перед стеной, у которой застревает большинство доменов. Ваш следующий шаг: составьте перечень каждой службы, отправляющей почту от имени вашего домена (инструмент рассылок, система выставления счетов, CRM), и добейтесь выравнивания каждой из них. Это также этап, на котором владельцы чаще всего привлекают помощь — ИТ-провайдер или служба мониторинга DMARC могут выполнить работу по идентификации отправителей; этапы остаются теми же в любом случае. Да → следующий вопрос.

5. Установлена ли ваша политика на p=quarantine или p=reject?

Нет → вы, вероятно, на Этапе 4 — Видимость, и можете безопасно перейти к принудительному применению. Ваш следующий шаг: повышайте политику поэтапно — none → quarantine → reject. Да → вы на Этапе 5 — Принудительный. Ваш следующий шаг: слой усиления — покрытие np=, MTA-STS и TLS-RPT — плюс непрерывный мониторинг. Это Этап 6.

Все пять «да», усиление на месте, и кто-то по-прежнему следит за отчётами? Это Этап 6 — Усиленный. Шаг здесь — удержаться: появляются новые отправители, провайдеры меняют IP-адреса, конфигурации ветшают. Не уверены в ответе? Запустите бесплатную проверку — она решает вопросы 1, 2, 3 и 5 по вашему действующему DNS менее чем за минуту, конфиденциально.

Турнирные таблицы и ежемесячный отчёт

Углублённые разборы

Хотите узнать, где находится ваш домен? Запустить бесплатную проверку → — конфиденциально; оценку домена мы показываем только его подтверждённому владельцу.

Как мы оцениваем → · Только агрегированные данные; мы никогда не публикуем оценку отдельного домена.