Defaults.Exposed

Defaults.Exposed › Reporty

6 štádií zrelosti DMARC

Publikované 2026-07-03 · aktualizované 2026-07-03

Údaje k dátumu 2026-06-29 · metodika v7. Ide o referenčný model podložený opakujúcim sa cenzom; každé vydanie znova premeria tú istú populáciu, takže čísla možno sledovať v čase. Všetky údaje sú agregátne — hodnotenie jednotlivého podniku nikdy nezverejňujeme.

Publikovať DMARC nie je to isté ako byť chránený

Naprieč 261 miliónmi premeraných domén ich 24.89 % publikuje záznam DMARC — no iba 10.59 % ho aj vynucuje. Inak povedané: z približne 65 miliónov domén, ktoré na cestu DMARC vôbec vykročili, 57.5 % nikdy nedospelo k tej časti, ktorá čokoľvek blokuje. Publikovali záznam, nasmerovali reportovanie niekam a uviazli. Menšie nezávislé štúdie zisťujú rovnaký obraz — jeden priemyselný report z roku 2026 to vyčíslil na ~9 % vynucujúcich spomedzi ~938 000 skúmaných domén.

Osvojenie si už nie je problém. Problémom je ochrana. A domény uviaznu zo štrukturálneho dôvodu: mapy, ktoré všetci používajú, sa zastavia priskoro. Končia predčasne a ani jedna z nich nedáva najťažšiemu kroku vlastný názov.

Kde sa existujúce mapy zastavia priskoro

Modely, podľa ktorých sa odvetvie orientuje, boli pre svoju éru správne a zaslúžia si férové čítanie:

Všetky tri zdieľajú dve obmedzenia. Po prvé, zastavia sa pri p=reject — akoby vynucovanie bolo cieľovou čiarou. Nie je: samotný štandard sa posunul ďalej (DMARCbis — RFC 9989, 9990 a 9991 — bol publikovaný v máji 2026 a nahrádza pôvodný RFC 7489) a vynucovanie neurobí nič pre bezpečnosť prenosu ani dôveru v značku. Po druhé — a práve toto domény skutočne uväzňuje — ani jeden z nich nerobí z „každý odosielateľ je zohľadnený“ pomenované štádium. Aby sme boli féroví, príručky nasadenia tú prácu spomínajú: model dmarcian zahŕňa identifikáciu zdrojov ako úlohu vnútri svojej monitorovacej fázy. No úloha zahrabaná vnútri fázy sa presne tak aj berie — ako súčasť „monitorovania“, a nie ako samostatný úspech, ktorým je. Sledovať, ako prichádzajú reporty, pôsobí ako pokrok. Zatiaľ ním ale nie je. Najväčším jediným dôvodom, prečo domény sedia na p=none roky, je, že svoju poštu vidia, no nezohľadnili ju — takže sa neodvážia vynucovať zo strachu, že niečo skutočné pokazia.

Užitočný model musí tomuto kroku dať vlastný názov a vlastné výstupné kritériá. Tento to robí. Voláme ho Model zrelosti osvojovania DMARC — DAMM (DMARC Adoption Maturity Model): šesť štádií, jeden krok každé a názov, ktorý môžete citovať.

Model

Šesť štádií zrelosti DMARC — od Nechráneného po Spevnený, so stenou medzi Pozorovaním a Viditeľnosťou

Štádium 1 — Nechránený. Žiadny záznam DMARC — alebo pod ním neúplné SPF a DKIM. Ktokoľvek môže posielať e-maily za vašu doménu a nikde nič nekontroluje. Krok: nakonfigurujte SPF a DKIM pre svoju primárnu poštu a potvrďte, že autentifikujú a zarovnávajú sa. DMARC stojí na oboch; túto podlahu preskočiť nemôžete.

Štádium 2 — Autentifikovaný. SPF a DKIM sú správne a zarovnávajú sa pre váš hlavný poštový tok. Vaša legitímna pošta preukazuje svoj pôvod — no nič nehovorí schránkam sveta, čo majú robiť s poštou, ktorá to nedokáže. Krok: publikujte záznam DMARC na p=none s reportovacou adresou rua=.

Štádium 3 — Pozorovanie. DMARC je publikovaný, agregátne reporty prúdia a po prvý raz vidíte, kto odosiela za vašu doménu. Nič nie je blokované. Väčšina nástrojov toto štádium nazýva „viditeľnosť“ — my to zámerne nerobíme, pretože vidieť reporty a rozumieť im sú odlišné úspechy. Krok: identifikujte každý legitímny zdroj, ktorý odosiela za vašu doménu, a každý z nich zarovnajte.

Štádium 4 — Viditeľnosť. Každý legitímny odosielateľ je identifikovaný a zarovnaný — platforma pre newsletter, fakturačný systém, CRM, tá vec, ktorú marketing zaregistroval minulú jar. Poznáte svoju poštu. Ak budete vynucovať, nič legitímne sa nepokazí. Toto je štádium, ktoré staré mapy preskakujú, a stena, na ktorú väčšina domén nikdy nevyšplhá. Krok: zvýšte politiku — p=none → p=quarantine (testovací režim t=y z DMARCbis tu pomáha) → p=reject.

Štádium 5 — Vynucovaný. p=quarantine alebo p=reject je v prevádzke, so subdoménami pokrytými explicitnou politikou sp=. Pošta, ktorá neprejde autentifikáciou, je teraz u zúčastnených prijímateľov skutočne umiestnená do karantény alebo odmietnutá — čo zahŕňa každého veľkého poskytovateľa schránok — takže priame podvrhávanie vašej presnej domény prestáva pristávať tam, kde sa DMARC kontroluje. Krok: pridajte vrstvu spevnenia — pokrytie np= a tree-walk z DMARCbis, MTA-STS a TLS-RPT pre prenos, BIMI, ak vám záleží na zobrazovaní značky.

Štádium 6 — Spevnený a udržiavaný. Vynucovanie plus moderný balík: pokrytie neexistujúcich subdomén (np=) z DMARCbis, MTA-STS a TLS-RPT zabezpečujúce poštu počas prenosu, BIMI tam, kde sa vyplatí — a, čo je kľúčové, priebežné monitorovanie kvôli odchýlkam a novým odosielateľom. Toto nie je odznak; je to disciplína. Objavujú sa noví odosielatelia, poskytovatelia menia IP adresy, konfigurácie hnijú. Krok: zostaňte tu.

Pruh bez pošty. Merané naprieč celým inventárom domén — vrátane mŕtvych domén — 51.5 % domén neprevádzkuje žiadnu poštovú službu vôbec a pre ne sa cesta zrúti na jediný krok. Doména, ktorá nikdy neposiela, by mala okamžite publikovať SPF -all a DMARC p=reject: neexistuje žiadna legitímna pošta, ktorú by bolo treba chrániť, takže niet čo pozorovať a niet žiadnej steny, na ktorú by bolo treba šplhať. Zaparkované a nečinné doménové značky prejdú rovno do štádia Vynucovaný jedinou zmenou DNS — a tým sa uzavrie jeden z najbežnejších vektorov napodobňovania, aké existujú.

Stena: štádium 3 → 4

Každý iný prechod v tomto modeli je zmena DNS. Tento je pátracia práca — a práve tu umierajú mesiace.

Dostať sa z Pozorovania do Viditeľnosti znamená priradiť každý odosielajúci zdroj vo vašich reportoch k reálnemu systému: ktorý ESP, ktorý CRM, poštové relé ktorej regionálnej pobočky, ktorý SaaS nástroj niekto pripojil v roku 2023 a zabudol naň. Znamená to nájsť odosielateľov zo shadow-IT, ktorých nikto nezdokumentoval. Znamená to opraviť zarovnanie ESP po ESP, pretože každá platforma má vlastný spôsob autentifikácie vo vašom mene — niektoré z nich sú predvolene nastavené zle.

Preskočenie steny je to, ako si DMARC vyslúžil svoju desivú povesť. Vynucujte z Pozorovania — bez Viditeľnosti — a zablokujete niečo skutočné: vydanie faktúr, tok resetovania hesla, generálny riaditeľov newsletter. Potom príde panické vrátenie na p=none, interná analýza príčin a ponaučenie, ktoré si všetci osvoja nesprávne: „skúsili sme DMARC a pokazil nám e-mail.“ Väčšina hororových príbehov o DMARC je presne takáto — vynucovanie pokúsené o jedno štádium priskoro. Stena nie je dôvod zastaviť sa v štádiu 3. Je to dôvod, prečo štádium 4 existuje.

Toto je aj štádium, kde vlastníci najčastejšie prizvú pomoc — poskytovateľ IT alebo služba monitorovania DMARC dokáže urobiť prácu s identifikáciou odosielateľov; štádiá zostávajú rovnaké tak či onak.

Časť, na ktorú všetci zabúdajú: štádium 5 → 6

Dosiahnutie p=reject zastaví priame podvrhávanie vašej domény v riadku From:, u prijímateľov, ktorí to kontrolujú. To je nevyhnutné — a nie je to postačujúce. Zároveň stojí za to pomenovať, čo vynucovanie nikdy nepokrylo: podobne vyzerajúce domény (yourc0mpany.com) a napodobňovanie zobrazovaného mena sú úplne mimo dosahu DMARC, takže vynucovanie zatvorí dvere presnej domény a susedné ponechá na ostražitosti a iných opatreniach.

Vynucovanie neurobí nič pre prenos: bez MTA-STS a TLS-RPT môže byť pošta smerujúca na vašu doménu počas prenosu stále degradovaná alebo zachytená. Neurobí nič pre rozpoznanie značky: BIMI — vaše logo zobrazené v schránke — je signál dôvery, nie bezpečnostné opatrenie, a je poctivé brať ho tak (vyžaduje aj platený certifikát, a preto stojí posledné, nie prvé). A holé p=reject predchádza DMARCbis: tag np= a tree-walk z nových RFC uzatvárajú medzeru neexistujúcich subdomén, ktorú staršie nasadenia nechávajú otvorenú.

Doména na p=reject bez ničoho z uvedeného je chránená proti najbežnejšiemu útoku a nepripravená na zvyšok. To je skutočný rozdiel a zaslúži si vlastné štádium.

Vaše štádium je merateľné

Tento model nie je len diagram — štádium domény je vypočítateľné, čo ho odlišuje od plagátu na stene.

Štádiá 3 až 6 možno odvodiť z vlastných reportovacích dát DMARC domény plus jej publikovaných záznamov: aká politika je v prevádzke, či reporty prúdia a či sa každý pozorovaný odosielateľ zarovnáva. Štádiá 1 a 2 sa posudzujú živou kontrolou DNS, keďže žiadne reporty ešte neexistujú. Jedno poctivé obmedzenie v každom smere: štádium 4 sa potvrdzuje dôkazmi v čase — „každý pozorovaný odosielateľ sa zarovnáva naprieč dostatočným počtom reportovacích dní“ je silný ukazovateľ, no žiadny report nedokáže odhaliť odosielateľa, ktorého ste ešte nepripojili. A vrstva spevnenia štádia 6 — MTA-STS, TLS-RPT, BIMI — je v reportoch DMARC neviditeľná; na jej zistenie treba kontrolu DNS. Doména môže zo svojich reportov vyzerať „hotová“ a stále niesť skrytú medzeru štádia 5 → 6. Toto je model, voči ktorému meria naša vlastná reportovacia analýza, so všetkými prekážkami.

Prepracovaný príklad

Stredne veľká firma prevádzkuje Microsoft 365 za poštovou filtrovacou bránou. SPF končí na -all, DKIM je nakonfigurovaný, DMARC je publikovaný na p=none a reporty prúdia do monitorovacieho nástroja. Na starých mapách to vyzerá takmer hotovo. Na tejto je to štádium 3 — Pozorovanie: náročné nastavenie je hotové a doména uviazla presne pri stene — viditeľná, nie chránená. Krok s najvyššou hodnotou je 3 → 4 → 5: potvrďte, že sa (pravdepodobne malé množstvo) legitímnych odosielateľov všetci zarovnávajú, a potom zvyšujte politiku po štádiách. Pre doménu v tomto tvare to zvyčajne znamená týždne pozornosti, nie mesiace — stena je najvyššia pre tých, ktorí ju nikdy nezmapujú.

Nájdite svoje štádium

Otázka, ktorú treba vyradiť z používania, znie „máme DMARC?“ — 24.89 % domén môže povedať áno, kým 57.5 % z nich zostáva podvrhnuteľných. Lepšia otázka je „v akom sme štádiu a aký je ten jeden krok do ďalšieho?“ Každá doména na internete je dnes v presne jednom z týchto šiestich štádií. Vedieť, v ktorom, mení úzkosť na zoznam úloh.

Kde sa internet nachádza naprieč šiestimi štádiami — väčšina domén nemá žiadny záznam DMARC vôbec; väčšina tých, ktoré ho majú, uviazla pred vynucovaním

Často kladené otázky

Čo je DAMM? Model zrelosti osvojovania DMARC (DMARC Adoption Maturity Model) — šesťstupňový model na tejto stránke: Nechránený, Autentifikovaný, Pozorovanie, Viditeľnosť, Vynucovaný, Spevnený. Štádium domény je merateľné z jej DNS a jej reportovacích dát DMARC, čo ju odlišuje od plagátu na stene.

Je teda publikovanie p=none bezcenné? Nie — je to štádium 3 a štádium 3 je nosné: reportovanie je spôsob, ako nájsť každého odosielateľa predtým, než začnete vynucovať. Problémom sa stáva iba vtedy, keď sa berie ako cieľ. Pozri prečo p=none nie je ochrana.

Môžem preskočiť rovno na p=reject? Ak vaša doména neposiela žiadnu poštu — áno, dnes, a mali by ste. Ak poštu posiela — nie: vynucovanie bez Viditeľnosti (štádium 4) je spôsob, ako sa pokazí legitímna pošta a dochádza k vráteniam. Štádiá sú bezpečnou cestou, nie ceremóniou.

Potrebujem BIMI, aby som bol „hotový“? Nie. BIMI je vrstva zobrazovania značky v štádiu 6 a najvoliteľnejší prvok modelu — MTA-STS, TLS-RPT a pokrytie np= z DMARCbis sú časti, ktoré doménu podstatne spevňujú. Ak sa pre vás náklad na certifikát neoplatí, preskočte ho a udržte zvyšok štádia 6.

Kam zapadajú SPF a DKIM? Pod všetko — sú štádiami 1 → 2 a SPF bez DMARC chráni menej, než väčšina vlastníkov predpokladá. Od roku 2024 veľkí prijímatelia navyše vyžadujú autentifikáciu bez výnimky od hromadných odosielateľov.

Skontrolujte, ako stojí vaša vlastná doména

Tieto štádiá sú populačné vzorce — vaša doména je v presne jednom z nich a ďalší krok je poznateľný. Skontrolovať to môžete súkromne a zadarmo a uvidíte, ktoré z 34 kontrol prejdete a ako opraviť tie, ktoré nie.

Skontrolujte svoju doménu → · Ako sme oznámkovali internet → · Pilier DMARC → · Iba agregátne údaje. Údaje uchovávané a spracúvané v EÚ.