Defaults.Exposed

Defaults.Exposed › Poročila

6 stopenj zrelosti DMARC

Objavljeno 2026-07-03 · posodobljeno 2026-07-03

Podatki na dan 2026-06-29 · metodologija v7. To je referenčni model, podprt s ponavljajočim se popisom; vsaka izdaja znova meri isto populacijo, tako da je mogoče številke spremljati skozi čas. Vse številke so agregatne — nikoli ne objavimo ocene posameznega podjetja.

Objava DMARC ni isto kot zaščita

Med 261 milijoni izmerjenih domen jih 24.89 % objavi zapis DMARC — a le 10.59 % ga uveljavlja. Povedano drugače: od približno 65 milijonov domen, ki so začele pot DMARC, 57.5 % nikoli ni doseglo dela, ki karkoli blokira. Objavile so zapis, poročanje usmerile nekam in obtičale. Manjše neodvisne študije ugotavljajo enako obliko — eno panožno poročilo iz leta 2026 je uveljavljanje ocenilo na ~9 % med ~938.000 pregledanimi domenami.

Sprejem ni več težava. Zaščita je. In domene obtičijo iz strukturnega razloga: zemljevidi, ki jih vsi uporabljajo, se ustavijo prezgodaj. Končajo se prehitro in nobeden od njih najtežjemu koraku ne da lastnega imena.

Kje se obstoječi zemljevidi ustavijo prezgodaj

Modeli, po katerih se panoga orientira, so bili pravilni za svoj čas in si zaslužijo pošteno branje:

Vsi trije imajo dve enaki omejitvi. Prvič, ustavijo se pri p=reject — kot da bi bilo uveljavljanje ciljna črta. Ni: standard sam se je premaknil naprej (DMARCbis — RFC 9989, 9990 in 9991 — je bil objavljen maja 2026 in nadomešča izvirni RFC 7489), uveljavljanje pa ne stori ničesar za varnost prenosa ali zaupanje v blagovno znamko. Drugič — in prav to dejansko pusti domene na cedilu — nobeden od njih ne naredi »vsak pošiljatelj upoštevan« poimenovane stopnje. Če smo pošteni, vodniki za uvajanje delo omenjajo: model dmarciana vključuje identifikacijo virov kot nalogo znotraj svoje faze spremljanja. A naloga, zakopana znotraj faze, se natanko tako tudi obravnava — kot del »spremljanja« namesto kot ločen dosežek, ki v resnici je. Opazovanje prihajajočih poročil se zdi kot napredek. A še ni. Največji posamezni razlog, da domene leta obtičijo pri p=none, je, da svojo pošto vidijo, a je niso upoštevale — zato si ne upajo uveljavljati iz strahu, da bi pokvarile kaj resničnega.

Uporaben model mora temu koraku dati lastno ime in lastna izstopna merila. Ta jih daje. Imenujemo ga model zrelosti sprejema DMARC — DAMM (DMARC Adoption Maturity Model): šest stopenj, en korak vsaka in ime, ki ga lahko navedete.

Model

Šest stopenj zrelosti DMARC — od nezaščitene do utrjene, z zidom med opazovanjem in vidljivostjo

Stopnja 1 — nezaščitena. Ni zapisa DMARC — ali pa sta SPF in DKIM pod njim nepopolna. Kdorkoli lahko pošilja e-pošto kot vaša domena in nikjer nič ne preverja. Korak: konfigurirajte SPF in DKIM za svojo primarno pošto ter potrdite, da se overita in poravnata. DMARC gradi na obeh; te osnove ne morete preskočiti.

Stopnja 2 — overjena. SPF in DKIM sta pravilna in poravnana za vaš glavni tok pošte. Vaša legitimna pošta dokazuje svoj izvor — a nič ne pove nabiralnikom sveta, kaj naj storijo s pošto, ki tega ne dokazuje. Korak: objavite zapis DMARC pri p=none z naslovom za poročanje rua=.

Stopnja 3 — opazovanje. DMARC je objavljen, agregatna poročila tečejo in prvič lahko vidite, kdo pošilja kot vaša domena. Nič ni blokirano. Večina orodij to stopnjo imenuje »vidljivost« — mi je namenoma ne, ker sta videnje poročil in razumevanje le-teh različna dosežka. Korak: identificirajte vsak legitimen vir, ki pošilja kot vaša domena, in vsakega poravnajte.

Stopnja 4 — vidljivost. Vsak legitimni pošiljatelj je identificiran in poravnan — platforma za novice, sistem za izdajanje računov, CRM, tista stvar, ki jo je marketing lani spomladi naročil. Poznate svojo pošto. Nič legitimnega se ne bo pokvarilo, če uveljavite. To je stopnja, ki jo stari zemljevidi preskočijo, in zid, ki ga večina domen nikoli ne prepleza. Korak: dvignite politiko — p=none → p=quarantine (pri tem pomaga testni način t=y iz DMARCbis) → p=reject.

Stopnja 5 — uveljavljena. p=quarantine ali p=reject je aktiven, s poddomenami, pokritimi z izrecno politiko sp=. Pošta, ki ne prestane overitve, je zdaj dejansko dana v karanteno ali zavrnjena pri sodelujočih prejemnikih — kar vključuje vse večje ponudnike nabiralnikov — tako da neposredno ponarejanje vaše točne domene neha pristajati tam, kjer se DMARC preverja. Korak: dodajte plast utrjevanja — pokritost np= in obhod drevesa iz DMARCbis, MTA-STS in TLS-RPT za prenos, BIMI, če vam je pomemben prikaz blagovne znamke.

Stopnja 6 — utrjena in vzdrževana. Uveljavljanje plus sodobni sklad: pokritost neobstoječih poddomen (np=) iz DMARCbis, MTA-STS in TLS-RPT, ki zavarujeta pošto med prenosom, BIMI tam, kjer se izplača — in, ključno, neprekinjeno spremljanje odstopanj in novih pošiljateljev. To ni značka; to je disciplina. Pojavijo se novi pošiljatelji, ponudniki spremenijo naslove IP, konfiguracije trohnijo. Korak: ostanite tukaj.

Pas brez pošte. Merjeno po celotnem popisu domen — vključno z mrtvimi domenami — 51.5 % domen sploh ne izvaja poštne storitve, in za te se pot skrči na en korak. Domena, ki nikoli ne pošilja, naj takoj objavi SPF -all in DMARC p=reject: ni legitimne pošte za zaščito, torej ni ničesar za opazovanje in ni zidu za plezanje. Parkirane in mirujoče blagovne domene gredo naravnost v stanje uveljavljeno z eno samo spremembo DNS — in s tem zaprejo enega najpogostejših vektorjev lažnega predstavljanja, kar jih obstaja.

Zid: stopnja 3 → 4

Vsak drug prehod v tem modelu je sprememba DNS. Ta je preiskovalno delo — in tu umirajo meseci.

Prehod od opazovanja do vidljivosti pomeni, da vsak pošiljajoči vir v vaših poročilih pripišete resničnemu sistemu: kateri ESP, kateri CRM, poštni rele katere regionalne pisarne, katero orodje SaaS je nekdo priključil leta 2023 in pozabil. Pomeni najti pošiljatelje iz sivega IT-ja, ki jih nihče ni dokumentiral. Pomeni popravljati poravnavo ESP za ESP-jem, saj ima vsaka platforma svoj način overjanja v vašem imenu — nekateri privzeto napačni.

Preskakovanje zidu je razlog, zakaj je DMARC dobil svoj strašljiv sloves. Uveljavite od opazovanja — brez vidljivosti — in boste blokirali kaj resničnega: pošiljanje računov, tok ponastavitve gesla, direktorjev bilten. Nato pride panično vračanje na p=none, notranja analiza in nauk, ki se ga vsi napačno naučijo: »poskusili smo DMARC in pokvaril je e-pošto.« Večina grozljivih zgodb o DMARC je natanko to — uveljavljanje, poskušeno eno stopnjo prezgodaj. Zid ni razlog, da bi obstali pri stopnji 3. Je razlog, da stopnja 4 obstaja.

To je tudi stopnja, na kateri lastniki najpogosteje vključijo pomoč — ponudnik IT ali storitev spremljanja DMARC lahko opravi delo identifikacije pošiljateljev; stopnje ostanejo enake v vsakem primeru.

Del, ki ga vsi pozabijo: stopnja 5 → 6

Doseganje p=reject ustavi neposredno ponarejanje vaše domene v vrstici From:, pri prejemnikih, ki to preverjajo. To je nujno — in ni zadostno. Prav tako je vredno poimenovati, česa uveljavljanje nikoli ni pokrivalo: podobne domene (yourc0mpany.com) in lažno predstavljanje prikaznega imena so povsem zunaj dosega DMARC, zato uveljavljanje zapre vrata točne domene in sosednja prepusti pazljivosti in drugim kontrolam.

Uveljavljanje ne stori ničesar za prenos: brez MTA-STS in TLS-RPT je pošto do vaše domene še vedno mogoče med prenosom razvrednotiti ali prestreči. Ne stori ničesar za prepoznavnost blagovne znamke: BIMI — vaš logotip, prikazan v nabiralniku — je signal zaupanja, ne varnostna kontrola, in pošteno ga je obravnavati kot takega (poleg tega zahteva plačljiv certifikat, zato je zadnji, ne prvi). In goli p=reject je starejši od DMARCbis: oznaka np= in obhod drevesa iz novih RFC-jev zapreta vrzel neobstoječih poddomen, ki jo starejše uvedbe puščajo odprto.

Domena pri p=reject brez ničesar od naštetega je zaščitena pred najpogostejšim napadom in nepripravljena na preostalo. To je resnično razlikovanje in si zasluži lastno stopnjo.

Vaša stopnja je merljiva

Ta model ni le diagram — stopnjo domene je mogoče izračunati, kar ga loči od plakata na steni.

Stopnje od 3 do 6 je mogoče izpeljati iz lastnih podatkov poročanja DMARC domene in njenih objavljenih zapisov: katera politika je aktivna, ali poročila tečejo in ali se vsak opazovani pošiljatelj poravna. Stopnji 1 in 2 se ocenita z živim preverjanjem DNS, saj poročil še ni. Ena poštena omejitev v vsako smer: stopnja 4 se potrdi z dokazi skozi čas — »vsak opazovani pošiljatelj se poravna preko dovolj dni poročanja« je močan približek, a nobeno poročilo ne more razkriti pošiljatelja, ki ga še niste priključili. In plast utrjevanja stopnje 6 — MTA-STS, TLS-RPT, BIMI — je v poročilih DMARC nevidna; da jo vidite, je potrebno preverjanje DNS. Domena je lahko iz svojih poročil videti »končana«, a še vedno nosi skrito vrzel stopnje 5 → 6. To je model, na katerem meri naša lastna analiza poročanja, z ovirami vred.

Predelan primer

Srednje veliko podjetje poganja Microsoft 365 za prehodom za filtriranje pošte. SPF se konča z -all, DKIM je konfiguriran, DMARC je objavljen pri p=none, poročila pa tečejo v orodje za spremljanje. Na starih zemljevidih je to videti skoraj končano. Na tem je stopnja 3 — opazovanje: težka namestitev je dokončana, domena pa je obtičala natanko pri zidu — vidna, ne zaščitena. Korak z najvišjo vrednostjo je 3 → 4 → 5: potrdite, da se (verjetno redki) legitimni pošiljatelji vsi poravnajo, nato politiko dvignite po stopnjah. Za domeno te oblike je to običajno tednov pozornosti, ne mesecev — zid je najvišji za tiste, ki ga nikoli ne preslikajo.

Poiščite svojo stopnjo

Vprašanje, ki ga je treba upokojiti, je »ali imamo DMARC?« — 24.89 % domen lahko reče da, medtem ko jih 57.5 % od teh ostaja ponarljivih. Boljše vprašanje je »na kateri stopnji smo in kaj je en korak do naslednje?« Vsaka domena na internetu je danes natanko na eni od teh šestih stopenj. Vedeti, na kateri, spremeni tesnobo v seznam opravil.

Kje internet stoji po šestih stopnjah — večina domen sploh nima zapisa DMARC; večina tistih, ki ga imajo, je obtičala pred uveljavljanjem

Pogosto zastavljena vprašanja

Kaj je DAMM? Model zrelosti sprejema DMARC (DMARC Adoption Maturity Model) — šeststopenjski model na tej strani: nezaščitena, overjena, opazovanje, vidljivost, uveljavljena, utrjena. Stopnja domene je merljiva iz njenega DNS in podatkov poročanja DMARC, kar jo loči od plakata na steni.

Ali je torej objava p=none nekoristna? Ne — to je stopnja 3, in stopnja 3 je nosilna: poročanje je način, kako najdete vsakega pošiljatelja, preden uveljavite. Težava postane šele, ko se obravnava kot cilj. Glejte zakaj p=none ni zaščita.

Ali lahko preskočim naravnost na p=reject? Če vaša domena ne pošilja pošte — da, danes, in tudi bi morali. Če pošilja pošto — ne: uveljavljanje brez vidljivosti (stopnja 4) je način, kako se legitimna pošta pokvari in pride do vračanj. Stopnje so varna pot, ne ceremonija.

Ali potrebujem BIMI, da sem »končan«? Ne. BIMI je plast prikaza blagovne znamke stopnje 6 in najbolj neobvezen element v modelu — MTA-STS, TLS-RPT in pokritost np= iz DMARCbis so deli, ki domeno materialno utrdijo. Če za vas strošek certifikata ni upravičen, ga preskočite in obdržite preostanek stopnje 6.

Kam sodita SPF in DKIM? Pod vse — to sta stopnji 1 → 2, in SPF brez DMARC zaščiti manj, kot večina lastnikov predvideva. Od leta 2024 večji prejemniki tudi naravnost zahtevajo overjanje od množičnih pošiljateljev.

Preverite, kje stoji vaša lastna domena

Te stopnje so vzorci populacije — vaša domena je natanko na eni od njih, naslednji korak pa je spoznaven. Preverite lahko zasebno in brezplačno ter vidite, katerih od 34 preverjanj prestanete in kako popraviti tista, ki jih ne.

Preverite svojo domeno → · Kako smo ocenili internet → · Steber DMARC → · Samo agregatni podatki. Podatki shranjeni in obdelani v EU.