Defaults.Exposed

Defaults.Exposed › Izveštaji

Šest faza DMARC zrelosti

Objavljeno 2026-07-03 · ažurirano 2026-07-03

Podaci sa stanjem na dan 2026-06-29 · metodologija v7. Ovo je referentni model potkrepljen periodičnim popisom; svako izdanje ponovo meri istu populaciju kako bi se brojevi mogli pratiti kroz vreme. Sve cifre su zbirne — nikada ne objavljujemo ocenu pojedinačnog preduzeća.

Objavljivanje DMARC-a nije isto što i biti zaštićen

Od 261 miliona izmerenih domena, 24.89% objavljuje DMARC zapis — ali samo 10.59% ga sprovodi. Drugačije rečeno: od otprilike 65 miliona domena koji su započeli DMARC put, 57.5% nikada nije stiglo do dela koji bilo šta blokira. Objavili su zapis, usmerili izveštavanje negde i zaglavili se. Manje nezavisne studije nalaze isti obrazac — jedan industrijski izveštaj iz 2026. postavio ga je na ~9% onih koji sprovode među ~938.000 domena koje je ispitao.

Usvajanje više nije problem. Zaštita jeste. A domeni se zaglave iz strukturnog razloga: mape koje svi koriste staju prerano. Završavaju se prebrzo, i nijedna od njih najtežem koraku ne daje sopstveno ime.

Gde postojeće mape staju prerano

Modeli po kojima se industrija orijentiše bili su ispravni za svoje doba i zaslužuju pošteno čitanje:

Sva tri dele dva ograničenja. Prvo, staju na p=reject — kao da je sprovođenje ciljna linija. Nije: sam standard je otišao dalje (DMARCbis — RFC 9989, 9990 i 9991 — objavljen je u maju 2026, zamenivši izvorni RFC 7489), a sprovođenje ne čini ništa za sigurnost transporta ili poverenje u brend. Drugo — i to je ono što zapravo ostavlja domene nasukane — nijedan od njih „svaki pošiljalac je obuhvaćen” ne pretvara u imenovanu fazu. Da budemo pošteni, vodiči za raspoređivanje pominju taj posao: dmarcian-ov model uključuje identifikaciju izvora kao zadatak unutar faze nadgledanja. Ali zadatak zakopan unutar faze upravo se tako i tretira — kao deo „nadgledanja”, a ne kao zasebno dostignuće koje jeste. Gledanje kako izveštaji stižu deluje kao napredak. Još nije. Najveći pojedinačni razlog zbog kog domeni godinama sede na p=none jeste to što vide svoju poštu, ali je nisu obuhvatili — pa se ne usuđuju da sprovode, iz straha da ne pokvare nešto stvarno.

Koristan model treba tom koraku da da sopstveno ime i sopstvene izlazne kriterijume. Ovaj to čini. Zovemo ga DMARC Model Zrelosti Usvajanja — DAMM: šest faza, po jedan potez u svakoj, i ime koje možete citirati.

Model

Šest faza DMARC zrelosti — od Nezaštićenog do Ojačanog, sa zidom između Posmatranja i Vidljivosti

Faza 1 — Nezaštićen. Nema DMARC zapisa — ili su SPF i DKIM ispod njega nepotpuni. Svako može slati e-poštu kao vaš domen, i nigde ništa to ne proverava. Potez: konfigurišite SPF i DKIM za svoju primarnu poštu i potvrdite da se autentifikuju i poravnavaju. DMARC se gradi na oba; ne možete preskočiti ovaj temelj.

Faza 2 — Autentifikovan. SPF i DKIM su ispravni i poravnavaju se za vaš glavni tok pošte. Vaša legitimna pošta dokazuje svoje poreklo — ali ništa svetskim sandučićima ne govori šta da rade sa poštom koja to ne čini. Potez: objavite DMARC zapis na p=none sa rua= adresom za izveštavanje.

Faza 3 — Posmatranje. DMARC je objavljen, zbirni izveštaji pristižu, i po prvi put možete videti ko šalje kao vaš domen. Ništa nije blokirano. Većina alata ovu fazu naziva „vidljivošću” — mi to namerno ne činimo, jer su viđenje izveštaja i njihovo razumevanje različita dostignuća. Potez: identifikujte svaki legitiman izvor koji šalje kao vaš domen i postignite poravnanje za svaki od njih.

Faza 4 — Vidljivost. Svaki legitiman pošiljalac je identifikovan i poravnat — platforma za bilten, sistem za fakturisanje, CRM, ona stvar na koju se marketing prijavio prošlog proleća. Poznajete svoju poštu. Ništa legitimno se neće pokvariti ako sprovodite. Ovo je faza koju stare mape preskaču, i zid na koji se većina domena nikada ne popne. Potez: podignite politiku — p=none → p=quarantine (DMARCbis-ov t=y režim testiranja ovde pomaže) → p=reject.

Faza 5 — Sprovedeno. p=quarantine ili p=reject je aktivan, a poddomeni su pokriveni eksplicitnom sp= politikom. Pošta koja ne prođe autentifikaciju sada se zapravo karantinuje ili odbija kod prijemnika koji učestvuju — što uključuje svakog većeg pružaoca sandučića — pa direktno lažiranje vašeg tačnog domena prestaje da stiže tamo gde se DMARC proverava. Potez: dodajte sloj ojačanja — DMARCbis-ovo np= i pokrivenost obilaskom stabla, MTA-STS i TLS-RPT za transport, BIMI ako vam je prikaz brenda bitan.

Faza 6 — Ojačano i održivo. Sprovođenje uz moderni stek: pokrivenost nepostojećih poddomena (np=) iz DMARCbis-a, MTA-STS i TLS-RPT koji obezbeđuju poštu u tranzitu, BIMI tamo gde se isplati — i, ključno, kontinuirano nadgledanje odstupanja i novih pošiljalaca. Ovo nije značka; to je disciplina. Novi pošiljaoci se pojavljuju, pružaoci menjaju IP adrese, konfiguracije trunu. Potez: ostanite ovde.

Traka bez pošte. Mereno preko celokupnog inventara domena — uključujući mrtve domene — 51.5% domena uopšte ne pokreće poštansku uslugu, i za njih se put svodi na jedan korak. Domen koji nikada ne šalje treba odmah da objavi SPF -all i DMARC p=reject: nema legitimne pošte koju treba štititi, pa nema ni šta da se posmatra ni zida na koji treba popeti se. Parkirani i uspavani brend domeni idu pravo u Sprovedeno jednom DNS izmenom — i time se zatvara jedan od najčešćih vektora lažnog predstavljanja koji postoji.

Zid: Faza 3 → 4

Svaki drugi prelaz u ovom modelu je DNS izmena. Ovaj je istražni rad — i to je mesto gde meseci umiru.

Prelazak sa Posmatranja na Vidljivost znači pripisivanje svakog izvora slanja iz vaših izveštaja stvarnom sistemu: koji ESP, koji CRM, poštanski relej koje regionalne kancelarije, koji SaaS alat je neko povezao 2023. i zaboravio. Znači pronalaženje pošiljalaca iz senke informatike koje niko nije dokumentovao. Znači ispravljanje poravnanja ESP po ESP, jer svaka platforma ima svoj način autentifikacije u vaše ime — neke od njih podrazumevano pogrešno.

Preskakanje zida je način na koji je DMARC stekao svoju strašnu reputaciju. Sprovodite iz Posmatranja — bez Vidljivosti — i hoćete blokirati nešto stvarno: seriju faktura, tok resetovanja lozinke, bilten izvršnog direktora. Onda sledi paničan povratak na p=none, interna analiza uzroka, i pouka koju svi pogrešno nauče: „probali smo DMARC i pokvario je e-poštu.” Većina DMARC horor priča je upravo ovo — sprovođenje pokušano jednu fazu prerano. Zid nije razlog da se stane na Fazi 3. To je razlog zašto Faza 4 postoji.

Ovo je takođe faza u kojoj vlasnici najčešće uvode pomoć — pružalac informatičkih usluga ili servis za nadgledanje DMARC-a mogu obaviti posao identifikacije pošiljalaca; faze ostaju iste u svakom slučaju.

Deo koji svi zaboravljaju: Faza 5 → 6

Dostizanje p=reject zaustavlja direktno lažiranje vašeg domena u polju From:, kod prijemnika koji to proveravaju. To je neophodno — i nije dovoljno. Vredi takođe imenovati ono što sprovođenje nikada nije pokrivalo: slični domeni (yourc0mpany.com) i lažno predstavljanje putem prikaznog imena stoje potpuno van domašaja DMARC-a, pa sprovođenje zatvara vrata tačnog domena i ostavlja susedna vrata budnosti i drugim kontrolama.

Sprovođenje ne čini ništa za transport: bez MTA-STS i TLS-RPT, pošta ka vašem domenu i dalje može biti degradirana ili presretnuta u tranzitu. Ne čini ništa za prepoznatljivost brenda: BIMI — vaš logo, prikazan u sandučiću — je signal poverenja, a ne bezbednosna kontrola, i pošteno je tretirati ga kao takvog (takođe zahteva plaćeni sertifikat, zbog čega stoji poslednji, a ne prvi). A obični p=reject prethodi DMARCbis-u: np= oznaka i obilazak stabla novih RFC-ova zatvaraju rupu nepostojećih poddomena koju starija raspoređivanja ostavljaju otvorenom.

Domen na p=reject bez ijednog od gore navedenih je zaštićen od najčešćeg napada, a nespreman za ostale. To je stvarna razlika, i zaslužuje sopstvenu fazu.

Vaša faza je merljiva

Ovaj model nije samo dijagram — faza domena je izračunljiva, što ga razdvaja od plakata na zidu.

Faze 3 do 6 mogu se izvesti iz sopstvenih DMARC izveštajnih podataka domena uz njegove objavljene zapise: koja je politika aktivna, da li izveštaji pristižu, i da li se svaki posmatrani pošiljalac poravnava. Faze 1 i 2 procenjuju se uživo DNS proverom, pošto još nema izveštaja. Jedno pošteno ograničenje u svakom pravcu: Faza 4 se potvrđuje dokazima kroz vreme — „svaki posmatrani pošiljalac se poravnava tokom dovoljno dana izveštavanja” je snažan pokazatelj, ali nijedan izveštaj ne može otkriti pošiljaoca kog još niste povezali. A sloj ojačanja Faze 6 — MTA-STS, TLS-RPT, BIMI — je nevidljiv u DMARC izveštajima; potrebna je DNS provera da bi se video. Domen može izgledati „gotov” iz svojih izveštaja, a i dalje nositi skrivenu prazninu Faze 5 → 6. Ovo je model prema kome meri naša sopstvena analiza izveštavanja, sa svim preprekama.

Obrađeni primer

Srednje velika firma pokreće Microsoft 365 iza kapije za filtriranje pošte. SPF se završava sa -all, DKIM je konfigurisan, DMARC je objavljen na p=none, a izveštaji pristižu u alat za nadgledanje. Na starim mapama ovo izgleda skoro gotovo. Na ovoj je Faza 3 — Posmatranje: teško podešavanje je završeno, a domen se zaglavio tačno na zidu — vidljiv, ne zaštićen. Najvredniji potez je 3 → 4 → 5: potvrdite da se (verovatno malobrojni) legitimni pošiljaoci svi poravnavaju, a zatim podignite politiku u fazama. Za domen u ovom obliku, to je obično nedeljama pažnje, a ne mesecima — zid je najviši za one koji ga nikada ne mapiraju.

Pronađite svoju fazu

Pitanje koje treba penzionisati je „da li imamo DMARC?” — 24.89% domena može reći da, dok 57.5% njih ostaje podložno lažiranju. Bolje pitanje je „u kojoj smo fazi, i koji je jedan potez do sledeće?” Svaki domen na internetu danas je tačno u jednoj od ovih šest faza. Znati u kojoj pretvara strah u spisak zadataka.

Gde se internet nalazi kroz šest faza — većina domena uopšte nema DMARC zapis; većina onih koji ga imaju zaglavljena je pre sprovođenja

Često postavljana pitanja

Šta je DAMM? DMARC Model Zrelosti Usvajanja — model u šest faza na ovoj stranici: Nezaštićen, Autentifikovan, Posmatranje, Vidljivost, Sprovedeno, Ojačano. Faza domena je merljiva iz njegovog DNS-a i njegovih DMARC izveštajnih podataka, što ga razdvaja od plakata na zidu.

Da li je onda objavljivanje p=none bezvredno? Ne — to je Faza 3, a Faza 3 je noseća: izveštavanje je način na koji pronalazite svakog pošiljaoca pre nego što sprovodite. Postaje problem tek kada se tretira kao odredište. Vidite zašto p=none nije zaštita.

Mogu li da skočim pravo na p=reject? Ako vaš domen ne šalje poštu — da, danas, i trebalo bi. Ako šalje poštu — ne: sprovođenje bez Vidljivosti (Faza 4) je način na koji se legitimna pošta kvari i dešavaju se povratci. Faze su siguran put, a ne ceremonija.

Da li mi treba BIMI da bih bio „gotov”? Ne. BIMI je sloj prikaza brenda Faze 6 i najopcioniji element u modelu — MTA-STS, TLS-RPT i DMARCbis-ova np= pokrivenost su delovi koji domen materijalno ojačavaju. Ako trošak sertifikata nije opravdan za vas, preskočite ga i zadržite ostatak Faze 6.

Gde se uklapaju SPF i DKIM? Ispod svega — oni su Faze 1 → 2, a SPF bez DMARC-a štiti manje nego što većina vlasnika pretpostavlja. Od 2024, veliki prijemnici su takođe otvoreno zahtevali autentifikaciju od masovnih pošiljalaca.

Proverite gde stoji vaš sopstveni domen

Ove faze su populacioni obrasci — vaš domen je tačno u jednoj od njih, a sledeći potez je saznatljiv. Možete proveriti privatno i besplatno, i videti koje od 34 provere prolazite i kako da ispravite one koje ne.

Proverite svoj domen → · Kako smo ocenili internet → · DMARC stub → · Samo zbirni podaci. Podaci se čuvaju i obrađuju u EU.