Defaults.Exposed

Defaults.Exposed › Rapporter

Publicera i blindo: De flesta DMARC-poster ber inte om några rapporter

Publicerad 2026-07-03 · uppdaterad 2026-07-03

Siffror per 2026-06-29 · metodik v7. Folkräkningsdata över varje domän som publicerar en tolkningsbar DMARC-post, deduplicerad per domän. Förekomst av rua= mäts över alla poster, så dess exakta överlapp med en enskild policy går inte att härleda — där denna artikel gör påståenden om det överlappet anger den gränser, aldrig exakta korstabeller. Alla siffror är aggregerade — vi publicerar aldrig ett enskilt företags betyg.

De flesta DMARC-poster håller inte vakt

Av de 65 miljoner domäner som publicerar en DMARC-post inkluderar endast 23 miljoner — 35.7% — taggen rua= som begär aggregerade rapporter. De andra 64.3% publicerar i blindo: en policy finns på posten, men ingen har bett om att få veta vad som händer under den. Det är 42 miljoner domäner med en DMARC-post som inte kan visa dem något.

En DMARC-post utan rapportering är en dörrklocka utan någon hemma. Mottagande mailservrar kontrollerar plikttroget varje meddelande mot den — och deras iakttagelser, listan över alla som skickar som din domän, hamnar ingenstans. Mekanismen fungerar; ägaren lyssnar bara inte.

Vad rua= faktiskt gör

DMARC har två halvor. Policy-halvan (p=none, quarantine eller reject) talar om för mottagare vad de ska göra med mail som misslyckas med autentisering. Rapporterings-halvan — taggen rua=, en brevlådeadress — ber mottagare att skicka dig dagliga aggregerade rapporter: vilka servrar som skickade som din domän, hur mycket mail, och om det klarade SPF och DKIM.

Den andra halvan är hela återkopplingsslingan. Rapporter är hur du upptäcker nyhetsbrevsplattformen ingen dokumenterade, faktureringsverktyget marknadsföring kopplade in, skuggavsändaren i en annan region — innan du tvingar fram efterlevnad och ställer till det för dem. Utan rua= når ingen av den informationen någonsin fram till dig. Att lägga till det kostar en enda DNS-ändring: lägg till rua=mailto:[email protected] (eller adressen till en övervakningstjänst) i den befintliga posten.

Klyftan mellan steg 2 och 3: publicerad och blind

I DMARC-mognadens sex steg börjar steg 3 — Observerar — när DMARC är publicerad och aggregerade rapporter flödar. En post utan rua= kvalificerar inte. Den sitter i klyftan mellan steg 2 och 3 — publicerad och blind — en plats som modellen medvetet lämnar utan ett eget nummer.

Detta spelar roll eftersom varje steg efter det är beroende av rapporterna. Du kan inte identifiera dina avsändare (steg 4) utifrån rapporter du aldrig får; du kan inte tvinga fram efterlevnad säkert (steg 5) utan att känna till dina avsändare. En blind post är inte ett tidigt steg på resan — den är en rastplats strax bredvid den. Och folkräkningen antyder att de flesta postinnehavare står parkerade där eller i närheten: 57.5% av alla DMARC-poster når aldrig efterlevnad.

Sämre än värdelös, eftersom det känns som framsteg

En saknad DMARC-post ser åtminstone ut som det den är: en lucka. En blind ser ut som en bock. Någon körde en efterlevnadschecklista, eller en leveransguide, eller en enradsfix från en leverantör — publicerade v=DMARC1; p=none — och skannern blev grön. Organisationen känner sig nu längre fram än organisationen utan någon post alls, samtidigt som den funktionellt befinner sig på samma ställe: ingen synlighet, ingen efterlevnad, ingen väg till någotdera.

Konsekvensen är tyst och kumulativ. Blinda poster misslyckas inte högljutt; de genererar bara aldrig det underlag som skulle motivera nästa steg. Åratal senare säger posten fortfarande p=none, ingen kan säga vilka avsändare som är legitima, och att tvinga fram efterlevnad känns riskablare än någonsin — just för att inga rapporter någonsin samlades in.

Vad folkräkningen kan och inte kan säga

Eftersom förekomst av rua= mäts över alla 65 miljoner poster — inte korstabellerad per policy — går det exakta antalet p=none-poster som också är blinda inte att härleda från dessa marginaler. Gränserna är ändå slående. 37 miljoner poster (57.4% av postinnehavarna) sitter på p=none; endast 23 miljoner poster i hela folkräkningen begär rapporter. Så som mest 23 miljoner av de p=none-posterna kan ta emot rapporter — och minst 14 miljoner av dem gör det definitivt inte, även om varje rapporteringsadress i folkräkningen tillhörde en p=none-domän. Hur överlappet än faller i verkligheten sitter miljontals domäner i “övervakningsläge” med övervakaren urkopplad.

Fixen med en enda ändring

Om din DMARC-post inte har någon rua=-tagg är fixen en enda DNS-ändring och den är säker på vilken policynivå som helst:

  1. Välj en rapporteringsdestination — en brevlåda du faktiskt kommer att bearbeta, eller en gratis/betald DMARC-övervakningstjänst som gör XML:en till något läsbart.
  2. Lägg till den i posten: v=DMARC1; p=none; rua=mailto:[email protected]. Om destinationen är en annan domän måste den domänen godkänna att ta emot dina rapporter (en liten extra DNS-post på dess sida).
  3. Vänta några dagar, läs sedan. Rapporter anländer dagligen från större mottagare. Vad de visar — varje källa som skickar som din domän — är kartan för resten av resan.

Då slutar posten vara möbel och börjar bli ett instrument. (Fixa DMARC →.)

Vanliga frågor

Vad är en DMARC-rua-rapport? En aggregerad XML-rapport som deltagande mailmottagare skickar (vanligtvis dagligen) till adressen i din posts rua=-tagg, som sammanfattar vilka källor som skickade mail som din domän och om det klarade SPF- och DKIM-justering. Den innehåller inget meddelandeinnehåll — endast avsändarinfrastruktur och antal godkända/underkända.

Är DMARC utan rua värdelös? Inte värdelös — en efterlevnadstvingande policy blockerar fortfarande förfalskning utan den. Men på p=none blockerar en post utan rua= ingenting och visar dig ingenting — dess enda kvarvarande uppgift är att bocka av brevlådeleverantörernas minimikrav. Och även efterlevnadstvingande domäner utan rapportering förlorar den driftdetektering som håller efterlevnaden säker när nya avsändare dyker upp. p=none är inte skydd hur som helst — utan rapporter är det inte ens förberedelse.

Kan rua= peka på vilken brevlåda som helst? Ja, inklusive en på en annan domän — de flesta övervakningstjänster fungerar precis så. Den mottagande domänen publicerar en liten verifieringspost som godkänner dina rapporter. Det som spelar roll är att något faktiskt bearbetar XML:en; en brevlåda ingen läser är blindhet med extra steg.

Exponerar aggregerade rapporter privata data? Nej. rua-aggregerade rapporter innehåller statistik om avsändarkälla och autentisering, inte meddelandetexter eller mottagarlistor. (De separata ruf=-felrapporterna kan innehålla meddelandefragment, vilket är varför många mottagare inte längre skickar dem — rua är den som spelar roll.)

Kontrollera om din post håller vakt

En DMARC-post som inte ber om några rapporter är ett av de enklaste fynden att fixa på hela resan — en enda DNS-ändring förvandlar blind till Observerar. Du kan kontrollera privat och gratis, och se vilka av de 34 kontrollerna du klarar och hur du fixar de du inte klarar.

Kontrollera din domän → · DMARC-mognadens 6 steg → · DMARC-pelaren → · Endast aggregerade data. Data lagras och behandlas i EU.