Defaults.Exposed

Defaults.Exposed › Rapporter

De 6 mognadsstegen för DMARC

Publicerad 2026-07-03 · uppdaterad 2026-07-03

Siffror per 2026-06-29 · metodik v7. Detta är en referensmodell som stöttas av en återkommande folkräkning; varje utgåva mäter om samma population så att siffrorna kan följas över tid. Alla siffror är aggregerade – vi publicerar aldrig ett enskilt företags betyg.

Att publicera DMARC är inte samma sak som att vara skyddad

Av 261 miljoner uppmätta domäner publicerar 24.89% en DMARC-post – men bara 10.59% tillämpar en. Uttryckt på ett annat sätt: av de ungefär 65 miljoner domäner som påbörjade DMARC-resan nådde 57.5% aldrig fram till den del som blockerar något. De publicerade en post, pekade rapporteringen någonstans, och stannade av. Mindre oberoende studier finner samma mönster – en branschrapport från 2026 satte siffran till ~9% som tillämpar bland de ~938 000 domäner den granskade.

Införandet är inte längre problemet. Skyddet är det. Och domäner fastnar av ett strukturellt skäl: de kartor alla använder stannar för tidigt. De slutar för snart, och ingen av dem ger det svåraste steget ett eget namn.

Där de befintliga kartorna tar slut

De modeller branschen navigerar efter var rätt för sin tid och förtjänar en rättvis läsning:

Alla tre delar två begränsningar. För det första stannar de vid p=reject – som om tillämpning vore mållinjen. Det är den inte: själva standarden har gått vidare (DMARCbis – RFC 9989, 9990 och 9991 – publicerades i maj 2026 och ersatte den ursprungliga RFC 7489), och tillämpning gör ingenting för transportsäkerhet eller varumärkesförtroende. För det andra – och det är detta som faktiskt strandsätter domäner – gör ingen av dem “varje avsändare redovisad” till ett eget namngivet steg. För rättvisans skull: införandeguiderna nämner arbetet – dmarcians modell inkluderar källidentifiering som en uppgift inuti sin övervakningsfas. Men en uppgift begravd inuti en fas är precis så den behandlas – som en del av “övervakning” snarare än den separata bedrift den är. Att se rapporter komma in känns som framsteg. Det är det inte, inte än. Det enskilt största skälet till att domäner sitter kvar på p=none i åratal är att de kan se sin e-post men inte har redovisat för den – så de vågar inte tillämpa, av rädsla för att bryta något verkligt.

En användbar modell behöver ge det steget ett eget namn och egna utträdeskriterier. Denna gör det. Vi kallar den DMARC Adoption Maturity Model – DAMM: sex steg, ett drag var, och ett namn du kan hänvisa till.

Modellen

De sex mognadsstegen för DMARC – från Oskyddad till Härdad, med väggen mellan Observerande och Synlighet

Steg 1 — Oskyddad. Ingen DMARC-post – eller så är SPF och DKIM ofullständiga under den. Vem som helst kan skicka e-post som din domän, och ingenting någonstans kontrollerar. Draget: konfigurera SPF och DKIM för din primära e-post, och bekräfta att de autentiserar och stämmer överens (alignment). DMARC bygger på båda; du kan inte hoppa över detta golv.

Steg 2 — Autentiserad. SPF och DKIM är korrekta och stämmer överens för ditt huvudsakliga e-postflöde. Din legitima e-post bevisar sitt ursprung – men ingenting talar om för världens inkorgar vad de ska göra med e-post som inte gör det. Draget: publicera en DMARC-post med p=none och en rua=-rapporteringsadress.

Steg 3 — Observerande. DMARC är publicerad, aggregerade rapporter flödar in, och för första gången kan du se vem som skickar som din domän. Ingenting blockeras. De flesta verktyg kallar detta steg för “synlighet” – det gör inte vi, medvetet, eftersom att se rapporter och att förstå dem är olika bedrifter. Draget: identifiera varje legitim källa som skickar som din domän, och få var och en av dem att stämma överens.

Steg 4 — Synlighet. Varje legitim avsändare är identifierad och stämmer överens – nyhetsbrevsplattformen, faktureringssystemet, CRM:et, den där tjänsten marknadsföringen registrerade sig för i våras. Du känner din e-post. Ingenting legitimt kommer att brytas om du tillämpar. Detta är steget de gamla kartorna hoppar över, och väggen som de flesta domäner aldrig klättrar över. Draget: höj policyn – p=none → p=quarantine (DMARCbis testläge t=y hjälper här) → p=reject.

Steg 5 — Tillämpad. p=quarantine eller p=reject är live, med underdomäner täckta av en explicit sp=-policy. E-post som misslyckas med autentiseringen sätts nu faktiskt i karantän eller avvisas hos deltagande mottagare – vilket inkluderar varje stor inkorgsleverantör – så direkt förfalskning (spoofing) av exakt din domän slutar landa där DMARC kontrolleras. Draget: lägg till härdningsskiktet – DMARCbis np= och tree-walk-täckning, MTA-STS och TLS-RPT för transport, BIMI om varumärkesvisning är viktigt för dig.

Steg 6 — Härdad och upprätthållen. Tillämpning plus den moderna stacken: täckning för icke-existerande underdomäner (np=) från DMARCbis, MTA-STS och TLS-RPT som säkrar e-post under transport, BIMI där det bär sina kostnader – och, avgörande, kontinuerlig övervakning för avdrift och nya avsändare. Detta är inget märke; det är en disciplin. Nya avsändare dyker upp, leverantörer byter IP-adresser, konfigurationer förfaller. Draget: stanna här.

Icke-e-post-filen. Mätt över hela domäninventariet – döda domäner inräknade – kör 51.5% av domänerna ingen e-posttjänst alls, och för dem kollapsar resan till ett enda steg. En domän som aldrig skickar bör publicera SPF -all och DMARC p=reject omedelbart: det finns ingen legitim e-post att skydda, så det finns ingenting att observera och ingen vägg att klättra över. Parkerade och vilande varumärkesdomäner går rakt till Tillämpad i en enda DNS-ändring – och att göra så stänger av en av de vanligaste vektorerna för identitetsförfalskning som finns.

Väggen: Steg 3 → 4

Varje annan övergång i denna modell är en DNS-ändring. Denna är utredningsarbete – och det är här månaderna dör.

Att ta sig från Observerande till Synlighet innebär att tillskriva varje avsändande källa i dina rapporter till ett verkligt system: vilken ESP, vilket CRM, vilket regionkontors e-postrelä, vilket SaaS-verktyg någon anslöt 2023 och glömde. Det innebär att hitta de skugg-IT-avsändare ingen dokumenterade. Det innebär att fixa alignment ESP för ESP, eftersom varje plattform har sitt eget sätt att autentisera å dina vägnar – vissa av dem fel som standard.

Att hoppa över väggen är hur DMARC fick sitt skrämmande rykte. Tillämpa från Observerande – utan Synlighet – och du kommer att blockera något verkligt: en fakturakörning, ett lösenordsåterställningsflöde, VD:ns nyhetsbrev. Sedan kommer den panikslagna återgången till p=none, den interna utvärderingen, och lärdomen alla drar fel: “vi provade DMARC och det bröt e-posten.” De flesta DMARC-skräckhistorier är precis detta – tillämpning försökt ett steg för tidigt. Väggen är inte ett skäl att stanna på Steg 3. Den är skälet till att Steg 4 existerar.

Detta är också det steg där ägare oftast tar in hjälp – en IT-leverantör eller en DMARC-övervakningstjänst kan göra avsändaridentifieringsarbetet; stegen förblir desamma oavsett.

Delen alla glömmer: Steg 5 → 6

Att nå p=reject stoppar direkt förfalskning av din domän i From:-raden, hos de mottagare som kontrollerar den. Det är nödvändigt – och det är inte tillräckligt. Det är också värt att namnge vad tillämpning aldrig täckte: efterliknande domäner (yourc0mpany.com) och förfalskning av visningsnamn ligger helt utanför DMARC:s räckvidd, så tillämpning stänger dörren för exakt-domänen och lämnar grannarna till vaksamhet och andra kontroller.

Tillämpning gör ingenting för transport: utan MTA-STS och TLS-RPT kan e-post till din domän fortfarande nedgraderas eller avlyssnas under transport. Den gör ingenting för varumärkesigenkänning: BIMI – din logotyp, visad vid inkorgen – är en förtroendesignal, inte en säkerhetskontroll, och det är ärligt att behandla den som en sådan (den kräver dessutom ett betalt certifikat, vilket är varför den kommer sist, inte först). Och rent p=reject föregår DMARCbis: de nya RFC:ernas np=-tagg och tree-walk stänger den lucka för icke-existerande underdomäner som äldre driftsättningar lämnar öppen.

En domän på p=reject med inget av ovanstående är skyddad mot den vanligaste attacken och oförberedd på resten. Det är en verklig distinktion, och den förtjänar ett eget steg.

Ditt steg är mätbart

Denna modell är inte bara ett diagram – en domäns steg är beräkningsbart, vilket är vad som skiljer den från en affisch på en vägg.

Steg 3 till 6 kan härledas från en domäns egna DMARC-rapporteringsdata plus dess publicerade poster: vilken policy som är live, om rapporter flödar, och om varje observerad avsändare stämmer överens. Steg 1 och 2 bedöms med en live DNS-kontroll, eftersom inga rapporter finns ännu. En ärlig begränsning i vardera riktningen: Steg 4 bekräftas av bevis över tid – “varje observerad avsändare stämmer överens över tillräckligt många rapporteringsdagar” är en stark indikator, men ingen rapport kan avslöja den avsändare du ännu inte anslutit. Och Steg 6:s härdningsskikt – MTA-STS, TLS-RPT, BIMI – är osynligt i DMARC-rapporter; det krävs en DNS-kontroll för att se det. En domän kan se “färdig” ut utifrån sina rapporter och ändå bära en dold lucka mellan Steg 5 → 6. Detta är modellen som vår egen rapporteringsanalys mäter mot, blockerare och allt.

Ett genomarbetat exempel

Ett medelstort företag kör Microsoft 365 bakom en e-postfiltrerande gateway. SPF slutar med -all, DKIM är konfigurerad, DMARC är publicerad med p=none, och rapporter flödar till ett övervakningsverktyg. På de gamla kartorna ser detta nästan färdigt ut. På denna är det Steg 3 — Observerande: den svåra uppsättningen är klar, och domänen har fastnat exakt vid väggen – synlig, inte skyddad. Det mest värdefulla draget är 3 → 4 → 5: bekräfta att de (troligen få) legitima avsändarna alla stämmer överens, och höj sedan policyn i steg. För en domän i denna form är det oftast veckor av uppmärksamhet, inte månader – väggen är högst för dem som aldrig kartlägger den.

Hitta ditt steg

Frågan som ska pensioneras är “har vi DMARC?” – 24.89% av domänerna kan säga ja medan 57.5% av dem förblir förfalskningsbara. Den bättre frågan är “vilket steg är vi på, och vad är det enda draget till nästa?” Varje domän på internet befinner sig på exakt ett av dessa sex steg idag. Att veta vilket förvandlar en oro till en att-göra-lista.

Var internet befinner sig över de sex stegen – de flesta domäner har ingen DMARC-post alls; de flesta av dem som har det har fastnat före tillämpning

Vanliga frågor

Vad är DAMM? DMARC Adoption Maturity Model – sexstegsmodellen på denna sida: Oskyddad, Autentiserad, Observerande, Synlighet, Tillämpad, Härdad. En domäns steg är mätbart utifrån dess DNS och dess DMARC-rapporteringsdata, vilket är vad som skiljer den från en affisch på en vägg.

Är det då värdelöst att publicera p=none? Nej – det är Steg 3, och Steg 3 är bärande: rapportering är hur du hittar varje avsändare innan du tillämpar. Det blir bara ett problem när det behandlas som ett slutmål. Se varför p=none inte är skydd.

Kan jag hoppa direkt till p=reject? Om din domän inte skickar någon e-post – ja, idag, och det bör du. Om den skickar e-post – nej: att tillämpa utan Synlighet (Steg 4) är hur legitim e-post bryts och återgångar sker. Stegen är den säkra vägen, inte ceremoni.

Behöver jag BIMI för att vara “färdig”? Nej. BIMI är varumärkesvisningsskiktet i Steg 6 och det mest valfria elementet i modellen – MTA-STS, TLS-RPT och DMARCbis np=-täckning är de delar som materiellt härdar en domän. Om certifikatkostnaden inte är motiverad för dig, hoppa över den och behåll resten av Steg 6.

Var passar SPF och DKIM in? Under allt – de är Steg 1 → 2, och SPF utan DMARC skyddar mindre än de flesta ägare antar. Sedan 2024 har stora mottagare dessutom krävt autentisering rakt av från massutskickare.

Kontrollera var din egen domän står

Dessa steg är populationsmönster – din domän är på exakt ett av dem, och nästa drag är känt. Du kan kontrollera privat och gratis, och se vilka av de 34 kontrollerna du klarar och hur du åtgärdar dem du inte klarar.

Kontrollera din domän → · Så betygsatte vi internet → · DMARC-pelaren → · Endast aggregerade data. Data lagras och behandlas i EU.