Defaults.Exposed › รายงาน
เผยแพร่อย่างตาบอด: บันทึก DMARC ส่วนใหญ่ไม่ขอรายงานใด ๆ
เผยแพร่ 2026-07-03 · อัปเดต 2026-07-03
ตัวเลข ณ 2026-06-29 · วิธีการ v7 ข้อมูลสำมะโนจากทุกโดเมนที่เผยแพร่บันทึก DMARC ที่แปลงได้ deduped ต่อโดเมน การมีอยู่ของ
rua=วัดทั่วบันทึก ทั้งหมด ดังนั้นการซ้อนทับที่แน่นอนกับนโยบายใด ๆ นโยบายหนึ่งจึงไม่สามารถอนุมานได้ — ที่ใดที่บทความนี้อ้างสิทธิ์เกี่ยวกับการซ้อนทับนั้น จะระบุขอบเขต ไม่ใช่ cross-tabs ที่แน่นอน ตัวเลขทั้งหมดเป็นภาพรวม — เราไม่เคยเผยแพร่เกรดของธุรกิจแต่ละราย
บันทึก DMARC ส่วนใหญ่ไม่ได้ดูแล
จาก 65 ล้านโดเมนที่เผยแพร่บันทึก DMARC มีเพียง 23 ล้าน — 35.7% — ที่รวม tag rua= ที่ขอรายงานรวม อีก 64.3% เผยแพร่อย่างตาบอด: นโยบายอยู่ในบันทึก แต่ไม่มีใครขอให้แจ้งว่าเกิดอะไรขึ้นภายใต้มัน นั่นคือ 42 ล้านโดเมนที่มีบันทึก DMARC ที่ไม่สามารถแสดงอะไรแก่พวกเขาได้
บันทึก DMARC ที่ไม่มีการรายงานคือกริ่งประตูที่ไม่มีใครอยู่บ้าน ผู้รับเมลตรวจสอบทุกข้อความกับมันอย่างขยันขันแข็ง — และผลการค้นพบของพวกเขา รายชื่อทุกคนที่ส่งในนามโดเมนของคุณ ไม่ไปถึงไหน กลไกทำงาน เจ้าของแค่ไม่ได้ฟัง
rua= ทำอะไรได้จริง ๆ
DMARC มีสองครึ่ง ครึ่ง นโยบาย (p=none, quarantine หรือ reject) บอกผู้รับว่าต้องทำอย่างไรกับเมลที่ล้มเหลวการยืนยันตัวตน ครึ่ง รายงาน — tag rua= ที่อยู่กล่องจดหมาย — ขอให้ผู้รับส่งรายงานรวมประจำวันให้คุณ: เซิร์ฟเวอร์ใดส่งในนามโดเมนของคุณ เมลเท่าไร และผ่าน SPF และ DKIM หรือไม่
ครึ่งที่สองคือ feedback loop ทั้งหมด รายงานคือวิธีที่คุณค้นพบแพลตฟอร์มจดหมายข่าวที่ไม่มีใครบันทึกไว้ เครื่องมือออกใบแจ้งหนี้ที่ marketing เชื่อมต่อ ผู้ส่งเงาในภูมิภาคอื่น — ก่อนที่คุณจะบังคับใช้และทำลายมัน หากไม่มี rua= ข้อมูลข่าวกรองนั้นจะไม่มาถึงคุณเลย การเพิ่มมันต้องแก้ไข DNS เพียงครั้งเดียว: ต่อท้าย rua=mailto:[email protected] (หรือที่อยู่ของบริการตรวจสอบ) กับบันทึกที่มีอยู่
ช่องว่างระหว่างขั้นตอนที่ 2 และ 3: เผยแพร่และตาบอด
ใน หกขั้นตอนของความสมบูรณ์แบบ DMARC ขั้นตอนที่ 3 — การสังเกต — เริ่มต้นเมื่อ DMARC เผยแพร่ และรายงานรวมกำลังไหล บันทึกที่ไม่มี rua= ไม่เข้าเกณฑ์ มันอยู่ในช่องว่างระหว่างขั้นตอนที่ 2 และ 3 — เผยแพร่และตาบอด — สถานที่ที่โมเดลตั้งใจทิ้งไว้โดยไม่มีหมายเลขของตัวเอง
สิ่งนี้สำคัญเพราะทุกขั้นตอนหลังจากนั้นขึ้นอยู่กับรายงาน คุณไม่สามารถระบุผู้ส่งได้ (ขั้นตอนที่ 4) จากรายงานที่คุณไม่เคยได้รับ คุณไม่สามารถบังคับใช้อย่างปลอดภัย (ขั้นตอนที่ 5) โดยไม่รู้จักผู้ส่งของคุณ บันทึกตาบอดไม่ใช่ขั้นตอนแรกบนเส้นทาง — มันคือที่จอดพักนอกเส้นทาง และสำมะโนแนะนำว่าผู้ถือบันทึกส่วนใหญ่จอดอยู่ที่นั่นหรือใกล้เคียง: 57.5% ของบันทึก DMARC ทั้งหมดไม่มีวันถึงการบังคับใช้
แย่กว่าไร้ประโยชน์ เพราะมันรู้สึกเหมือนความก้าวหน้า
บันทึก DMARC ที่หายไปอย่างน้อยดูเหมือนสิ่งที่มันเป็น: ช่องว่าง บันทึกตาบอดดูเหมือนเครื่องหมายถูก บางคนรันรายการตรวจสอบการปฏิบัติตาม หรือคู่มือการส่งมอบ หรือการแก้ไขบรรทัดเดียวจากผู้จำหน่าย — เผยแพร่ v=DMARC1; p=none — และตัวสแกนเปลี่ยนเป็นสีเขียว ตอนนี้องค์กร รู้สึก ว่าก้าวหน้ากว่าองค์กรที่ไม่มีบันทึกเลย ในขณะที่อยู่ในสถานที่เดียวกันโดยหน้าที่: ไม่มีการมองเห็น ไม่มีการบังคับใช้ ไม่มีเส้นทางสู่อย่างใดอย่างหนึ่ง
ผลที่ตามมาเงียบและสะสม บันทึกตาบอดไม่ล้มเหลวดัง พวกมันแค่ไม่สร้างหลักฐานที่จะพิสูจน์การเคลื่อนไหวครั้งต่อไป หลายปีต่อมาบันทึกยังบอกว่า p=none ไม่มีใครบอกได้ว่าผู้ส่งใดที่ถูกต้อง และการบังคับใช้รู้สึกเสี่ยงกว่าที่เคย — เพราะไม่มีรายงานที่รวบรวมเลย
สิ่งที่สำมะโนสามารถและไม่สามารถบอกได้
เพราะการมีอยู่ของ rua= วัดทั่วบันทึก 65 ล้านทั้งหมด — ไม่ใช่ cross-tabbed ต่อนโยบาย — จำนวนที่แน่นอนของบันทึก p=none ที่ยังตาบอดไม่สามารถอนุมานจาก marginals เหล่านี้ได้ ขอบเขตยังคงชัดเจน 37 ล้านบันทึก (57.4% ของผู้ถือบันทึก) อยู่ที่ p=none; มีเพียง 23 ล้านบันทึกในสำมะโนทั้งหมดที่ขอรายงาน ดังนั้น อย่างมาก 23 ล้านของบันทึก p=none เหล่านั้นสามารถรับรายงาน — และอย่างน้อย 14 ล้านของพวกมันแน่นอนไม่ แม้ว่าที่อยู่รายงานทุกอันในสำมะโนเป็นของโดเมน p=none ไม่ว่าการซ้อนทับจะเป็นอย่างไร โดเมนหลายล้านโดเมนกำลังนั่งอยู่ที่ “โหมดตรวจสอบ” โดยมีตัวตรวจสอบถอดปลั๊ก
การแก้ไขด้วยการแก้ไขเดียว
ถ้าบันทึก DMARC ของคุณไม่มี tag rua= การแก้ไขคือการเปลี่ยน DNS เพียงครั้งเดียวและปลอดภัยในทุกระดับนโยบาย:
- เลือกปลายทางการรายงาน — กล่องจดหมายที่คุณจะประมวลผลจริง หรือบริการตรวจสอบ DMARC ฟรี/เสียเงินที่แปลง XML ให้อ่านได้
- ต่อท้ายกับบันทึก:
v=DMARC1; p=none; rua=mailto:[email protected]ถ้าปลายทางอยู่บนโดเมนอื่น โดเมนนั้นต้องอนุญาตให้รับรายงานของคุณ (บันทึก DNS เล็กน้อยบนฝั่งของมัน) - รอสองสามวัน จากนั้นอ่าน รายงานมาถึงทุกวันจากผู้รับหลัก สิ่งที่พวกเขาแสดง — ทุกแหล่งที่ส่งในนามโดเมนของคุณ — คือแผนที่สำหรับส่วนที่เหลือของการเดินทาง
จากนั้นบันทึกหยุดเป็นเฟอร์นิเจอร์และเริ่มเป็นเครื่องมือ (แก้ไข DMARC →.)
คำถามที่พบบ่อย
รายงาน rua ของ DMARC คืออะไร? รายงาน XML รวมที่ผู้รับเมลที่เข้าร่วมส่ง (โดยทั่วไปประจำวัน) ไปยังที่อยู่ใน tag rua= ของบันทึกของคุณ สรุปว่าแหล่งใดส่งเมลในนามโดเมนของคุณและผ่าน SPF และ DKIM alignment หรือไม่ มันไม่มีเนื้อหาข้อความ — เฉพาะโครงสร้างพื้นฐานผู้ส่งและจำนวนผ่าน/ล้มเหลวเท่านั้น
DMARC ที่ไม่มี rua ไร้ค่าหรือไม่? ไม่ไร้ค่า — นโยบายที่บังคับใช้ยังบล็อกการปลอมแปลงได้โดยไม่มีมัน แต่ที่ p=none บันทึกที่ไม่มี rua= ปิดกั้นอะไรไม่ได้และแสดงอะไรไม่ได้ — งานที่เหลืออยู่เพียงอย่างเดียวคือการติ๊กกล่องข้อกำหนดขั้นต่ำของผู้ให้บริการกล่องจดหมาย และแม้แต่โดเมนที่บังคับใช้โดยไม่มีการรายงานก็สูญเสีย drift-detection ที่ทำให้การบังคับใช้ปลอดภัยเมื่อผู้ส่งใหม่ปรากฏ p=none ไม่ใช่การป้องกัน ไม่ว่าทางใด — หากไม่มีรายงานมันยังไม่ใช่การเตรียมตัว
rua= สามารถชี้ไปที่กล่องจดหมายใด ๆ ได้หรือไม่? ใช่ รวมถึงกล่องจดหมายบนโดเมนอื่น — บริการตรวจสอบส่วนใหญ่ทำงานในลักษณะนั้นจริง ๆ โดเมนที่รับเผยแพร่บันทึกการตรวจสอบขนาดเล็กที่อนุญาตรายงานของคุณ สิ่งสำคัญคือบางอย่างประมวลผล XML จริง ๆ กล่องจดหมายที่ไม่มีใครอ่านคือความตาบอดที่มีขั้นตอนเพิ่มเติม
รายงานรวมเปิดเผยข้อมูลส่วนตัวหรือไม่? ไม่ รายงานรวม rua มีสถิติแหล่งส่งและการยืนยันตัวตน ไม่ใช่เนื้อหาข้อความหรือรายชื่อผู้รับ (รายงานความล้มเหลว ruf= แยกต่างหากสามารถมีส่วนของข้อความได้ ซึ่งเป็นเหตุผลที่ผู้รับหลายรายไม่ส่งอีกต่อไป — rua คือสิ่งที่สำคัญ)
ตรวจสอบว่าบันทึกของคุณกำลังดูแลหรือไม่
บันทึก DMARC ที่ไม่ขอรายงานเป็นหนึ่งในสิ่งที่ง่ายที่สุดที่จะแก้ไขในการเดินทางทั้งหมด — การแก้ไข DNS เพียงครั้งเดียวเปลี่ยนตาบอดเป็นการสังเกต คุณสามารถตรวจสอบส่วนตัวและฟรี และดูว่าคุณผ่านการตรวจสอบ 34 รายการใดบ้างและวิธีแก้ไขที่ไม่ผ่าน
ตรวจสอบโดเมนของคุณ → · 6 ขั้นตอนของความสมบูรณ์แบบ DMARC → · เสาหลัก DMARC → · เฉพาะข้อมูลรวม ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป