Defaults.Exposed › รายงาน
6 ขั้นตอนของความครบกำหนด DMARC
เผยแพร่ 2026-07-03 · อัปเดต 2026-07-03
ตัวเลข ณ 2026-06-29 · ระเบียบวิธี v7 นี่คือโมเดลอ้างอิงที่รองรับโดยสำมะโนที่เกิดซ้ำ แต่ละฉบับวัดประชากรเดิมซ้ำเพื่อให้ติดตามตัวเลขได้ตามเวลา ตัวเลขทั้งหมดเป็นข้อมูลรวม — เราไม่เคยเผยแพร่เกรดของธุรกิจแต่ละราย
การเผยแพร่ DMARC ไม่เหมือนกับการมีการป้องกัน
ข้ามโดเมนที่วัด 261 ล้านโดเมน 24.89% เผยแพร่ DMARC record — แต่มีเพียง 10.59% ที่บังคับใช้ พูดอีกแบบ: ในบรรดาโดเมนประมาณ 65 ล้านที่เริ่มการเดินทาง DMARC 57.5% ไม่เคยถึงส่วนที่ป้องกันอะไรได้ พวกเขาเผยแพร่ record ชี้ไปที่การรายงาน และหยุด การศึกษาอิสระขนาดเล็กพบรูปร่างเดียวกัน — รายงานอุตสาหกรรมปี 2026 ฉบับหนึ่งระบุว่า ~9% ที่บังคับใช้ในบรรดาโดเมน ~938,000 โดเมนที่ตรวจสอบ
การนำไปใช้ไม่ใช่ปัญหาอีกต่อไป การป้องกันต่างหาก และโดเมนหยุดด้วยเหตุผลโครงสร้าง: แผนที่ที่ทุกคนใช้ยังขาดความครบถ้วน พวกเขาสิ้นสุดเร็วเกินไป และไม่มีที่ใดที่ให้ขั้นตอนที่ยากที่สุดมีชื่อของตัวเอง
จุดที่แผนที่ที่มีอยู่ยังขาด
โมเดลที่อุตสาหกรรมนำทางถูกสร้างขึ้นสำหรับยุคของพวกเขาและสมควรได้รับการอ่านอย่างเป็นธรรม:
- โมเดล deployment ห้าเฟส ที่ dmarcian ทำให้เป็นที่นิยม (ผู้ก่อตั้งร่วมเขียน DMARC เอง) เดิน deploy → monitor → policy tightening — และถือว่าการถึง
p=rejectเป็นจุดหมายปลายทาง - การดำเนินการตาม RFC —
p=none → quarantine → reject— คือระดับการบังคับใช้สาม ระดับ ไม่ใช่โมเดลความครบกำหนด มันไม่ได้พูดอะไรเกี่ยวกับข้อกำหนดเบื้องต้นและไม่มีอะไรเกี่ยวกับสิ่งที่ตามมาหลังจาก - “Crawl, walk, run” คือโมเดลพื้นบ้าน: ถูกทิศทาง ว่างเปล่าโครงสร้าง
ทั้งสามมีข้อจำกัดสองประการ ประการแรก พวกเขาหยุดที่ p=reject — ราวกับว่าการบังคับใช้คือเส้นชัย ไม่ใช่: มาตรฐานเองพัฒนาต่อไป (DMARCbis — RFC 9989, 9990 และ 9991 — เผยแพร่ในพฤษภาคม 2026 แทนที่ RFC 7489 เดิม) และการบังคับใช้ไม่ทำอะไรสำหรับความปลอดภัยการขนส่งหรือความไว้วางใจแบรนด์ ประการที่สอง — และนี่คือสิ่งที่ทำให้โดเมนติดอยู่จริงๆ — ไม่มีที่ใดที่ทำให้ “ผู้ส่งทุกคนถูกนับรวม” เป็นขั้นตอนที่มีชื่อ เพื่อความเป็นธรรม คู่มือ deployment พูดถึงงาน: โมเดลของ dmarcian รวมการระบุแหล่งที่มาเป็นงานภายใน monitoring phase แต่งานที่ฝังอยู่ภายใน phase นั้นก็คือวิธีที่มันถูกปฏิบัติ — เป็นส่วนหนึ่งของ “monitoring” แทนที่จะเป็นความสำเร็จที่แยกออกมา การดูรายงานที่มาถึงรู้สึกเหมือนความก้าวหน้า มันไม่ใช่ ยัง สาเหตุที่ใหญ่ที่สุดเพียงสาเหตุเดียวที่โดเมนนั่งอยู่ที่ p=none เป็นปีๆ คือพวกเขา เห็น เมลของตนแต่ไม่ได้ นับรวม — ดังนั้นพวกเขาไม่กล้าบังคับใช้ เพราะกลัวจะทำลายบางอย่างที่จริงจัง
โมเดลที่มีประโยชน์ต้องให้ขั้นตอนนั้นมีชื่อของตัวเองและเกณฑ์การออกของตัวเอง โมเดลนี้มี เราเรียกมันว่า DMARC Adoption Maturity Model — DAMM: หกขั้นตอน หนึ่งการเคลื่อนไหวแต่ละ และชื่อที่คุณสามารถอ้างอิงได้
โมเดล
ขั้นที่ 1 — Unprotected ไม่มี DMARC record — หรือ SPF และ DKIM ไม่ครบอยู่ใต้นั้น ใครก็สามารถส่งอีเมลในนามโดเมนของคุณและไม่มีอะไรตรวจสอบที่ใดเลย การเคลื่อนไหว: กำหนดค่า SPF และ DKIM สำหรับเมลหลักของคุณ และยืนยันว่าพวกเขาตรวจสอบตัวตนและ align DMARC สร้างบนทั้งสอง คุณไม่สามารถข้ามพื้นนี้ได้
ขั้นที่ 2 — Authenticated SPF และ DKIM ถูกต้องและ aligning สำหรับ mail flow หลักของคุณ เมลที่ถูกกฎหมายของคุณพิสูจน์ต้นกำเนิด — แต่ไม่มีอะไรบอก inbox ของโลกว่าต้องทำอะไรกับเมลที่ไม่ได้ผ่าน การเคลื่อนไหว: เผยแพร่ DMARC record ที่ p=none พร้อมที่อยู่รายงาน rua=
ขั้นที่ 3 — Observing DMARC เผยแพร่แล้ว รายงานรวมกำลังไหล และเป็นครั้งแรกที่คุณเห็นว่าใครส่งในนามโดเมนของคุณ ไม่มีอะไรถูกบล็อก เครื่องมือส่วนใหญ่เรียกขั้นตอนนี้ว่า “visibility” — เราไม่ทำโดยเจตนา เพราะการเห็นรายงานและเข้าใจรายงานเป็นความสำเร็จที่แตกต่างกัน การเคลื่อนไหว: ระบุ ทุก แหล่งที่ถูกต้องที่ส่งในนามโดเมนของคุณ และให้แต่ละอย่าง align
ขั้นที่ 4 — Visibility ผู้ส่งที่ถูกต้องทุกรายได้รับการระบุและ aligned — แพลตฟอร์ม newsletter ระบบออกใบแจ้งหนี้ CRM สิ่งที่การตลาดลงทะเบียนเมื่อฤดูใบไม้ผลิที่แล้ว คุณรู้จักเมลของคุณ ไม่มีอะไรที่ถูกต้องจะพังถ้าคุณบังคับใช้ นี่คือขั้นตอนที่แผนที่เก่าข้ามและกำแพงที่โดเมนส่วนใหญ่ไม่เคยปีน การเคลื่อนไหว: ยกระดับนโยบาย — p=none → p=quarantine (โหมดทดสอบ t=y ของ DMARCbis ช่วยที่นี่) → p=reject
ขั้นที่ 5 — Enforced p=quarantine หรือ p=reject ใช้งานสด พร้อม subdomain ครอบคลุมโดยนโยบาย sp= ที่ชัดเจน เมลที่ล้มเหลวการตรวจสอบตัวตนถูก quarantine หรือถูกปฏิเสธที่ผู้รับที่เข้าร่วม — ซึ่งรวมถึง mailbox provider รายใหญ่ทุกราย — ดังนั้นการปลอมแปลงโดยตรงของโดเมนที่แน่นอนของคุณหยุดลงที่ที่ DMARC ถูกตรวจสอบ การเคลื่อนไหว: เพิ่มชั้น hardening — np= และ tree-walk coverage ของ DMARCbis MTA-STS และ TLS-RPT สำหรับการขนส่ง BIMI ถ้าการแสดงแบรนด์มีความสำคัญสำหรับคุณ
ขั้นที่ 6 — Hardened & sustained การบังคับใช้บวก stack สมัยใหม่: การครอบคลุม non-existent-subdomain (np=) จาก DMARCbis, MTA-STS และ TLS-RPT รักษาความปลอดภัยเมลระหว่างการขนส่ง BIMI ที่ให้ผลตอบแทนและที่สำคัญที่สุด การตรวจสอบอย่างต่อเนื่อง สำหรับการเบี่ยงเบตและผู้ส่งใหม่ นี่ไม่ใช่เหรียญตรา มันเป็นวินัย ผู้ส่งใหม่ปรากฏ ผู้ให้บริการเปลี่ยน IP การกำหนดค่าเน่า การเคลื่อนไหว: อยู่ที่นี่
เลน no-mail วัดข้ามคลังโดเมนเต็ม — รวมถึงโดเมนที่ตายแล้ว — 51.5% ของโดเมนไม่ได้ใช้บริการเมลเลย และสำหรับพวกเขาการเดินทางยุบเป็นขั้นตอนเดียว โดเมนที่ไม่เคยส่งควรเผยแพร่ SPF
-allและ DMARCp=rejectทันที: ไม่มีเมลที่ถูกกฎหมายที่จะปกป้อง ดังนั้นไม่มีอะไรที่ต้องสังเกตและไม่มีกำแพงที่ต้องปีน โดเมนแบรนด์ที่จอดและหยุดนิ่งไปสู่ Enforced ในการเปลี่ยนแปลง DNS เดียว — และการทำเช่นนั้นปิดเวกเตอร์การปลอมแปลงที่พบบ่อยที่สุดอย่างหนึ่ง
กำแพง: ขั้นที่ 3 → 4
การเปลี่ยนผ่านอื่นๆ ทุกอย่างในโมเดลนี้คือการเปลี่ยนแปลง DNS อันนี้คืองานสอบสวน — และที่ที่เดือนตาย
การไปจาก Observing ไป Visibility หมายถึงการระบุแหล่งส่งทุกรายในรายงานของคุณให้กับระบบจริง: ESP ไหน CRM ไหน relay เมลของสำนักงานภูมิภาคไหน เครื่องมือ SaaS ไหนที่มีคนเชื่อมต่อในปี 2023 และลืม มันหมายถึงการค้นหาผู้ส่ง shadow-IT ที่ไม่มีใครบันทึก มันหมายถึงการแก้ไข alignment ESP ต่อ ESP เพราะแต่ละแพลตฟอร์มมีวิธีของตัวเองในการตรวจสอบตัวตนในนามของคุณ — บางอย่างผิดโดยค่าเริ่มต้น
การข้ามกำแพงคือวิธีที่ DMARC ได้ชื่อเสียงน่ากลัว บังคับใช้จาก Observing — โดยไม่มี Visibility — และคุณ จะ บล็อกอะไรบางอย่างที่จริงจัง: รอบใบแจ้งหนี้ flow การรีเซ็ตรหัสผ่าน newsletter ของ CEO จากนั้นมาการ rollback อย่างตื่นตระหนก การ post-mortem ภายใน และบทเรียนที่ทุกคนเรียนรู้อย่างผิดๆ: “เราลอง DMARC แล้วมันทำลายอีเมล” เรื่อง horror ของ DMARC ส่วนใหญ่คือสิ่งนี้ — การบังคับใช้ที่พยายามก่อนหนึ่งขั้น กำแพงไม่ใช่เหตุผลที่จะหยุดที่ขั้น 3 มันคือเหตุผลที่ขั้น 4 มีอยู่
นี่ยังเป็นขั้นตอนที่เจ้าของมักนำความช่วยเหลือมาบ่อยที่สุด — ผู้ให้บริการ IT หรือบริการ DMARC monitoring สามารถทำงานระบุผู้ส่ง ขั้นตอนยังคงเหมือนกันไม่ว่าจะเป็นแบบไหน
ส่วนที่ทุกคนลืม: ขั้นที่ 5 → 6
การถึง p=reject หยุดการปลอมแปลงโดยตรงของโดเมนของคุณในบรรทัด From: ที่ผู้รับที่ตรวจสอบ นั่นจำเป็น — และไม่เพียงพอ ยังควรตั้งชื่อสิ่งที่การบังคับใช้ไม่เคยครอบคลุม: lookalike domains (yourc0mpany.com) และการปลอมแปลง display-name อยู่ภายนอก DMARC อย่างสิ้นเชิง ดังนั้นการบังคับใช้ปิดประตูโดเมนที่แน่นอนและทิ้งประตูข้างๆ ให้กับความตื่นตัวและการควบคุมอื่นๆ
การบังคับใช้ไม่ทำอะไรสำหรับ การขนส่ง: โดยไม่มี MTA-STS และ TLS-RPT เมลไปยังโดเมนของคุณยังสามารถถูก downgrade หรือดักฟังระหว่างการขนส่ง ไม่ทำอะไรสำหรับ การรับรู้แบรนด์: BIMI — โลโก้ของคุณที่แสดงที่ inbox — เป็นสัญญาณความไว้วางใจ ไม่ใช่การควบคุมความปลอดภัย และเป็นการซื่อสัตย์ที่จะปฏิบัติกับมันเป็นเช่นนั้น (มันยังต้องใช้ใบรับรองที่จ่ายเงิน ซึ่งเป็นเหตุผลที่มันอยู่สุดท้าย ไม่ใช่แรก) และ p=reject ธรรมดาล้าหลัง DMARCbis: แท็ก np= ของ RFC ใหม่และ tree-walk ปิดช่องว่าง non-existent-subdomain ที่ deployment เก่าทิ้งไว้เปิด
โดเมนที่ p=reject โดยไม่มีสิ่งข้างต้นได้รับการปกป้องจากการโจมตีที่พบบ่อยที่สุดและไม่พร้อมสำหรับที่เหลือ นั่นเป็นความแตกต่างจริง และสมควรได้รับขั้นตอนของตัวเอง
ขั้นของคุณวัดได้
โมเดลนี้ไม่ใช่แค่ไดอะแกรม — ขั้นของโดเมนสามารถคำนวณได้ ซึ่งเป็นสิ่งที่แยกมันออกจากโปสเตอร์บนกำแพง
ขั้นที่ 3 ถึง 6 สามารถได้มาจากข้อมูลรายงาน DMARC ของโดเมนเองบวก records ที่เผยแพร่: นโยบายใดที่ live ว่ารายงานไหล และว่าผู้ส่งที่ สังเกต ทุกรายนั้น align หรือไม่ ขั้นที่ 1 และ 2 ถูกประเมินด้วยการตรวจสอบ DNS สด เนื่องจากยังไม่มีรายงาน ข้อจำกัดที่ซื่อสัตย์หนึ่งอย่างในแต่ละทิศทาง: ขั้นที่ 4 ได้รับการยืนยันด้วยหลักฐานตามเวลา — “ผู้ส่งที่สังเกตทุกรายนั้น align ข้ามวันรายงานเพียงพอ” เป็น proxy ที่แข็งแกร่ง แต่ไม่มีรายงานใดที่เปิดเผยผู้ส่งที่คุณยังไม่ได้เชื่อมต่อ และชั้น hardening ของขั้นที่ 6 — MTA-STS, TLS-RPT, BIMI — มองไม่เห็นใน DMARC reports ต้องใช้การตรวจสอบ DNS เพื่อดู โดเมนสามารถดูเหมือน “เสร็จแล้ว” จากรายงานและยังมีช่องว่าง ขั้นที่ 5 → 6 ที่ซ่อนอยู่ นี่คือโมเดลที่การวิเคราะห์รายงานของเราวัดเทียบกับ รวมถึง blockers ด้วย
ตัวอย่างที่ทำงาน
บริษัทขนาดกลางใช้ Microsoft 365 หลัง mail-filtering gateway SPF จบด้วย -all DKIM ถูกกำหนดค่า DMARC เผยแพร่ที่ p=none และรายงานไหลไปยังเครื่องมือ monitoring บนแผนที่เก่านี้ดูเกือบเสร็จ บนแผนที่นี้มันคือ ขั้นที่ 3 — Observing: การตั้งค่าที่ยากเสร็จแล้ว และโดเมนหยุดอยู่ที่กำแพงพอดี — มองเห็นแล้ว ยังไม่ได้รับการป้องกัน การเคลื่อนไหวที่มีมูลค่าสูงสุดคือ 3 → 4 → 5: ยืนยันว่าผู้ส่งที่ถูกกฎหมาย (น่าจะน้อย) ทุกรายนั้น align จากนั้นยกระดับนโยบายเป็นขั้น สำหรับโดเมนในรูปนี้นั่นมักจะใช้เวลาไม่กี่สัปดาห์ ไม่ใช่เดือน — กำแพงสูงที่สุดสำหรับผู้ที่ไม่เคยแมป
ค้นหาขั้นของคุณ
คำถามที่ควรเลิกคือ “เรามี DMARC ไหม?” — 24.89% ของโดเมนสามารถพูดว่าใช่ในขณะที่ 57.5% ของเหล่านั้นยังคงถูกปลอมแปลงได้ คำถามที่ดีกว่าคือ “เราอยู่ที่ขั้นไหน และการเคลื่อนไหวหนึ่งอย่างไปขั้นต่อไปคืออะไร?” ทุกโดเมนบนอินเทอร์เน็ตอยู่ที่หนึ่งในหกขั้นนี้อย่างแน่นอนในวันนี้ การรู้ว่าอยู่ที่ไหนเปลี่ยนความวิตกกังวลเป็น to-do list
คำถามที่พบบ่อย
DAMM คืออะไร? DMARC Adoption Maturity Model — โมเดลหกขั้นในหน้านี้: Unprotected, Authenticated, Observing, Visibility, Enforced, Hardened ขั้นของโดเมนวัดได้จาก DNS และข้อมูลรายงาน DMARC ซึ่งเป็นสิ่งที่แยกมันออกจากโปสเตอร์บนกำแพง
การเผยแพร่ p=none ไม่มีค่าแล้วหรือ? ไม่ — มันคือขั้นที่ 3 และขั้นที่ 3 มีโหลดอยู่: การรายงานคือวิธีที่คุณค้นหาผู้ส่งทุกรายก่อนที่คุณจะบังคับใช้ มันเป็นปัญหาเฉพาะเมื่อถูกปฏิบัติเป็นจุดหมายปลายทาง ดู ทำไม p=none ถึงไม่ใช่การป้องกัน
ฉันสามารถข้ามไปที่ p=reject ได้เลยหรือไม่? ถ้าโดเมนของคุณไม่ส่งเมล — ใช่ วันนี้ และคุณควร ถ้ามันส่งเมล — ไม่: การบังคับใช้โดยไม่มี Visibility (ขั้นที่ 4) คือวิธีที่เมลที่ถูกกฎหมายถูกทำลายและการ rollback เกิดขึ้น ขั้นตอนเป็นเส้นทางที่ปลอดภัย ไม่ใช่พิธีกรรม
ฉันต้องการ BIMI เพื่อ “เสร็จ” หรือไม่? ไม่ BIMI คือชั้นการแสดงแบรนด์ของขั้นที่ 6 และองค์ประกอบที่เป็นทางเลือกที่สุดในโมเดล — MTA-STS, TLS-RPT และการครอบคลุม np= ของ DMARCbis เป็นส่วนที่ hardening จริงๆ ถ้าค่าใช้จ่ายใบรับรองไม่คุ้มค่าสำหรับคุณ ข้ามมันและยึดส่วนที่เหลือของขั้นที่ 6
SPF และ DKIM เข้าที่ไหน? อยู่ใต้ทุกอย่าง — พวกเขาคือขั้นที่ 1 → 2 และ SPF โดยไม่มี DMARC ปกป้องน้อยกว่าที่เจ้าของส่วนใหญ่คิด ตั้งแต่ปี 2024 ผู้รับรายใหญ่ยัง ต้องการการตรวจสอบตัวตนตรงๆ จากผู้ส่งจำนวนมาก
ตรวจสอบว่าโดเมนของคุณอยู่ที่ไหน
ขั้นตอนเหล่านี้คือรูปแบบประชากร — โดเมนของคุณอยู่ที่หนึ่งในนั้นอย่างแน่นอน และการเคลื่อนไหวครั้งต่อไปรู้ได้ คุณสามารถตรวจสอบอย่างเป็นส่วนตัวและฟรี และดูว่าคุณผ่านการตรวจสอบ 34 รายการไหนและวิธีแก้ไขที่ไม่ผ่าน
ตรวจสอบโดเมนของคุณ → · วิธีที่เราให้เกรดอินเทอร์เน็ต → · เสา DMARC → · เฉพาะข้อมูลรวม ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป