Defaults.Exposed

Defaults.Exposed › รายงาน

6 ขั้นตอนของความครบกำหนด DMARC

เผยแพร่ 2026-07-03 · อัปเดต 2026-07-03

ตัวเลข ณ 2026-06-29 · ระเบียบวิธี v7 นี่คือโมเดลอ้างอิงที่รองรับโดยสำมะโนที่เกิดซ้ำ แต่ละฉบับวัดประชากรเดิมซ้ำเพื่อให้ติดตามตัวเลขได้ตามเวลา ตัวเลขทั้งหมดเป็นข้อมูลรวม — เราไม่เคยเผยแพร่เกรดของธุรกิจแต่ละราย

การเผยแพร่ DMARC ไม่เหมือนกับการมีการป้องกัน

ข้ามโดเมนที่วัด 261 ล้านโดเมน 24.89% เผยแพร่ DMARC record — แต่มีเพียง 10.59% ที่บังคับใช้ พูดอีกแบบ: ในบรรดาโดเมนประมาณ 65 ล้านที่เริ่มการเดินทาง DMARC 57.5% ไม่เคยถึงส่วนที่ป้องกันอะไรได้ พวกเขาเผยแพร่ record ชี้ไปที่การรายงาน และหยุด การศึกษาอิสระขนาดเล็กพบรูปร่างเดียวกัน — รายงานอุตสาหกรรมปี 2026 ฉบับหนึ่งระบุว่า ~9% ที่บังคับใช้ในบรรดาโดเมน ~938,000 โดเมนที่ตรวจสอบ

การนำไปใช้ไม่ใช่ปัญหาอีกต่อไป การป้องกันต่างหาก และโดเมนหยุดด้วยเหตุผลโครงสร้าง: แผนที่ที่ทุกคนใช้ยังขาดความครบถ้วน พวกเขาสิ้นสุดเร็วเกินไป และไม่มีที่ใดที่ให้ขั้นตอนที่ยากที่สุดมีชื่อของตัวเอง

จุดที่แผนที่ที่มีอยู่ยังขาด

โมเดลที่อุตสาหกรรมนำทางถูกสร้างขึ้นสำหรับยุคของพวกเขาและสมควรได้รับการอ่านอย่างเป็นธรรม:

ทั้งสามมีข้อจำกัดสองประการ ประการแรก พวกเขาหยุดที่ p=reject — ราวกับว่าการบังคับใช้คือเส้นชัย ไม่ใช่: มาตรฐานเองพัฒนาต่อไป (DMARCbis — RFC 9989, 9990 และ 9991 — เผยแพร่ในพฤษภาคม 2026 แทนที่ RFC 7489 เดิม) และการบังคับใช้ไม่ทำอะไรสำหรับความปลอดภัยการขนส่งหรือความไว้วางใจแบรนด์ ประการที่สอง — และนี่คือสิ่งที่ทำให้โดเมนติดอยู่จริงๆ — ไม่มีที่ใดที่ทำให้ “ผู้ส่งทุกคนถูกนับรวม” เป็นขั้นตอนที่มีชื่อ เพื่อความเป็นธรรม คู่มือ deployment พูดถึงงาน: โมเดลของ dmarcian รวมการระบุแหล่งที่มาเป็นงานภายใน monitoring phase แต่งานที่ฝังอยู่ภายใน phase นั้นก็คือวิธีที่มันถูกปฏิบัติ — เป็นส่วนหนึ่งของ “monitoring” แทนที่จะเป็นความสำเร็จที่แยกออกมา การดูรายงานที่มาถึงรู้สึกเหมือนความก้าวหน้า มันไม่ใช่ ยัง สาเหตุที่ใหญ่ที่สุดเพียงสาเหตุเดียวที่โดเมนนั่งอยู่ที่ p=none เป็นปีๆ คือพวกเขา เห็น เมลของตนแต่ไม่ได้ นับรวม — ดังนั้นพวกเขาไม่กล้าบังคับใช้ เพราะกลัวจะทำลายบางอย่างที่จริงจัง

โมเดลที่มีประโยชน์ต้องให้ขั้นตอนนั้นมีชื่อของตัวเองและเกณฑ์การออกของตัวเอง โมเดลนี้มี เราเรียกมันว่า DMARC Adoption Maturity Model — DAMM: หกขั้นตอน หนึ่งการเคลื่อนไหวแต่ละ และชื่อที่คุณสามารถอ้างอิงได้

โมเดล

หกขั้นตอนของความครบกำหนด DMARC — จาก Unprotected ไป Hardened พร้อมกำแพงระหว่าง Observing และ Visibility

ขั้นที่ 1 — Unprotected ไม่มี DMARC record — หรือ SPF และ DKIM ไม่ครบอยู่ใต้นั้น ใครก็สามารถส่งอีเมลในนามโดเมนของคุณและไม่มีอะไรตรวจสอบที่ใดเลย การเคลื่อนไหว: กำหนดค่า SPF และ DKIM สำหรับเมลหลักของคุณ และยืนยันว่าพวกเขาตรวจสอบตัวตนและ align DMARC สร้างบนทั้งสอง คุณไม่สามารถข้ามพื้นนี้ได้

ขั้นที่ 2 — Authenticated SPF และ DKIM ถูกต้องและ aligning สำหรับ mail flow หลักของคุณ เมลที่ถูกกฎหมายของคุณพิสูจน์ต้นกำเนิด — แต่ไม่มีอะไรบอก inbox ของโลกว่าต้องทำอะไรกับเมลที่ไม่ได้ผ่าน การเคลื่อนไหว: เผยแพร่ DMARC record ที่ p=none พร้อมที่อยู่รายงาน rua=

ขั้นที่ 3 — Observing DMARC เผยแพร่แล้ว รายงานรวมกำลังไหล และเป็นครั้งแรกที่คุณเห็นว่าใครส่งในนามโดเมนของคุณ ไม่มีอะไรถูกบล็อก เครื่องมือส่วนใหญ่เรียกขั้นตอนนี้ว่า “visibility” — เราไม่ทำโดยเจตนา เพราะการเห็นรายงานและเข้าใจรายงานเป็นความสำเร็จที่แตกต่างกัน การเคลื่อนไหว: ระบุ ทุก แหล่งที่ถูกต้องที่ส่งในนามโดเมนของคุณ และให้แต่ละอย่าง align

ขั้นที่ 4 — Visibility ผู้ส่งที่ถูกต้องทุกรายได้รับการระบุและ aligned — แพลตฟอร์ม newsletter ระบบออกใบแจ้งหนี้ CRM สิ่งที่การตลาดลงทะเบียนเมื่อฤดูใบไม้ผลิที่แล้ว คุณรู้จักเมลของคุณ ไม่มีอะไรที่ถูกต้องจะพังถ้าคุณบังคับใช้ นี่คือขั้นตอนที่แผนที่เก่าข้ามและกำแพงที่โดเมนส่วนใหญ่ไม่เคยปีน การเคลื่อนไหว: ยกระดับนโยบาย — p=none → p=quarantine (โหมดทดสอบ t=y ของ DMARCbis ช่วยที่นี่) → p=reject

ขั้นที่ 5 — Enforced p=quarantine หรือ p=reject ใช้งานสด พร้อม subdomain ครอบคลุมโดยนโยบาย sp= ที่ชัดเจน เมลที่ล้มเหลวการตรวจสอบตัวตนถูก quarantine หรือถูกปฏิเสธที่ผู้รับที่เข้าร่วม — ซึ่งรวมถึง mailbox provider รายใหญ่ทุกราย — ดังนั้นการปลอมแปลงโดยตรงของโดเมนที่แน่นอนของคุณหยุดลงที่ที่ DMARC ถูกตรวจสอบ การเคลื่อนไหว: เพิ่มชั้น hardening — np= และ tree-walk coverage ของ DMARCbis MTA-STS และ TLS-RPT สำหรับการขนส่ง BIMI ถ้าการแสดงแบรนด์มีความสำคัญสำหรับคุณ

ขั้นที่ 6 — Hardened & sustained การบังคับใช้บวก stack สมัยใหม่: การครอบคลุม non-existent-subdomain (np=) จาก DMARCbis, MTA-STS และ TLS-RPT รักษาความปลอดภัยเมลระหว่างการขนส่ง BIMI ที่ให้ผลตอบแทนและที่สำคัญที่สุด การตรวจสอบอย่างต่อเนื่อง สำหรับการเบี่ยงเบตและผู้ส่งใหม่ นี่ไม่ใช่เหรียญตรา มันเป็นวินัย ผู้ส่งใหม่ปรากฏ ผู้ให้บริการเปลี่ยน IP การกำหนดค่าเน่า การเคลื่อนไหว: อยู่ที่นี่

เลน no-mail วัดข้ามคลังโดเมนเต็ม — รวมถึงโดเมนที่ตายแล้ว — 51.5% ของโดเมนไม่ได้ใช้บริการเมลเลย และสำหรับพวกเขาการเดินทางยุบเป็นขั้นตอนเดียว โดเมนที่ไม่เคยส่งควรเผยแพร่ SPF -all และ DMARC p=reject ทันที: ไม่มีเมลที่ถูกกฎหมายที่จะปกป้อง ดังนั้นไม่มีอะไรที่ต้องสังเกตและไม่มีกำแพงที่ต้องปีน โดเมนแบรนด์ที่จอดและหยุดนิ่งไปสู่ Enforced ในการเปลี่ยนแปลง DNS เดียว — และการทำเช่นนั้นปิดเวกเตอร์การปลอมแปลงที่พบบ่อยที่สุดอย่างหนึ่ง

กำแพง: ขั้นที่ 3 → 4

การเปลี่ยนผ่านอื่นๆ ทุกอย่างในโมเดลนี้คือการเปลี่ยนแปลง DNS อันนี้คืองานสอบสวน — และที่ที่เดือนตาย

การไปจาก Observing ไป Visibility หมายถึงการระบุแหล่งส่งทุกรายในรายงานของคุณให้กับระบบจริง: ESP ไหน CRM ไหน relay เมลของสำนักงานภูมิภาคไหน เครื่องมือ SaaS ไหนที่มีคนเชื่อมต่อในปี 2023 และลืม มันหมายถึงการค้นหาผู้ส่ง shadow-IT ที่ไม่มีใครบันทึก มันหมายถึงการแก้ไข alignment ESP ต่อ ESP เพราะแต่ละแพลตฟอร์มมีวิธีของตัวเองในการตรวจสอบตัวตนในนามของคุณ — บางอย่างผิดโดยค่าเริ่มต้น

การข้ามกำแพงคือวิธีที่ DMARC ได้ชื่อเสียงน่ากลัว บังคับใช้จาก Observing — โดยไม่มี Visibility — และคุณ จะ บล็อกอะไรบางอย่างที่จริงจัง: รอบใบแจ้งหนี้ flow การรีเซ็ตรหัสผ่าน newsletter ของ CEO จากนั้นมาการ rollback อย่างตื่นตระหนก การ post-mortem ภายใน และบทเรียนที่ทุกคนเรียนรู้อย่างผิดๆ: “เราลอง DMARC แล้วมันทำลายอีเมล” เรื่อง horror ของ DMARC ส่วนใหญ่คือสิ่งนี้ — การบังคับใช้ที่พยายามก่อนหนึ่งขั้น กำแพงไม่ใช่เหตุผลที่จะหยุดที่ขั้น 3 มันคือเหตุผลที่ขั้น 4 มีอยู่

นี่ยังเป็นขั้นตอนที่เจ้าของมักนำความช่วยเหลือมาบ่อยที่สุด — ผู้ให้บริการ IT หรือบริการ DMARC monitoring สามารถทำงานระบุผู้ส่ง ขั้นตอนยังคงเหมือนกันไม่ว่าจะเป็นแบบไหน

ส่วนที่ทุกคนลืม: ขั้นที่ 5 → 6

การถึง p=reject หยุดการปลอมแปลงโดยตรงของโดเมนของคุณในบรรทัด From: ที่ผู้รับที่ตรวจสอบ นั่นจำเป็น — และไม่เพียงพอ ยังควรตั้งชื่อสิ่งที่การบังคับใช้ไม่เคยครอบคลุม: lookalike domains (yourc0mpany.com) และการปลอมแปลง display-name อยู่ภายนอก DMARC อย่างสิ้นเชิง ดังนั้นการบังคับใช้ปิดประตูโดเมนที่แน่นอนและทิ้งประตูข้างๆ ให้กับความตื่นตัวและการควบคุมอื่นๆ

การบังคับใช้ไม่ทำอะไรสำหรับ การขนส่ง: โดยไม่มี MTA-STS และ TLS-RPT เมลไปยังโดเมนของคุณยังสามารถถูก downgrade หรือดักฟังระหว่างการขนส่ง ไม่ทำอะไรสำหรับ การรับรู้แบรนด์: BIMI — โลโก้ของคุณที่แสดงที่ inbox — เป็นสัญญาณความไว้วางใจ ไม่ใช่การควบคุมความปลอดภัย และเป็นการซื่อสัตย์ที่จะปฏิบัติกับมันเป็นเช่นนั้น (มันยังต้องใช้ใบรับรองที่จ่ายเงิน ซึ่งเป็นเหตุผลที่มันอยู่สุดท้าย ไม่ใช่แรก) และ p=reject ธรรมดาล้าหลัง DMARCbis: แท็ก np= ของ RFC ใหม่และ tree-walk ปิดช่องว่าง non-existent-subdomain ที่ deployment เก่าทิ้งไว้เปิด

โดเมนที่ p=reject โดยไม่มีสิ่งข้างต้นได้รับการปกป้องจากการโจมตีที่พบบ่อยที่สุดและไม่พร้อมสำหรับที่เหลือ นั่นเป็นความแตกต่างจริง และสมควรได้รับขั้นตอนของตัวเอง

ขั้นของคุณวัดได้

โมเดลนี้ไม่ใช่แค่ไดอะแกรม — ขั้นของโดเมนสามารถคำนวณได้ ซึ่งเป็นสิ่งที่แยกมันออกจากโปสเตอร์บนกำแพง

ขั้นที่ 3 ถึง 6 สามารถได้มาจากข้อมูลรายงาน DMARC ของโดเมนเองบวก records ที่เผยแพร่: นโยบายใดที่ live ว่ารายงานไหล และว่าผู้ส่งที่ สังเกต ทุกรายนั้น align หรือไม่ ขั้นที่ 1 และ 2 ถูกประเมินด้วยการตรวจสอบ DNS สด เนื่องจากยังไม่มีรายงาน ข้อจำกัดที่ซื่อสัตย์หนึ่งอย่างในแต่ละทิศทาง: ขั้นที่ 4 ได้รับการยืนยันด้วยหลักฐานตามเวลา — “ผู้ส่งที่สังเกตทุกรายนั้น align ข้ามวันรายงานเพียงพอ” เป็น proxy ที่แข็งแกร่ง แต่ไม่มีรายงานใดที่เปิดเผยผู้ส่งที่คุณยังไม่ได้เชื่อมต่อ และชั้น hardening ของขั้นที่ 6 — MTA-STS, TLS-RPT, BIMI — มองไม่เห็นใน DMARC reports ต้องใช้การตรวจสอบ DNS เพื่อดู โดเมนสามารถดูเหมือน “เสร็จแล้ว” จากรายงานและยังมีช่องว่าง ขั้นที่ 5 → 6 ที่ซ่อนอยู่ นี่คือโมเดลที่การวิเคราะห์รายงานของเราวัดเทียบกับ รวมถึง blockers ด้วย

ตัวอย่างที่ทำงาน

บริษัทขนาดกลางใช้ Microsoft 365 หลัง mail-filtering gateway SPF จบด้วย -all DKIM ถูกกำหนดค่า DMARC เผยแพร่ที่ p=none และรายงานไหลไปยังเครื่องมือ monitoring บนแผนที่เก่านี้ดูเกือบเสร็จ บนแผนที่นี้มันคือ ขั้นที่ 3 — Observing: การตั้งค่าที่ยากเสร็จแล้ว และโดเมนหยุดอยู่ที่กำแพงพอดี — มองเห็นแล้ว ยังไม่ได้รับการป้องกัน การเคลื่อนไหวที่มีมูลค่าสูงสุดคือ 3 → 4 → 5: ยืนยันว่าผู้ส่งที่ถูกกฎหมาย (น่าจะน้อย) ทุกรายนั้น align จากนั้นยกระดับนโยบายเป็นขั้น สำหรับโดเมนในรูปนี้นั่นมักจะใช้เวลาไม่กี่สัปดาห์ ไม่ใช่เดือน — กำแพงสูงที่สุดสำหรับผู้ที่ไม่เคยแมป

ค้นหาขั้นของคุณ

คำถามที่ควรเลิกคือ “เรามี DMARC ไหม?” — 24.89% ของโดเมนสามารถพูดว่าใช่ในขณะที่ 57.5% ของเหล่านั้นยังคงถูกปลอมแปลงได้ คำถามที่ดีกว่าคือ “เราอยู่ที่ขั้นไหน และการเคลื่อนไหวหนึ่งอย่างไปขั้นต่อไปคืออะไร?” ทุกโดเมนบนอินเทอร์เน็ตอยู่ที่หนึ่งในหกขั้นนี้อย่างแน่นอนในวันนี้ การรู้ว่าอยู่ที่ไหนเปลี่ยนความวิตกกังวลเป็น to-do list

ที่ที่อินเทอร์เน็ตอยู่ข้ามหกขั้น — โดเมนส่วนใหญ่ไม่มี DMARC record เลย ส่วนใหญ่ที่มีหยุดอยู่ก่อนการบังคับใช้

คำถามที่พบบ่อย

DAMM คืออะไร? DMARC Adoption Maturity Model — โมเดลหกขั้นในหน้านี้: Unprotected, Authenticated, Observing, Visibility, Enforced, Hardened ขั้นของโดเมนวัดได้จาก DNS และข้อมูลรายงาน DMARC ซึ่งเป็นสิ่งที่แยกมันออกจากโปสเตอร์บนกำแพง

การเผยแพร่ p=none ไม่มีค่าแล้วหรือ? ไม่ — มันคือขั้นที่ 3 และขั้นที่ 3 มีโหลดอยู่: การรายงานคือวิธีที่คุณค้นหาผู้ส่งทุกรายก่อนที่คุณจะบังคับใช้ มันเป็นปัญหาเฉพาะเมื่อถูกปฏิบัติเป็นจุดหมายปลายทาง ดู ทำไม p=none ถึงไม่ใช่การป้องกัน

ฉันสามารถข้ามไปที่ p=reject ได้เลยหรือไม่? ถ้าโดเมนของคุณไม่ส่งเมล — ใช่ วันนี้ และคุณควร ถ้ามันส่งเมล — ไม่: การบังคับใช้โดยไม่มี Visibility (ขั้นที่ 4) คือวิธีที่เมลที่ถูกกฎหมายถูกทำลายและการ rollback เกิดขึ้น ขั้นตอนเป็นเส้นทางที่ปลอดภัย ไม่ใช่พิธีกรรม

ฉันต้องการ BIMI เพื่อ “เสร็จ” หรือไม่? ไม่ BIMI คือชั้นการแสดงแบรนด์ของขั้นที่ 6 และองค์ประกอบที่เป็นทางเลือกที่สุดในโมเดล — MTA-STS, TLS-RPT และการครอบคลุม np= ของ DMARCbis เป็นส่วนที่ hardening จริงๆ ถ้าค่าใช้จ่ายใบรับรองไม่คุ้มค่าสำหรับคุณ ข้ามมันและยึดส่วนที่เหลือของขั้นที่ 6

SPF และ DKIM เข้าที่ไหน? อยู่ใต้ทุกอย่าง — พวกเขาคือขั้นที่ 1 → 2 และ SPF โดยไม่มี DMARC ปกป้องน้อยกว่าที่เจ้าของส่วนใหญ่คิด ตั้งแต่ปี 2024 ผู้รับรายใหญ่ยัง ต้องการการตรวจสอบตัวตนตรงๆ จากผู้ส่งจำนวนมาก

ตรวจสอบว่าโดเมนของคุณอยู่ที่ไหน

ขั้นตอนเหล่านี้คือรูปแบบประชากร — โดเมนของคุณอยู่ที่หนึ่งในนั้นอย่างแน่นอน และการเคลื่อนไหวครั้งต่อไปรู้ได้ คุณสามารถตรวจสอบอย่างเป็นส่วนตัวและฟรี และดูว่าคุณผ่านการตรวจสอบ 34 รายการไหนและวิธีแก้ไขที่ไม่ผ่าน

ตรวจสอบโดเมนของคุณ → · วิธีที่เราให้เกรดอินเทอร์เน็ต → · เสา DMARC → · เฉพาะข้อมูลรวม ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป