Defaults.Exposed › การแก้ไข › Guides
DMARC p=none ไปสู่ p=reject โดยไม่สูญเสียอีเมลที่ถูกกฎหมาย: การ Rollout แบบแบ่งระยะ (2026)
เผยแพร่ 2026-07-08
ตัวเลข ณ วันที่ 2026-06-29 · ระเบียบวิธี v7 ข้อมูลสำมะโนรวมทั่ว 261 ล้านโดเมนที่ได้รับการให้คะแนน ดู วิธีที่เราให้คะแนน
ย้าย DMARC จาก p=none ไปสู่ p=reject ในสี่ระยะ: monitor rua report 2–4 สัปดาห์, แก้ไข sender ที่ถูกกฎหมายทุกราย, ramp p=quarantine ด้วย pct, จากนั้น reject — อย่าข้ามไป reject โดยตรง 70,368,600 ของ 261,086,232 โดเมนที่ได้รับการให้คะแนนยังค้างอยู่ที่ soft SPF โดยไม่มีการบังคับใช้ DMARC ตามสำมะโน Defaults.Exposed
นี่คือ runbook การปฏิบัติงาน: ตาราง stages พร้อมเกณฑ์การออก, ระเบียนสำหรับแต่ละระยะ, ความละเอียดอ่อนของ pct ใน RFC 7489 ที่เปลี่ยนความหมายของ “50%” ที่ reject, และ tag sp= สำหรับ subdomain หากคุณกำลังตัดสินใจว่าจะบังคับใช้หรือไม่ อ่าน 6 ระยะของวุฒิภาวะ DMARC ก่อน — นั่นคือกรอบงาน; และถ้าระดับนโยบายเองยังใหม่สำหรับคุณ p=none, p=quarantine และ p=reject หมายความว่าอะไรจริงๆ คือ primer หน้านี้คือการทำ
ทำไมถึงข้ามตรงไป p=reject ไม่ได้?
เพราะ p=reject บอกทุก receiver ที่ปฏิบัติตามให้ bounce อีเมลที่ล้มเหลว DMARC — และจนกว่าคุณจะดูรายงานของคุณ คุณไม่รู้ว่าอะไรล้มเหลว เกือบทุกโดเมนที่เปิดใช้งานการ monitor ค้นพบ sender ที่ถูกกฎหมายที่ลืมไป: CRM, เครื่องมือ invoicing, contact form ข้ามไป reject วันแรกและอีเมลนั้นไม่ไปยัง spam; มันหายไปที่เวลา SMTP การสูญเสีย invoice run สอนให้องค์กรกลัว DMARC และระเบียนถูกย้อนกลับไปที่ p=none ถาวร — ของ 261,086,232 โดเมนที่ได้รับการให้คะแนน 37,312,637 อยู่ที่นั่นพอดี และมีเพียง 10.59% (27,640,987) เคยไปถึงนโยบายที่บังคับใช้
เหตุผลอีกอย่างคือการจัดตำแหน่ง DMARC ผ่านเฉพาะเมื่อ SPF หรือ DKIM ผ่าน และ จัดตำแหน่งกับโดเมน From ที่มองเห็น — SPF กับโดเมน Return-Path (RFC5321.MailFrom), DKIM กับ d= ของลายเซ็น Sender ของบุคคลที่สามมักผ่าน SPF บนโดเมน ของพวกเขา ไม่ใช่ของคุณ ซึ่งเป็นเหตุผลที่ระยะแก้ไข-ทุก-แหล่งส่วนใหญ่เกี่ยวกับการเปิดใช้งาน DKIM ด้วยโดเมนที่กำหนดเองของผู้ขายแต่ละราย — อธิบายรายละเอียดใน DMARC ล้มเหลวแต่ SPF และ DKIM ผ่าน
สี่ระยะการ rollout มีอะไรบ้าง?
| ระยะ | ระเบียนนโยบาย | pct | สิ่งที่เกิดขึ้นกับอีเมลที่ล้มเหลว | เกณฑ์การออก |
|---|---|---|---|---|
| 1. Monitor | p=none; rua=mailto:… | — | ส่งตามปกติ; คุณรับรายงาน aggregate | 2–4 สัปดาห์ของรายงาน; ทุก sender ที่ระบุเป็นถูกกฎหมายหรือไม่ |
| 2. แก้ไขแหล่ง | p=none (ไม่เปลี่ยน) | — | ยังส่งตามปกติ | ทุกแหล่งที่ถูกกฎหมายผ่าน DMARC ด้วยการจัดตำแหน่ง (DKIM ด้วยโดเมนที่กำหนดเองต่อผู้ส่ง); ความล้มเหลวที่เหลืออยู่เป็น traffic ที่ไม่รู้จัก/ปลอมแปลงเท่านั้น |
| 3. Ramp Quarantine | p=quarantine | 10 → 25 → 50 → 100 | ส่วนแบ่งที่สุ่มตัวอย่างไปยังโฟลเดอร์ spam; ส่วนที่ถูก sample out ถูกปฏิบัติเหมือน p=none (ส่ง) | 1–2 สัปดาห์ที่ pct=100 โดยไม่มีอีเมลที่ถูกกฎหมายถูก quarantine |
| 4. Reject | p=reject | 100 | Bounce ที่เวลา SMTP; ผู้ส่งรับ bounce ผู้รับไม่เห็นอะไร | ต่อเนื่อง — เก็บ rua ไว้ตลอดไปเพื่อจับ sender ใหม่ |
ข้อมูล ณ วันที่ 2026-06-29; พฤติกรรมนโยบายตาม RFC 7489
ระยะที่ 3 คือที่โดเมนหยุดหรือตื่นตกใจ การ spam-folder นั้นกู้คืนได้ — ผู้ใช้ค้นพบอีเมล คุณคลาย pct คุณแก้ไขแหล่ง การปฏิเสธกู้คืนไม่ได้ ซึ่งเป็นเหตุผลที่ quarantine ที่ pct=100 ที่ทำงาน clean คือตั๋วเข้าระยะที่ 4
คุณจะ run rollout ทีละขั้นตอนได้อย่างไร?
- สแกนฟรีที่ defaults.exposed ก่อนแตะ DNS มันยืนยันนโยบายปัจจุบันของคุณและว่า SPF และ DKIM มีอยู่ด้านล่าง — ขาสองข้างที่การบังคับใช้ตั้งอยู่
- เปิดใช้งานการ monitor ถ้าคุณยังไม่ทำ การเผยแพร่
p=noneด้วยrua=คือขั้นตอนห้านาทีใน “DMARC policy not enabled” รวบรวม 2–4 สัปดาห์ของรายงาน — พอที่จะจับ sender รายเดือนเช่น invoice run - ระบุทุก sender ในรายงาน จัดเรียง sender เป็นของคุณ, ของผู้ขาย, และที่ไม่รู้จัก รายงาน raw มาเป็น XML — เครื่องมือประมวลผลรายงาน (หรือ dashboard ของผู้ให้บริการ) เปลี่ยนพวกมันเป็นรายการ sender ที่อ่านได้
- ทำให้ sender ที่ถูกกฎหมายทุกรายผ่านด้วยการจัดตำแหน่ง เปิดใช้งาน DKIM ด้วยโดเมนที่กำหนดเองของผู้ขายแต่ละราย (โดยปกติระเบียน CNAME สองตัวใน dashboard ของพวกเขา) เพื่อให้ลายเซ็นถือโดเมนของคุณ ไม่ใช่ของพวกเขา ต้องการ DKIM สำหรับการจัดตำแหน่ง: มันรอดชีวิตจากการส่งต่อ SPF ไม่รอดชีวิต
- รอสองสัปดาห์ clean ออกจากระยะที่ 2 เฉพาะเมื่อความล้มเหลวที่รายงานเป็น traffic ที่คุณไม่รู้จักแต่เพียงอย่างเดียว — การปลอมแปลงที่คุณ ต้องการ บล็อก
- ย้ายไปยัง
p=quarantine; pct=10— แก้ไขระเบียน_dmarcTXT ที่มีอยู่ (ตัวอย่างการทำงาน: การตั้งค่า IONOS DMARC) และดู syntax: typo ในแท็กนโยบายสามารถทำให้ระเบียนเป็นโมฆะได้ทั้งหมด Ramp pct ไปที่ 25, 50, 100 กว่า 2–4 สัปดาห์ ดูรายงานและ ticket ของ helpdesk อะไรที่ถูกกฎหมายใน spam: ลด pct กลับ แก้ไขแหล่ง ดำเนินการต่อ - ย้ายไปยัง
p=rejectหลังจาก 1–2 สัปดาห์ clean ที่pct=100เก็บrua=ไว้ถาวร — ทุกเครื่องมือใหม่ที่บริษัทของคุณรับมาคือ sender ที่ล้มเหลวในอนาคต
pct ทำอะไรจริงๆ? ความละเอียดอ่อนของ RFC 7489
pct ขอให้ receiver ใช้นโยบายของคุณกับเปอร์เซ็นต์ของอีเมลที่ล้มเหลวนั้น ความละเอียดอ่อนจาก RFC 7489 §6.6.4: อีเมลที่ถูก sample out ไม่ fallback ไปยัง “ส่งตามปกติ” — มันได้รับ นโยบายที่เข้มงวดน้อยกว่าถัดไป ภายใต้ p=quarantine; pct=25 อีก 75% ถูกปฏิบัติเป็น p=none และส่ง แต่ภายใต้ p=reject; pct=50 อีก 50% ถูก quarantine ไม่ใช่ส่ง ไม่มี reject ที่อ่อนโยน: ตั้งแต่ระเบียนของคุณพูดว่า reject ทุกข้อความที่ล้มเหลวอย่างน้อยถูก spam-folder ที่ receiver ที่ปฏิบัติตาม
ใช้โดยตั้งใจ นั่นคือคุณสมบัติ — p=reject; pct=1 ประพฤติเป็น “quarantine เกือบทุกอย่าง reject หยดหนึ่ง” เป็น on-ramp สุดท้ายที่ถูกกฎหมาย สองข้อควรระวัง: receiver ไม่ได้ implement การ sampling อย่างเดียวกันทั้งหมด ดังนั้นปฏิบัติต่อ pct เป็น dial คร่าวๆ; และลบ tag (หรือตั้งค่า pct=100) เมื่อระยะที่ 4 เสถียร เพื่อให้ระเบียนพูดในสิ่งที่คุณหมายถึง
แล้ว subdomain — tag sp=?
โดยค่าเริ่มต้น subdomain สืบทอดนโยบายของ organizational domain: p=reject ที่ yourdomain.com ครอบคลุม mail.yourdomain.com ด้วย tag sp= ให้พวกมันแยกออก ทั้งในทิศทางที่มีประโยชน์และอันตราย มีประโยชน์: p=quarantine; sp=reject ล็อค subdomain ที่คุณไม่เคยส่งจากในขณะที่ apex ยังกลางระยะ — spoofer ตั้งใจเล็งไปที่ subdomain ของโดเมนที่ monitor อันตราย: sp=none ที่ถูกลืมยกเว้น subdomain ทุกตัวอย่างเงียบๆ จากนโยบาย reject ที่คุณใช้เวลาหกสัปดาห์ได้มา ตรวจสอบมันที่ระยะที่ 4; ถ้า subdomain หนึ่งต้องการนโยบายที่ผ่อนคลายกว่าจริงๆ เผยแพร่ระเบียน _dmarc บน subdomain นั้นแทนการผ่อนคลายทั้งหมด
NIS2 หมายความว่าธุรกิจในสหภาพยุโรปต้องทำสิ่งนี้หรือไม่?
DMARC ทำงานเหมือนกันทุกที่ — ไม่มีอะไรใน runbook นี้เปลี่ยนที่ขอบเขตสหภาพยุโรป สิ่งที่เปลี่ยนคือการดึงการปฏิบัติตาม NIS2 Article 21(2)(j) ต้องการให้หน่วยงานที่อยู่ในขอบเขตรักษาความปลอดภัยการสื่อสารของตน และ Commission Implementing Regulation (EU) 2024/2690 ระบุข้อกำหนดทางเทคนิคสำหรับหน่วยงานโครงสร้างพื้นฐานดิจิทัลที่ครอบคลุม — ภาคผนวก (จุด 6.7.2(k)) ต้องการแผนการ implement สำหรับการใช้มาตรฐานความปลอดภัยอีเมลสมัยใหม่ที่ตกลงกันในระดับนานาชาติ และจุด 6.7.2(l) ต้องการ best practice ความปลอดภัย DNS นโยบาย DMARC ที่บังคับใช้ ด้วย SPF และ DKIM ข้างใต้ คือการควบคุมที่ตรวจสอบได้ที่ยอมรับสำหรับการปลอมแปลง; p=none เป็น monitor อย่างชัดเจน ไม่ใช่การรักษาความปลอดภัย ถ้าลูกค้าของคุณอยู่ในขอบเขต แบบสอบถามผู้จัดหาของพวกเขาถามสิ่งเหล่านี้มากขึ้น
คำถามที่พบบ่อย
การ rollout ทั้งหมดใช้เวลานานแค่ไหน? หกถึงสิบสัปดาห์เป็นเรื่องปกติ: 2–4 สัปดาห์ monitor, 1–3 สัปดาห์แก้ไขแหล่ง, 2–4 สัปดาห์ ramp quarantine, จากนั้น reject มันคือเวลาปฏิทิน ไม่ใช่ความพยายาม — ส่วนใหญ่รอรายงานยืนยันแต่ละการเปลี่ยนแปลง 89.41% ของ 261,086,232 โดเมนที่ได้รับการให้คะแนนที่ไม่มีนโยบายที่บังคับใช้ (ข้อมูล ณ 2026-06-29) ส่วนใหญ่ไม่ได้อยู่กลาง-rollout; พวกเขาไม่เริ่มนาฬิกาเลย
ฉันสามารถข้าม quarantine และใช้ p=reject ด้วย pct ต่ำแทนได้หรือไม่?
ได้ — ตาม RFC 7489 §6.6.4, p=reject; pct=10 หมายความว่า 10% reject และ 90% quarantine ซึ่งค่อนข้างเหมือนระยะที่ 3 ตอนปลาย แต่ p=quarantine ก่อนง่ายกว่าที่จะคิดถึง และ receiver แตกต่างกันว่าพวกเขา sample อย่างซื่อสัตย์เพียงใด ไม่ว่าจะเป็นอย่างไร ระยะที่ 1–2 ไม่สามารถต่อรองได้: ไม่มี flavor การบังคับใช้ที่ปลอดภัยในขณะที่ sender ที่ถูกกฎหมายยังล้มเหลว
แล้วอีเมลที่ฉันไม่สามารถแก้ไข — forwarder และ mailing list? การส่งต่อทำลาย SPF โดยการออกแบบ และ mailing list บางแห่งเขียน content ใหม่ ทำลาย DKIM ด้วย DKIM ที่จัดตำแหน่งรอดชีวิตจากการส่งต่อธรรมดา ซึ่งจัดการส่วนใหญ่ได้; กากน้อยๆ เป็นเหตุผลที่ระยะ quarantine มีอยู่ — อีเมลที่ spam-folder กู้คืนได้ในขณะที่คุณประเมิน รายละเอียดใน อีเมลที่ส่งต่อล้มเหลว SPF
หยุดที่ p=quarantine เพียงพอหรือไม่?
มันมีมูลค่าส่วนใหญ่ และดีกว่า 37,312,637 โดเมนที่จอดที่ p=none (ของ 261,086,232 ที่ได้รับการให้คะแนน ข้อมูล ณ 2026-06-29) มาก — แต่อีเมลที่ปลอมแปลงยังคงไปถึงโฟลเดอร์ spam ที่ผู้คนหยิบมันออกมา Reject คือจุดสิ้นสุด: มีเพียง 10.59% ของโดเมนที่ได้รับการให้คะแนนที่บังคับใช้เลย และการทำให้เสร็จสมบูรณ์คือสิ่งที่ checker, นักประกันภัย และแบบสอบถามให้เครดิต
ส่งรายงานให้เจ้าของ
ถ้าคุณกำลัง run rollout นี้สำหรับลูกค้าหรือนายจ้าง เส้นชัยสามารถแสดงได้ รันใหม่ การสแกนฟรี หลังจาก p=reject resolve และส่งต่อรายงานที่ได้รับการให้คะแนน: โดเมนย้ายไปยังนโยบายที่บังคับใช้ มีวันที่ประทับและภาษาธรรมดา หน้าเดียวนั้นตอบคำถามความปลอดภัยอีเมลในการต่ออายุประกันภัยไซเบอร์และแบบสอบถามผู้จัดหาที่ขับเคลื่อนโดย NIS2 ได้ดีกว่าภาพหน้าจอของ DNS panel — และทำให้หกสัปดาห์ของงานที่รอบคอบและมองไม่เห็นมองเห็นได้สำหรับคนที่จ่ายเงินสำหรับมัน
ตรวจสอบนโยบาย DMARC ของคุณฟรี
ดูว่านโยบายปัจจุบันของคุณเป็นอะไร — และว่า SPF และ DKIM สามารถรับการบังคับใช้ได้ — เป็นส่วนตัวและเฉพาะเจ้าของ
ตรวจสอบโดเมนของคุณ → · แก้ DMARC → · “DMARC policy not enabled” — ก้าวแรกที่ซื่อสัตย์ → · ข้อมูลรวมเท่านั้น ข้อมูลถูกจัดเก็บและประมวลผลในสหภาพยุโรป