Defaults.Exposed

Defaults.Exposedการแก้ไขGuides

DMARC p=none ไปสู่ p=reject โดยไม่สูญเสียอีเมลที่ถูกกฎหมาย: การ Rollout แบบแบ่งระยะ (2026)

เผยแพร่ 2026-07-08

ตัวเลข ณ วันที่ 2026-06-29 · ระเบียบวิธี v7 ข้อมูลสำมะโนรวมทั่ว 261 ล้านโดเมนที่ได้รับการให้คะแนน ดู วิธีที่เราให้คะแนน

ย้าย DMARC จาก p=none ไปสู่ p=reject ในสี่ระยะ: monitor rua report 2–4 สัปดาห์, แก้ไข sender ที่ถูกกฎหมายทุกราย, ramp p=quarantine ด้วย pct, จากนั้น reject — อย่าข้ามไป reject โดยตรง 70,368,600 ของ 261,086,232 โดเมนที่ได้รับการให้คะแนนยังค้างอยู่ที่ soft SPF โดยไม่มีการบังคับใช้ DMARC ตามสำมะโน Defaults.Exposed

นี่คือ runbook การปฏิบัติงาน: ตาราง stages พร้อมเกณฑ์การออก, ระเบียนสำหรับแต่ละระยะ, ความละเอียดอ่อนของ pct ใน RFC 7489 ที่เปลี่ยนความหมายของ “50%” ที่ reject, และ tag sp= สำหรับ subdomain หากคุณกำลังตัดสินใจว่าจะบังคับใช้หรือไม่ อ่าน 6 ระยะของวุฒิภาวะ DMARC ก่อน — นั่นคือกรอบงาน; และถ้าระดับนโยบายเองยังใหม่สำหรับคุณ p=none, p=quarantine และ p=reject หมายความว่าอะไรจริงๆ คือ primer หน้านี้คือการทำ

ทำไมถึงข้ามตรงไป p=reject ไม่ได้?

เพราะ p=reject บอกทุก receiver ที่ปฏิบัติตามให้ bounce อีเมลที่ล้มเหลว DMARC — และจนกว่าคุณจะดูรายงานของคุณ คุณไม่รู้ว่าอะไรล้มเหลว เกือบทุกโดเมนที่เปิดใช้งานการ monitor ค้นพบ sender ที่ถูกกฎหมายที่ลืมไป: CRM, เครื่องมือ invoicing, contact form ข้ามไป reject วันแรกและอีเมลนั้นไม่ไปยัง spam; มันหายไปที่เวลา SMTP การสูญเสีย invoice run สอนให้องค์กรกลัว DMARC และระเบียนถูกย้อนกลับไปที่ p=none ถาวร — ของ 261,086,232 โดเมนที่ได้รับการให้คะแนน 37,312,637 อยู่ที่นั่นพอดี และมีเพียง 10.59% (27,640,987) เคยไปถึงนโยบายที่บังคับใช้

เหตุผลอีกอย่างคือการจัดตำแหน่ง DMARC ผ่านเฉพาะเมื่อ SPF หรือ DKIM ผ่าน และ จัดตำแหน่งกับโดเมน From ที่มองเห็น — SPF กับโดเมน Return-Path (RFC5321.MailFrom), DKIM กับ d= ของลายเซ็น Sender ของบุคคลที่สามมักผ่าน SPF บนโดเมน ของพวกเขา ไม่ใช่ของคุณ ซึ่งเป็นเหตุผลที่ระยะแก้ไข-ทุก-แหล่งส่วนใหญ่เกี่ยวกับการเปิดใช้งาน DKIM ด้วยโดเมนที่กำหนดเองของผู้ขายแต่ละราย — อธิบายรายละเอียดใน DMARC ล้มเหลวแต่ SPF และ DKIM ผ่าน

สี่ระยะการ rollout มีอะไรบ้าง?

ระยะระเบียนนโยบายpctสิ่งที่เกิดขึ้นกับอีเมลที่ล้มเหลวเกณฑ์การออก
1. Monitorp=none; rua=mailto:…ส่งตามปกติ; คุณรับรายงาน aggregate2–4 สัปดาห์ของรายงาน; ทุก sender ที่ระบุเป็นถูกกฎหมายหรือไม่
2. แก้ไขแหล่งp=none (ไม่เปลี่ยน)ยังส่งตามปกติทุกแหล่งที่ถูกกฎหมายผ่าน DMARC ด้วยการจัดตำแหน่ง (DKIM ด้วยโดเมนที่กำหนดเองต่อผู้ส่ง); ความล้มเหลวที่เหลืออยู่เป็น traffic ที่ไม่รู้จัก/ปลอมแปลงเท่านั้น
3. Ramp Quarantinep=quarantine10 → 25 → 50 → 100ส่วนแบ่งที่สุ่มตัวอย่างไปยังโฟลเดอร์ spam; ส่วนที่ถูก sample out ถูกปฏิบัติเหมือน p=none (ส่ง)1–2 สัปดาห์ที่ pct=100 โดยไม่มีอีเมลที่ถูกกฎหมายถูก quarantine
4. Rejectp=reject100Bounce ที่เวลา SMTP; ผู้ส่งรับ bounce ผู้รับไม่เห็นอะไรต่อเนื่อง — เก็บ rua ไว้ตลอดไปเพื่อจับ sender ใหม่

ข้อมูล ณ วันที่ 2026-06-29; พฤติกรรมนโยบายตาม RFC 7489

ระยะที่ 3 คือที่โดเมนหยุดหรือตื่นตกใจ การ spam-folder นั้นกู้คืนได้ — ผู้ใช้ค้นพบอีเมล คุณคลาย pct คุณแก้ไขแหล่ง การปฏิเสธกู้คืนไม่ได้ ซึ่งเป็นเหตุผลที่ quarantine ที่ pct=100 ที่ทำงาน clean คือตั๋วเข้าระยะที่ 4

คุณจะ run rollout ทีละขั้นตอนได้อย่างไร?

  1. สแกนฟรีที่ defaults.exposed ก่อนแตะ DNS มันยืนยันนโยบายปัจจุบันของคุณและว่า SPF และ DKIM มีอยู่ด้านล่าง — ขาสองข้างที่การบังคับใช้ตั้งอยู่
  2. เปิดใช้งานการ monitor ถ้าคุณยังไม่ทำ การเผยแพร่ p=none ด้วย rua= คือขั้นตอนห้านาทีใน “DMARC policy not enabled” รวบรวม 2–4 สัปดาห์ของรายงาน — พอที่จะจับ sender รายเดือนเช่น invoice run
  3. ระบุทุก sender ในรายงาน จัดเรียง sender เป็นของคุณ, ของผู้ขาย, และที่ไม่รู้จัก รายงาน raw มาเป็น XML — เครื่องมือประมวลผลรายงาน (หรือ dashboard ของผู้ให้บริการ) เปลี่ยนพวกมันเป็นรายการ sender ที่อ่านได้
  4. ทำให้ sender ที่ถูกกฎหมายทุกรายผ่านด้วยการจัดตำแหน่ง เปิดใช้งาน DKIM ด้วยโดเมนที่กำหนดเองของผู้ขายแต่ละราย (โดยปกติระเบียน CNAME สองตัวใน dashboard ของพวกเขา) เพื่อให้ลายเซ็นถือโดเมนของคุณ ไม่ใช่ของพวกเขา ต้องการ DKIM สำหรับการจัดตำแหน่ง: มันรอดชีวิตจากการส่งต่อ SPF ไม่รอดชีวิต
  5. รอสองสัปดาห์ clean ออกจากระยะที่ 2 เฉพาะเมื่อความล้มเหลวที่รายงานเป็น traffic ที่คุณไม่รู้จักแต่เพียงอย่างเดียว — การปลอมแปลงที่คุณ ต้องการ บล็อก
  6. ย้ายไปยัง p=quarantine; pct=10 — แก้ไขระเบียน _dmarc TXT ที่มีอยู่ (ตัวอย่างการทำงาน: การตั้งค่า IONOS DMARC) และดู syntax: typo ในแท็กนโยบายสามารถทำให้ระเบียนเป็นโมฆะได้ทั้งหมด Ramp pct ไปที่ 25, 50, 100 กว่า 2–4 สัปดาห์ ดูรายงานและ ticket ของ helpdesk อะไรที่ถูกกฎหมายใน spam: ลด pct กลับ แก้ไขแหล่ง ดำเนินการต่อ
  7. ย้ายไปยัง p=reject หลังจาก 1–2 สัปดาห์ clean ที่ pct=100 เก็บ rua= ไว้ถาวร — ทุกเครื่องมือใหม่ที่บริษัทของคุณรับมาคือ sender ที่ล้มเหลวในอนาคต

pct ทำอะไรจริงๆ? ความละเอียดอ่อนของ RFC 7489

pct ขอให้ receiver ใช้นโยบายของคุณกับเปอร์เซ็นต์ของอีเมลที่ล้มเหลวนั้น ความละเอียดอ่อนจาก RFC 7489 §6.6.4: อีเมลที่ถูก sample out ไม่ fallback ไปยัง “ส่งตามปกติ” — มันได้รับ นโยบายที่เข้มงวดน้อยกว่าถัดไป ภายใต้ p=quarantine; pct=25 อีก 75% ถูกปฏิบัติเป็น p=none และส่ง แต่ภายใต้ p=reject; pct=50 อีก 50% ถูก quarantine ไม่ใช่ส่ง ไม่มี reject ที่อ่อนโยน: ตั้งแต่ระเบียนของคุณพูดว่า reject ทุกข้อความที่ล้มเหลวอย่างน้อยถูก spam-folder ที่ receiver ที่ปฏิบัติตาม

ใช้โดยตั้งใจ นั่นคือคุณสมบัติ — p=reject; pct=1 ประพฤติเป็น “quarantine เกือบทุกอย่าง reject หยดหนึ่ง” เป็น on-ramp สุดท้ายที่ถูกกฎหมาย สองข้อควรระวัง: receiver ไม่ได้ implement การ sampling อย่างเดียวกันทั้งหมด ดังนั้นปฏิบัติต่อ pct เป็น dial คร่าวๆ; และลบ tag (หรือตั้งค่า pct=100) เมื่อระยะที่ 4 เสถียร เพื่อให้ระเบียนพูดในสิ่งที่คุณหมายถึง

แล้ว subdomain — tag sp=?

โดยค่าเริ่มต้น subdomain สืบทอดนโยบายของ organizational domain: p=reject ที่ yourdomain.com ครอบคลุม mail.yourdomain.com ด้วย tag sp= ให้พวกมันแยกออก ทั้งในทิศทางที่มีประโยชน์และอันตราย มีประโยชน์: p=quarantine; sp=reject ล็อค subdomain ที่คุณไม่เคยส่งจากในขณะที่ apex ยังกลางระยะ — spoofer ตั้งใจเล็งไปที่ subdomain ของโดเมนที่ monitor อันตราย: sp=none ที่ถูกลืมยกเว้น subdomain ทุกตัวอย่างเงียบๆ จากนโยบาย reject ที่คุณใช้เวลาหกสัปดาห์ได้มา ตรวจสอบมันที่ระยะที่ 4; ถ้า subdomain หนึ่งต้องการนโยบายที่ผ่อนคลายกว่าจริงๆ เผยแพร่ระเบียน _dmarc บน subdomain นั้นแทนการผ่อนคลายทั้งหมด

NIS2 หมายความว่าธุรกิจในสหภาพยุโรปต้องทำสิ่งนี้หรือไม่?

DMARC ทำงานเหมือนกันทุกที่ — ไม่มีอะไรใน runbook นี้เปลี่ยนที่ขอบเขตสหภาพยุโรป สิ่งที่เปลี่ยนคือการดึงการปฏิบัติตาม NIS2 Article 21(2)(j) ต้องการให้หน่วยงานที่อยู่ในขอบเขตรักษาความปลอดภัยการสื่อสารของตน และ Commission Implementing Regulation (EU) 2024/2690 ระบุข้อกำหนดทางเทคนิคสำหรับหน่วยงานโครงสร้างพื้นฐานดิจิทัลที่ครอบคลุม — ภาคผนวก (จุด 6.7.2(k)) ต้องการแผนการ implement สำหรับการใช้มาตรฐานความปลอดภัยอีเมลสมัยใหม่ที่ตกลงกันในระดับนานาชาติ และจุด 6.7.2(l) ต้องการ best practice ความปลอดภัย DNS นโยบาย DMARC ที่บังคับใช้ ด้วย SPF และ DKIM ข้างใต้ คือการควบคุมที่ตรวจสอบได้ที่ยอมรับสำหรับการปลอมแปลง; p=none เป็น monitor อย่างชัดเจน ไม่ใช่การรักษาความปลอดภัย ถ้าลูกค้าของคุณอยู่ในขอบเขต แบบสอบถามผู้จัดหาของพวกเขาถามสิ่งเหล่านี้มากขึ้น

คำถามที่พบบ่อย

การ rollout ทั้งหมดใช้เวลานานแค่ไหน? หกถึงสิบสัปดาห์เป็นเรื่องปกติ: 2–4 สัปดาห์ monitor, 1–3 สัปดาห์แก้ไขแหล่ง, 2–4 สัปดาห์ ramp quarantine, จากนั้น reject มันคือเวลาปฏิทิน ไม่ใช่ความพยายาม — ส่วนใหญ่รอรายงานยืนยันแต่ละการเปลี่ยนแปลง 89.41% ของ 261,086,232 โดเมนที่ได้รับการให้คะแนนที่ไม่มีนโยบายที่บังคับใช้ (ข้อมูล ณ 2026-06-29) ส่วนใหญ่ไม่ได้อยู่กลาง-rollout; พวกเขาไม่เริ่มนาฬิกาเลย

ฉันสามารถข้าม quarantine และใช้ p=reject ด้วย pct ต่ำแทนได้หรือไม่? ได้ — ตาม RFC 7489 §6.6.4, p=reject; pct=10 หมายความว่า 10% reject และ 90% quarantine ซึ่งค่อนข้างเหมือนระยะที่ 3 ตอนปลาย แต่ p=quarantine ก่อนง่ายกว่าที่จะคิดถึง และ receiver แตกต่างกันว่าพวกเขา sample อย่างซื่อสัตย์เพียงใด ไม่ว่าจะเป็นอย่างไร ระยะที่ 1–2 ไม่สามารถต่อรองได้: ไม่มี flavor การบังคับใช้ที่ปลอดภัยในขณะที่ sender ที่ถูกกฎหมายยังล้มเหลว

แล้วอีเมลที่ฉันไม่สามารถแก้ไข — forwarder และ mailing list? การส่งต่อทำลาย SPF โดยการออกแบบ และ mailing list บางแห่งเขียน content ใหม่ ทำลาย DKIM ด้วย DKIM ที่จัดตำแหน่งรอดชีวิตจากการส่งต่อธรรมดา ซึ่งจัดการส่วนใหญ่ได้; กากน้อยๆ เป็นเหตุผลที่ระยะ quarantine มีอยู่ — อีเมลที่ spam-folder กู้คืนได้ในขณะที่คุณประเมิน รายละเอียดใน อีเมลที่ส่งต่อล้มเหลว SPF

หยุดที่ p=quarantine เพียงพอหรือไม่? มันมีมูลค่าส่วนใหญ่ และดีกว่า 37,312,637 โดเมนที่จอดที่ p=none (ของ 261,086,232 ที่ได้รับการให้คะแนน ข้อมูล ณ 2026-06-29) มาก — แต่อีเมลที่ปลอมแปลงยังคงไปถึงโฟลเดอร์ spam ที่ผู้คนหยิบมันออกมา Reject คือจุดสิ้นสุด: มีเพียง 10.59% ของโดเมนที่ได้รับการให้คะแนนที่บังคับใช้เลย และการทำให้เสร็จสมบูรณ์คือสิ่งที่ checker, นักประกันภัย และแบบสอบถามให้เครดิต

ส่งรายงานให้เจ้าของ

ถ้าคุณกำลัง run rollout นี้สำหรับลูกค้าหรือนายจ้าง เส้นชัยสามารถแสดงได้ รันใหม่ การสแกนฟรี หลังจาก p=reject resolve และส่งต่อรายงานที่ได้รับการให้คะแนน: โดเมนย้ายไปยังนโยบายที่บังคับใช้ มีวันที่ประทับและภาษาธรรมดา หน้าเดียวนั้นตอบคำถามความปลอดภัยอีเมลในการต่ออายุประกันภัยไซเบอร์และแบบสอบถามผู้จัดหาที่ขับเคลื่อนโดย NIS2 ได้ดีกว่าภาพหน้าจอของ DNS panel — และทำให้หกสัปดาห์ของงานที่รอบคอบและมองไม่เห็นมองเห็นได้สำหรับคนที่จ่ายเงินสำหรับมัน

ตรวจสอบนโยบาย DMARC ของคุณฟรี

ดูว่านโยบายปัจจุบันของคุณเป็นอะไร — และว่า SPF และ DKIM สามารถรับการบังคับใช้ได้ — เป็นส่วนตัวและเฉพาะเจ้าของ

ตรวจสอบโดเมนของคุณ → · แก้ DMARC → · “DMARC policy not enabled” — ก้าวแรกที่ซื่อสัตย์ → · ข้อมูลรวมเท่านั้น ข้อมูลถูกจัดเก็บและประมวลผลในสหภาพยุโรป