Defaults.Exposed

Defaults.Exposed › Звіти

6 етапів зрілості DMARC

Опубліковано 2026-07-03 · оновлено 2026-07-03

Дані станом на 2026-06-29 · методологія v7. Це довідкова модель, підкріплена регулярним переписом; кожне видання повторно вимірює ту саму сукупність, тож числа можна відстежувати з часом. Усі показники агреговані — ми ніколи не публікуємо оцінку окремого бізнесу.

Опублікувати DMARC — це не те саме, що бути захищеним

Серед 261 мільйонів виміряних доменів 24.89% публікують запис DMARC — але лише 10.59% його застосовують. Інакше кажучи: з приблизно 65 мільйонів доменів, що розпочали шлях DMARC, 57.5% так і не досягли тієї частини, яка щось блокує. Вони опублікували запис, спрямували звітність кудись — і застрягли. Менші незалежні дослідження виявляють ту саму картину — один галузевий звіт 2026 року оцінив це на рівні ~9% застосування серед ~938 000 доменів, які він розглянув.

Впровадження більше не є проблемою. Проблемою є захист. І домени застрягають зі структурної причини: карти, якими всі користуються, обриваються надто рано. Вони закінчуються зарано, і жодна з них не дає найважчому кроку власної назви.

Де наявні карти обриваються

Моделі, за якими орієнтується галузь, були правильні для своєї епохи й заслуговують на справедливе прочитання:

Усі три мають два спільні обмеження. По-перше, вони зупиняються на p=reject — ніби застосування є фінішною межею. Це не так: сам стандарт пішов далі (DMARCbis — RFC 9989, 9990 і 9991 — був опублікований у травні 2026 року, замінивши початковий RFC 7489), а застосування нічого не робить для безпеки транспорту чи довіри до бренду. По-друге — і саме це насправді залишає домени на мілині — жодна з них не робить «кожен відправник врахований» іменованим етапом. Слід визнати, що посібники з розгортання таки згадують цю роботу: модель dmarcian включає ідентифікацію джерел як завдання всередині фази моніторингу. Але завдання, поховане всередині фази, саме так і сприймається — як частина «моніторингу», а не як окреме досягнення, яким воно є. Спостерігати за надходженням звітів здається прогресом. Але це ще не так. Найбільша окрема причина, чому домени роками сидять на p=none, полягає в тому, що вони бачать свою пошту, але не врахували її — тож не наважуються застосовувати, боячись зламати щось реальне.

Корисна модель має дати цьому кроку власну назву та власні критерії виходу. Ця дає. Ми називаємо її Модель зрілості впровадження DMARC — DAMM: шість етапів, по одному кроку на кожен, і назва, яку можна цитувати.

Модель

Шість етапів зрілості DMARC — від Незахищеного до Загартованого, зі стіною між Спостереженням і Видимістю

Етап 1 — Незахищений. Немає запису DMARC — або ж SPF і DKIM неповні під ним. Будь-хто може надсилати пошту від імені вашого домену, і ніде нічого не перевіряє. Крок: налаштуйте SPF і DKIM для вашої основної пошти та переконайтеся, що вони автентифікуються та узгоджуються. DMARC будується на обох; цей фундамент неможливо пропустити.

Етап 2 — Автентифікований. SPF і DKIM правильні та узгоджуються для вашого основного потоку пошти. Ваша легітимна пошта підтверджує своє походження — але ніщо не повідомляє поштовим скринькам світу, що робити з поштою, яка цього не робить. Крок: опублікуйте запис DMARC на p=none з адресою звітності rua=.

Етап 3 — Спостереження. DMARC опубліковано, агреговані звіти надходять, і вперше ви можете побачити, хто надсилає пошту від імені вашого домену. Ніщо не блокується. Більшість інструментів називають цей етап «видимістю» — ми навмисно ні, бо бачити звіти та розуміти їх — це різні досягнення. Крок: виявіть кожне легітимне джерело, що надсилає пошту від імені вашого домену, і узгодьте кожне з них.

Етап 4 — Видимість. Кожен легітимний відправник ідентифікований і узгоджений — платформа розсилки, система виставлення рахунків, CRM, той сервіс, який маркетинг підключив минулої весни. Ви знаєте свою пошту. Ніщо легітимне не зламається, якщо ви застосуєте політику. Це той етап, який старі карти пропускають, і стіна, на яку більшість доменів так і не піднімаються. Крок: підвищіть політику — p=none → p=quarantine (тут допомагає тестовий режим t=y з DMARCbis) → p=reject.

Етап 5 — Застосований. p=quarantine або p=reject діє, а піддомени охоплені явною політикою sp=. Пошта, що не проходить автентифікацію, тепер справді поміщається в карантин або відхиляється в приймачів-учасників — а це включає кожного великого провайдера поштових скриньок — тож пряме підроблення вашого точного домену перестає доходити туди, де перевіряється DMARC. Крок: додайте шар загартовування — покриття np= та tree-walk з DMARCbis, MTA-STS і TLS-RPT для транспорту, BIMI, якщо для вас важливе відображення бренду.

Етап 6 — Загартований і підтримуваний. Застосування плюс сучасний стек: покриття неіснуючих піддоменів (np=) з DMARCbis, MTA-STS і TLS-RPT, що захищають пошту в дорозі, BIMI там, де воно себе виправдовує — і, що критично, безперервний моніторинг дрейфу та нових відправників. Це не значок; це дисципліна. З’являються нові відправники, провайдери змінюють IP-адреси, конфігурації псуються. Крок: залишайтеся тут.

Смуга без пошти. Виміряно по всьому інвентарю доменів — включно з мертвими доменами — 51.5% доменів взагалі не мають поштової служби, і для них шлях згортається до одного кроку. Домен, який ніколи нічого не надсилає, має негайно опублікувати SPF -all і DMARC p=reject: немає легітимної пошти, яку треба захищати, тож немає що спостерігати й немає стіни, на яку сходити. Припарковані та неактивні брендові домени переходять прямо до Застосованого одним змінінням DNS — і це закриває один з найпоширеніших векторів видавання себе за інших.

Стіна: Етап 3 → 4

Кожен інший перехід у цій моделі — це зміна DNS. А цей — дослідницька робота, і саме тут гинуть місяці.

Дістатися від Спостереження до Видимості означає віднести кожне джерело надсилання у ваших звітах до реальної системи: який саме ESP, яка CRM, поштовий ретранслятор якого регіонального офісу, який SaaS-інструмент хтось підключив у 2023 році й забув. Це означає знайти відправників з тіньового ІТ, яких ніхто не задокументував. Це означає виправити узгодження ESP за ESP, бо кожна платформа має власний спосіб автентифікації від вашого імені — деякі з них помилкові за замовчуванням.

Пропуск стіни — це те, як DMARC здобув свою лячну репутацію. Застосуйте зі Спостереження — без Видимості — і ви точно заблокуєте щось реальне: розсилку рахунків, процес скидання пароля, розсилку від генерального директора. Тоді настає панічне повернення до p=none, внутрішній розбір польотів і урок, який усі засвоюють хибно: «ми спробували DMARC, і він зламав пошту». Більшість жахливих історій про DMARC саме такі — застосування спробували на етап зарано. Стіна — це не привід зупинитися на Етапі 3. Це причина, чому існує Етап 4.

Це також етап, на якому власники найчастіше залучають допомогу — ІТ-провайдер або служба моніторингу DMARC можуть виконати роботу з ідентифікації відправників; етапи залишаються тими самими в будь-якому разі.

Частина, про яку всі забувають: Етап 5 → 6

Досягнення p=reject зупиняє пряме підроблення вашого домену в полі From:, у приймачів, які його перевіряють. Це необхідно — і цього недостатньо. Також варто назвати те, що застосування ніколи не покривало: схожі домени (yourc0mpany.com) та видавання себе за інших через відображуване ім’я повністю лежать поза досяжністю DMARC, тож застосування зачиняє двері точного домену й залишає сусідні на пильність та інші засоби контролю.

Застосування нічого не робить для транспорту: без MTA-STS і TLS-RPT пошту до вашого домену все ще можна знизити в рівні або перехопити в дорозі. Воно нічого не робить для впізнаваності бренду: BIMI — ваш логотип, відображений у поштовій скриньці — це сигнал довіри, а не засіб безпеки, і чесно ставитися до нього саме так (воно також вимагає платного сертифіката, тому стоїть останнім, а не першим). А простий p=reject передує DMARCbis: тег np= та tree-walk з нових RFC закривають прогалину неіснуючих піддоменів, яку залишають відкритою старіші розгортання.

Домен на p=reject без нічого з вищепереліченого захищений від найпоширенішої атаки та не готовий до решти. Це реальна відмінність, і вона заслуговує на власний етап.

Ваш етап можна виміряти

Ця модель — не просто схема: етап домену можна обчислити, і саме це відрізняє її від плаката на стіні.

Етапи з 3 по 6 можна вивести з власних даних звітності DMARC домену плюс його опублікованих записів: яка політика діє, чи надходять звіти та чи узгоджується кожен спостережений відправник. Етапи 1 і 2 оцінюються живою перевіркою DNS, оскільки звітів ще немає. Одне чесне обмеження в кожному напрямку: Етап 4 підтверджується доказами з часом — «кожен спостережений відправник узгоджується протягом достатньої кількості днів звітності» є сильним наближенням, але жоден звіт не може виявити відправника, якого ви ще не підключили. А шар загартовування Етапу 6 — MTA-STS, TLS-RPT, BIMI — невидимий у звітах DMARC; щоб його побачити, потрібна перевірка DNS. Домен може виглядати «завершеним» за своїми звітами й усе одно нести приховану прогалину Етапу 5 → 6. Саме на цю модель спирається наш власний аналіз звітності, з усіма перешкодами включно.

Розібраний приклад

Середня за розміром фірма працює на Microsoft 365 за поштовим фільтрувальним шлюзом. SPF закінчується на -all, DKIM налаштований, DMARC опублікований на p=none, а звіти надходять до інструменту моніторингу. На старих картах це виглядає майже завершеним. На цій — це Етап 3 — Спостереження: складне налаштування завершене, і домен застряг саме біля стіни — видимий, але не захищений. Найцінніший крок — 3 → 4 → 5: підтвердити, що (ймовірно нечисленні) легітимні відправники всі узгоджуються, а потім поетапно підвищувати політику. Для домену такої форми це зазвичай тижні уваги, а не місяці — стіна найвища для тих, хто ніколи її не картує.

Знайдіть свій етап

Питання, яке час відкинути, — «чи маємо ми DMARC?» — 24.89% доменів можуть сказати «так», тоді як 57.5% з них залишаються придатними до підроблення. Краще питання — «на якому ми етапі та який один крок до наступного?» Кожен домен в інтернеті сьогодні перебуває рівно на одному з цих шести етапів. Знання, на якому саме, перетворює тривогу на список справ.

Де інтернет розташований на шести етапах — більшість доменів взагалі не мають запису DMARC; більшість тих, хто має, застрягли перед застосуванням

Поширені запитання

Що таке DAMM? Модель зрілості впровадження DMARC — шестиетапна модель на цій сторінці: Незахищений, Автентифікований, Спостереження, Видимість, Застосований, Загартований. Етап домену можна виміряти за його DNS та даними звітності DMARC, і саме це відрізняє її від плаката на стіні.

Отже, публікувати p=none — марно? Ні — це Етап 3, а Етап 3 є несучим: звітність — це те, як ви знаходите кожного відправника перш ніж застосовувати. Проблемою це стає лише тоді, коли до нього ставляться як до кінцевої мети. Див. чому p=none не є захистом.

Чи можу я перестрибнути одразу до p=reject? Якщо ваш домен не надсилає пошти — так, сьогодні, і вам варто це зробити. Якщо ж він надсилає пошту — ні: застосування без Видимості (Етап 4) — це те, як ламається легітимна пошта й трапляються відкати. Етапи — це безпечний шлях, а не церемонія.

Чи потрібен мені BIMI, щоб бути «завершеним»? Ні. BIMI — це шар відображення бренду Етапу 6 і найбільш опціональний елемент моделі — MTA-STS, TLS-RPT і покриття np= з DMARCbis є тими частинами, які істотно загартовують домен. Якщо вартість сертифіката для вас не виправдана, пропустіть його й утримайте решту Етапу 6.

Де тут SPF і DKIM? Під усім — вони є Етапами 1 → 2, а SPF без DMARC захищає менше, ніж припускає більшість власників. Починаючи з 2024 року, великі приймачі також прямо вимагають автентифікації від масових відправників.

Перевірте, де стоїть ваш власний домен

Ці етапи — це популяційні патерни — ваш домен перебуває рівно на одному з них, і наступний крок можна знати. Ви можете перевірити приватно та безкоштовно й побачити, які з 34 перевірок ви проходите і як виправити ті, що ні.

Перевірте свій домен → · Як ми оцінили інтернет → · Стовп DMARC → · Лише агреговані дані. Дані зберігаються та обробляються в ЄС.