Defaults.Exposed

Defaults.Exposed › Báo cáo

Công bố trong mù mờ: Phần lớn bản ghi DMARC không yêu cầu báo cáo nào

Đã xuất bản 2026-07-03 · cập nhật 2026-07-03

Số liệu tính đến 2026-06-29 · phương pháp luận v7. Dữ liệu điều tra trên mọi tên miền công bố một bản ghi DMARC có thể phân tích được, đã loại trùng theo từng tên miền. Sự hiện diện của rua= được đo trên tất cả các bản ghi, nên độ chồng lấn chính xác của nó với bất kỳ chính sách đơn lẻ nào là không thể suy ra — ở những chỗ bài viết này đưa ra khẳng định về độ chồng lấn đó, nó nêu các giới hạn biên, không bao giờ nêu bảng chéo chính xác. Mọi số liệu đều mang tính tổng hợp — chúng tôi không bao giờ công bố điểm số của một doanh nghiệp cụ thể.

Phần lớn bản ghi DMARC không hề theo dõi

Trong số 65 triệu tên miền công bố một bản ghi DMARC, chỉ 23 triệu — 35.7% — có bao gồm thẻ rua= để yêu cầu báo cáo tổng hợp. 64.3% còn lại đang công bố trong mù mờ: một chính sách nằm trên bản ghi, nhưng không ai yêu cầu được thông báo về những gì đang diễn ra dưới chính sách đó. Đó là 42 triệu tên miền có bản ghi DMARC nhưng chẳng thể cho họ thấy điều gì.

Một bản ghi DMARC không có báo cáo giống như một chiếc chuông cửa nhưng chẳng có ai ở nhà. Các máy chủ nhận thư cần mẫn kiểm tra mọi thông điệp đối chiếu với nó — và phát hiện của họ, danh sách tất cả những ai gửi thư dưới danh nghĩa tên miền của bạn, chẳng đi đến đâu. Cơ chế thì hoạt động; chỉ là chủ nhân không lắng nghe.

rua= thực sự làm gì

DMARC có hai nửa. Nửa chính sách (p=none, quarantine hoặc reject) cho các máy chủ nhận biết phải làm gì với thư không vượt qua được xác thực. Nửa báo cáo — thẻ rua=, một địa chỉ hộp thư — yêu cầu các máy chủ nhận gửi cho bạn báo cáo tổng hợp hằng ngày: những máy chủ nào đã gửi thư dưới danh nghĩa tên miền của bạn, lượng thư bao nhiêu, và liệu chúng có vượt qua SPF và DKIM hay không.

Nửa thứ hai đó chính là toàn bộ vòng phản hồi. Báo cáo là cách bạn phát hiện ra nền tảng bản tin không ai ghi chép, công cụ lập hóa đơn mà bộ phận tiếp thị đã kết nối, người gửi ẩn ở một khu vực khác — trước khi bạn thực thi và làm gián đoạn chúng. Không có rua=, không một thông tin nào trong số đó đến được với bạn. Thêm nó vào chỉ tốn một chỉnh sửa DNS: gắn thêm rua=mailto:[email protected] (hoặc địa chỉ của một dịch vụ giám sát) vào bản ghi hiện có.

Khoảng cách giữa Giai đoạn 2 và 3: đã công bố nhưng mù mờ

Trong sáu giai đoạn trưởng thành của DMARC, Giai đoạn 3 — Quan sát — bắt đầu khi DMARC đã được công bố và báo cáo tổng hợp đang chảy về. Một bản ghi không có rua= không đủ điều kiện. Nó nằm trong khoảng cách giữa Giai đoạn 2 và 3 — đã công bố nhưng mù mờ — một chỗ mà mô hình cố ý không gán cho một con số riêng.

Điều này quan trọng vì mọi giai đoạn sau nó đều phụ thuộc vào các báo cáo. Bạn không thể nhận diện những người gửi của mình (Giai đoạn 4) từ những báo cáo bạn không bao giờ nhận được; bạn không thể thực thi một cách an toàn (Giai đoạn 5) mà không biết những người gửi của mình là ai. Một bản ghi mù mờ không phải là một bước đầu trên hành trình — nó là một điểm dừng nằm ngay bên lề hành trình đó. Và cuộc điều tra cho thấy phần lớn những người nắm giữ bản ghi đang đỗ ở đó hoặc gần đó: 57.5% tất cả các bản ghi DMARC không bao giờ đạt đến mức thực thi.

Tệ hơn cả vô dụng, vì nó tạo cảm giác đang tiến bộ

Một bản ghi DMARC thiếu vắng ít nhất trông đúng như bản chất của nó: một lỗ hổng. Một bản ghi mù mờ trông giống như một dấu tích hoàn thành. Ai đó đã chạy một danh sách kiểm tra tuân thủ, hoặc một hướng dẫn về khả năng gửi đến, hoặc một bản sửa một dòng từ nhà cung cấp — công bố v=DMARC1; p=none — và trình quét chuyển sang màu xanh. Tổ chức giờ đây cảm thấy mình tiến xa hơn so với tổ chức chẳng có bản ghi nào, trong khi về mặt chức năng vẫn ở cùng một chỗ: không tầm nhìn, không thực thi, không có con đường dẫn đến bất kỳ điều nào trong hai.

Hệ quả diễn ra lặng lẽ và tích lũy. Các bản ghi mù mờ không thất bại một cách ầm ĩ; chúng chỉ đơn giản là không bao giờ tạo ra bằng chứng để biện minh cho bước tiếp theo. Nhiều năm sau, bản ghi vẫn ghi p=none, chẳng ai nói được người gửi nào là hợp lệ, và việc thực thi cảm thấy rủi ro hơn bao giờ hết — chính bởi vì chưa có báo cáo nào từng được thu thập.

Cuộc điều tra có thể và không thể nói gì

Vì sự hiện diện của rua= được đo trên toàn bộ 65 triệu bản ghi — không được lập bảng chéo theo từng chính sách — nên con số chính xác các bản ghi p=none cũng mù mờ là không thể suy ra từ những số liệu biên này. Các giới hạn biên vẫn hết sức rõ nét. 37 triệu bản ghi (57.4% số người nắm giữ bản ghi) nằm ở p=none; chỉ 23 triệu bản ghi trong toàn bộ cuộc điều tra là yêu cầu báo cáo. Vậy nên nhiều nhất 23 triệu bản ghi p=none đó có thể đang nhận báo cáo — và ít nhất 14 triệu bản ghi trong số đó chắc chắn không nhận, ngay cả khi mọi địa chỉ báo cáo trong cuộc điều tra đều thuộc về một tên miền p=none. Dù độ chồng lấn thực tế rơi vào đâu, hàng triệu tên miền đang ở “chế độ giám sát” mà thiết bị giám sát lại bị rút phích cắm.

Bản khắc phục chỉ một chỉnh sửa

Nếu bản ghi DMARC của bạn không có thẻ rua=, bản khắc phục chỉ là một thay đổi DNS duy nhất và nó an toàn ở bất kỳ cấp độ chính sách nào:

  1. Chọn một đích đến cho báo cáo — một hộp thư mà bạn thực sự sẽ xử lý, hoặc một dịch vụ giám sát DMARC miễn phí/trả phí biến XML thành thứ gì đó dễ đọc.
  2. Gắn thêm nó vào bản ghi: v=DMARC1; p=none; rua=mailto:[email protected]. Nếu đích đến là một tên miền khác, tên miền đó phải cho phép nhận báo cáo của bạn (một bản ghi DNS bổ sung nhỏ ở phía nó).
  3. Đợi vài ngày, rồi đọc. Báo cáo đến hằng ngày từ các máy chủ nhận lớn. Những gì chúng cho thấy — mọi nguồn gửi thư dưới danh nghĩa tên miền của bạn — chính là tấm bản đồ cho phần còn lại của hành trình.

Rồi thì bản ghi thôi làm vật trang trí và bắt đầu trở thành một công cụ đo lường. (Khắc phục DMARC →.)

Câu hỏi thường gặp

Báo cáo rua của DMARC là gì? Một báo cáo XML tổng hợp mà các máy chủ nhận thư tham gia gửi (thường là hằng ngày) đến địa chỉ trong thẻ rua= của bản ghi, tóm tắt những nguồn nào đã gửi thư dưới danh nghĩa tên miền của bạn và liệu chúng có vượt qua sự căn chỉnh SPF và DKIM hay không. Nó không chứa nội dung thông điệp — chỉ có hạ tầng của người gửi và số liệu đạt/không đạt.

DMARC không có rua có phải là vô giá trị không? Không phải vô giá trị — một chính sách thực thi vẫn chặn được giả mạo mà không cần nó. Nhưng ở p=none, một bản ghi không có rua= chẳng chặn được gì và chẳng cho bạn thấy gì — công việc duy nhất còn lại của nó là tích vào ô yêu cầu tối thiểu của các nhà cung cấp hộp thư. Và ngay cả những tên miền thực thi mà không có báo cáo cũng mất đi khả năng phát hiện lệch hướng vốn giữ cho việc thực thi an toàn khi những người gửi mới xuất hiện. p=none không phải là sự bảo vệ dù thế nào đi nữa — không có báo cáo thì nó thậm chí còn chẳng phải là sự chuẩn bị.

rua= có thể trỏ đến bất kỳ hộp thư nào không? Có, kể cả một hộp thư ở một tên miền khác — hầu hết các dịch vụ giám sát hoạt động đúng theo cách đó. Tên miền nhận công bố một bản ghi xác minh nhỏ cho phép nhận báo cáo của bạn. Điều quan trọng là phải có thứ gì đó thực sự xử lý XML; một hộp thư không ai đọc là sự mù mờ với thêm vài bước.

Báo cáo tổng hợp có làm lộ dữ liệu riêng tư không? Không. Báo cáo tổng hợp rua mang theo thống kê về nguồn gửi và xác thực, không phải nội dung thông điệp hay danh sách người nhận. (Các báo cáo lỗi ruf= riêng biệt có thể chứa những mảnh của thông điệp, đó là lý do nhiều máy chủ nhận không còn gửi chúng nữa — rua mới là loại quan trọng.)

Kiểm tra xem bản ghi của bạn có đang theo dõi không

Một bản ghi DMARC không yêu cầu báo cáo nào là một trong những phát hiện dễ khắc phục nhất trên toàn bộ hành trình — một chỉnh sửa DNS biến mù mờ thành Quan sát. Bạn có thể kiểm tra một cách riêng tư và miễn phí, và xem bạn vượt qua được bao nhiêu trong số 34 hạng mục kiểm tra cũng như cách khắc phục những hạng mục bạn chưa đạt.

Kiểm tra tên miền của bạn → · Sáu giai đoạn trưởng thành của DMARC → · Trụ cột DMARC → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.