Defaults.Exposed › Báo cáo
6 giai đoạn trưởng thành của DMARC
Đã xuất bản 2026-07-03 · cập nhật 2026-07-03
Số liệu tính đến 2026-06-29 · phương pháp luận v7. Đây là một mô hình tham chiếu được hậu thuẫn bởi một cuộc điều tra định kỳ; mỗi phiên bản đo lại cùng một tập hợp để các con số có thể được theo dõi theo thời gian. Tất cả số liệu đều mang tính tổng hợp — chúng tôi không bao giờ công bố điểm số của một doanh nghiệp cụ thể.
Công bố DMARC không giống với việc được bảo vệ
Trên 261 triệu tên miền được đo lường, 24.89% công bố một bản ghi DMARC — nhưng chỉ 10.59% thực sự cưỡng chế nó. Nói cách khác: trong số khoảng 65 triệu tên miền đã bắt đầu hành trình DMARC, 57.5% không bao giờ đến được phần chặn bất cứ thứ gì. Họ đã công bố một bản ghi, trỏ báo cáo đến đâu đó, rồi mắc kẹt. Các nghiên cứu độc lập nhỏ hơn cũng cho thấy hình dạng tương tự — một báo cáo ngành năm 2026 đưa ra con số ~9% cưỡng chế trong số ~938.000 tên miền mà nó khảo sát.
Việc áp dụng không còn là vấn đề nữa. Bảo vệ mới là vấn đề. Và các tên miền mắc kẹt vì một lý do mang tính cấu trúc: những bản đồ mà mọi người sử dụng đều dừng lại quá sớm. Chúng kết thúc quá sớm, và không bản đồ nào đặt cho bước khó khăn nhất một cái tên riêng.
Nơi những bản đồ hiện có dừng lại quá sớm
Các mô hình mà ngành dùng để định hướng đã đúng vào thời của chúng, và xứng đáng được đọc một cách công bằng:
- Mô hình triển khai năm giai đoạn được phổ biến bởi dmarcian (nhà sáng lập của họ là đồng tác giả của chính DMARC) đi qua triển khai → giám sát → siết chặt chính sách — và coi việc đạt tới
p=rejectlà điểm đến. - Tiến trình RFC —
p=none → quarantine → reject— là ba mức độ cưỡng chế, không phải một mô hình trưởng thành. Nó không nói gì về các điều kiện tiên quyết và không nói gì về những gì đến sau. - “Bò, đi, chạy” là một mô hình dân gian: đúng về mặt định hướng, nhưng rỗng về mặt cấu trúc.
Cả ba đều có chung hai giới hạn. Thứ nhất, chúng dừng ở p=reject — như thể cưỡng chế là vạch đích. Không phải vậy: bản thân tiêu chuẩn đã tiến xa hơn (DMARCbis — RFC 9989, 9990 và 9991 — được công bố vào tháng 5 năm 2026, thay thế RFC 7489 nguyên bản), và cưỡng chế không làm gì cho bảo mật truyền tải hay niềm tin thương hiệu. Thứ hai — và đây là điều thực sự khiến các tên miền bị mắc cạn — không cái nào biến “mọi bên gửi đều được kiểm đếm” thành một giai đoạn có tên. Công bằng mà nói, các hướng dẫn triển khai có đề cập đến công việc này: mô hình của dmarcian có bao gồm việc nhận diện nguồn như một tác vụ trong giai đoạn giám sát của nó. Nhưng một tác vụ bị chôn vùi bên trong một giai đoạn chính là cách nó bị đối xử — như một phần của “giám sát” thay vì một thành tựu riêng biệt đúng nghĩa. Quan sát báo cáo kéo đến có cảm giác như tiến bộ. Nhưng chưa phải. Lý do lớn nhất khiến các tên miền ngồi ở p=none suốt nhiều năm là họ có thể nhìn thấy thư của mình nhưng chưa kiểm đếm được nó — nên họ không dám cưỡng chế, vì sợ làm hỏng một thứ gì đó có thật.
Một mô hình hữu ích cần đặt cho bước đó cái tên riêng và tiêu chí thoát riêng của nó. Mô hình này làm được điều đó. Chúng tôi gọi nó là Mô hình Trưởng thành Áp dụng DMARC — DAMM: sáu giai đoạn, mỗi giai đoạn một bước đi, và một cái tên mà bạn có thể trích dẫn.
Mô hình
Giai đoạn 1 — Không được bảo vệ. Không có bản ghi DMARC — hoặc SPF và DKIM bên dưới chưa hoàn chỉnh. Bất kỳ ai cũng có thể gửi email dưới danh nghĩa tên miền của bạn, và không có gì ở đâu đang kiểm tra. Bước đi: cấu hình SPF và DKIM cho thư chính của bạn, và xác nhận chúng xác thực và căn khớp (align). DMARC được xây dựng trên cả hai; bạn không thể bỏ qua nền móng này.
Giai đoạn 2 — Được xác thực. SPF và DKIM đã chính xác và căn khớp cho luồng thư chính của bạn. Thư hợp pháp của bạn chứng minh được nguồn gốc — nhưng không có gì cho các hộp thư trên thế giới biết phải làm gì với thư không chứng minh được. Bước đi: công bố một bản ghi DMARC ở p=none với một địa chỉ báo cáo rua=.
Giai đoạn 3 — Quan sát. DMARC đã được công bố, các báo cáo tổng hợp đang chảy về, và lần đầu tiên bạn có thể thấy ai đang gửi thư dưới danh nghĩa tên miền của bạn. Không có gì bị chặn. Hầu hết các công cụ gọi giai đoạn này là “tầm nhìn” — chúng tôi cố ý không gọi như vậy, vì nhìn thấy báo cáo và hiểu chúng là hai thành tựu khác nhau. Bước đi: nhận diện mọi nguồn hợp pháp gửi thư dưới danh nghĩa tên miền của bạn, và làm cho từng nguồn căn khớp.
Giai đoạn 4 — Tầm nhìn. Mọi bên gửi hợp pháp đều đã được nhận diện và căn khớp — nền tảng bản tin, hệ thống lập hóa đơn, CRM, cái thứ mà bộ phận marketing đăng ký vào mùa xuân năm ngoái. Bạn hiểu thư của mình. Không có gì hợp pháp sẽ bị hỏng nếu bạn cưỡng chế. Đây là giai đoạn mà các bản đồ cũ bỏ qua, và là bức tường mà hầu hết các tên miền không bao giờ vượt qua. Bước đi: nâng chính sách — p=none → p=quarantine (chế độ thử nghiệm t=y của DMARCbis hữu ích ở đây) → p=reject.
Giai đoạn 5 — Được cưỡng chế. p=quarantine hoặc p=reject đang hoạt động, với các tên miền phụ được bao phủ bởi một chính sách sp= rõ ràng. Thư không qua được xác thực giờ đây thực sự bị cách ly hoặc từ chối tại các bên nhận tham gia — bao gồm mọi nhà cung cấp hộp thư lớn — nên việc giả mạo trực tiếp chính xác tên miền của bạn ngừng đến được nơi DMARC được kiểm tra. Bước đi: thêm lớp gia cố — bao phủ np= và tree-walk của DMARCbis, MTA-STS và TLS-RPT cho truyền tải, BIMI nếu hiển thị thương hiệu quan trọng với bạn.
Giai đoạn 6 — Được gia cố & duy trì. Cưỡng chế cộng với bộ công nghệ hiện đại: bao phủ tên miền phụ không tồn tại (np=) từ DMARCbis, MTA-STS và TLS-RPT bảo mật thư trong quá trình truyền tải, BIMI ở nơi nó đáng giá — và, quan trọng nhất, giám sát liên tục để phát hiện độ trôi và các bên gửi mới. Đây không phải một huy hiệu; đó là một kỷ luật. Các bên gửi mới xuất hiện, các nhà cung cấp thay đổi IP, cấu hình mục ruỗng. Bước đi: ở lại đây.
Làn không có thư. Đo trên toàn bộ danh mục tên miền — bao gồm cả tên miền đã chết — 51.5% tên miền không chạy dịch vụ thư nào cả, và với chúng, hành trình thu gọn lại thành một bước. Một tên miền không bao giờ gửi thư nên công bố SPF
-allvà DMARCp=rejectngay lập tức: không có thư hợp pháp nào để bảo vệ, nên không có gì để quan sát và không có bức tường nào để vượt. Các tên miền đỗ chờ và tên miền thương hiệu ngủ đông đi thẳng đến Được cưỡng chế chỉ trong một thay đổi DNS — và làm vậy sẽ khóa lại một trong những vectơ mạo danh phổ biến nhất tồn tại.
Bức tường: Giai đoạn 3 → 4
Mọi chuyển tiếp khác trong mô hình này đều là một thay đổi DNS. Chuyển tiếp này là công việc điều tra — và đây là nơi những tháng ngày chết mòn.
Đi từ Quan sát đến Tầm nhìn nghĩa là quy mỗi nguồn gửi trong báo cáo của bạn về một hệ thống có thật: ESP nào, CRM nào, máy chuyển tiếp thư của văn phòng khu vực nào, công cụ SaaS nào mà ai đó kết nối vào năm 2023 rồi quên bẵng. Nó nghĩa là tìm ra những bên gửi shadow-IT mà không ai ghi chép lại. Nó nghĩa là sửa việc căn khớp cho từng ESP một, vì mỗi nền tảng có cách xác thực thay mặt bạn riêng — một số trong đó sai theo mặc định.
Bỏ qua bức tường là cách DMARC có được tiếng tăm đáng sợ. Cưỡng chế từ Quan sát — mà không có Tầm nhìn — thì bạn sẽ chặn một thứ gì đó có thật: một đợt gửi hóa đơn, một luồng đặt lại mật khẩu, bản tin của CEO. Rồi đến việc hoảng loạn quay lại p=none, cuộc mổ xẻ nội bộ, và bài học mà mọi người rút ra sai: “chúng tôi đã thử DMARC và nó làm hỏng email.” Hầu hết các câu chuyện kinh dị về DMARC chính xác là như thế này — cưỡng chế được thử sớm hơn một giai đoạn. Bức tường không phải là lý do để dừng ở Giai đoạn 3. Nó là lý do Giai đoạn 4 tồn tại.
Đây cũng là giai đoạn mà chủ sở hữu thường xuyên tìm đến sự trợ giúp nhất — một nhà cung cấp dịch vụ IT hoặc một dịch vụ giám sát DMARC có thể làm công việc nhận diện bên gửi; dù thế nào các giai đoạn vẫn giữ nguyên.
Phần mà ai cũng quên: Giai đoạn 5 → 6
Đạt tới p=reject ngăn chặn việc giả mạo trực tiếp tên miền của bạn ở dòng From:, tại các bên nhận có kiểm tra nó. Điều đó là cần thiết — nhưng không đủ. Cũng đáng gọi tên những gì cưỡng chế chưa bao giờ bao phủ: các tên miền trông giống (yourc0mpany.com) và mạo danh tên hiển thị nằm hoàn toàn ngoài tầm với của DMARC, nên cưỡng chế đóng cánh cửa tên-miền-chính-xác lại và để những cánh cửa lân cận cho sự cảnh giác và các biện pháp kiểm soát khác.
Cưỡng chế không làm gì cho truyền tải: nếu không có MTA-STS và TLS-RPT, thư gửi đến tên miền của bạn vẫn có thể bị hạ cấp hoặc chặn thu trong quá trình truyền tải. Nó không làm gì cho nhận diện thương hiệu: BIMI — logo của bạn, hiển thị ngay tại hộp thư — là một tín hiệu tin cậy, không phải một biện pháp kiểm soát bảo mật, và đối xử với nó như vậy mới là trung thực (nó cũng yêu cầu một chứng chỉ trả phí, đó là lý do nó đứng cuối, không phải đầu). Và p=reject thuần túy có trước DMARCbis: thẻ np= và tree-walk của các RFC mới đóng lại lỗ hổng tên miền phụ không tồn tại mà các triển khai cũ hơn để ngỏ.
Một tên miền ở p=reject mà không có bất kỳ điều nào ở trên thì được bảo vệ trước cuộc tấn công phổ biến nhất và chưa chuẩn bị cho phần còn lại. Đó là một sự phân biệt có thật, và nó xứng đáng có một giai đoạn riêng.
Giai đoạn của bạn có thể đo được
Mô hình này không chỉ là một biểu đồ — giai đoạn của một tên miền có thể tính toán được, đó là điều tách nó khỏi một tấm áp phích treo trên tường.
Các giai đoạn 3 đến 6 có thể được suy ra từ dữ liệu báo cáo DMARC của chính tên miền cộng với các bản ghi đã công bố của nó: chính sách nào đang hoạt động, báo cáo có chảy về hay không, và mọi bên gửi được quan sát có căn khớp hay không. Giai đoạn 1 và 2 được đánh giá bằng một kiểm tra DNS trực tiếp, vì chưa có báo cáo nào tồn tại. Một giới hạn trung thực ở mỗi hướng: Giai đoạn 4 được xác nhận bằng bằng chứng qua thời gian — “mọi bên gửi được quan sát đều căn khớp trong đủ nhiều ngày báo cáo” là một chỉ báo mạnh, nhưng không báo cáo nào có thể tiết lộ bên gửi mà bạn chưa kết nối. Và lớp gia cố của Giai đoạn 6 — MTA-STS, TLS-RPT, BIMI — là vô hình trong các báo cáo DMARC; cần một kiểm tra DNS mới thấy được. Một tên miền có thể trông “đã xong” từ các báo cáo của nó mà vẫn mang một khoảng trống Giai đoạn 5 → 6 ẩn giấu. Đây là mô hình mà bản phân tích báo cáo của chính chúng tôi đo lường dựa theo, kèm cả các rào cản.
Một ví dụ đã làm rõ
Một công ty tầm trung chạy Microsoft 365 sau một cổng lọc thư. SPF kết thúc bằng -all, DKIM đã được cấu hình, DMARC được công bố ở p=none, và báo cáo chảy về một công cụ giám sát. Trên các bản đồ cũ, điều này trông gần như đã xong. Trên bản đồ này, nó là Giai đoạn 3 — Quan sát: phần thiết lập khó đã hoàn thành, và tên miền đã mắc kẹt chính xác tại bức tường — nhìn thấy được, nhưng không được bảo vệ. Bước đi có giá trị cao nhất là 3 → 4 → 5: xác nhận (nhiều khả năng là ít) các bên gửi hợp pháp đều căn khớp, rồi nâng chính sách theo từng giai đoạn. Với một tên miền có hình dạng này, đó thường là vài tuần chú tâm, không phải vài tháng — bức tường cao nhất đối với những ai không bao giờ vẽ bản đồ cho nó.
Tìm giai đoạn của bạn
Câu hỏi cần bỏ đi là “chúng ta có DMARC không?” — 24.89% tên miền có thể nói có trong khi 57.5% trong số đó vẫn có thể bị giả mạo. Câu hỏi hay hơn là “chúng ta đang ở giai đoạn nào, và bước đi duy nhất để tới giai đoạn kế tiếp là gì?” Mọi tên miền trên internet hôm nay đều đang ở đúng một trong sáu giai đoạn này. Biết được là giai đoạn nào sẽ biến một nỗi lo âu thành một danh sách việc cần làm.
Các câu hỏi thường gặp
DAMM là gì? Mô hình Trưởng thành Áp dụng DMARC — mô hình sáu giai đoạn trên trang này: Không được bảo vệ, Được xác thực, Quan sát, Tầm nhìn, Được cưỡng chế, Được gia cố. Giai đoạn của một tên miền có thể đo được từ DNS và dữ liệu báo cáo DMARC của nó, đó là điều tách nó khỏi một tấm áp phích treo trên tường.
Vậy công bố p=none là vô ích à? Không — đó là Giai đoạn 3, và Giai đoạn 3 mang tính chịu lực: báo cáo là cách bạn tìm ra mọi bên gửi trước khi cưỡng chế. Nó chỉ trở thành vấn đề khi bị coi là điểm đến. Xem vì sao p=none không phải là bảo vệ.
Tôi có thể nhảy thẳng đến p=reject không? Nếu tên miền của bạn không gửi thư — có, ngay hôm nay, và bạn nên làm vậy. Nếu nó có gửi thư — không: cưỡng chế mà không có Tầm nhìn (Giai đoạn 4) là cách thư hợp pháp bị hỏng và các đợt quay lui xảy ra. Các giai đoạn là con đường an toàn, không phải nghi thức.
Tôi có cần BIMI để “hoàn tất” không? Không. BIMI là lớp hiển thị thương hiệu của Giai đoạn 6 và là yếu tố tùy chọn nhất trong mô hình — MTA-STS, TLS-RPT và bao phủ np= của DMARCbis mới là những phần thực sự gia cố một tên miền. Nếu chi phí chứng chỉ không đáng với bạn, hãy bỏ qua nó và giữ phần còn lại của Giai đoạn 6.
SPF và DKIM nằm ở đâu? Bên dưới tất cả — chúng là Giai đoạn 1 → 2, và SPF mà không có DMARC bảo vệ ít hơn hầu hết các chủ sở hữu tưởng. Kể từ năm 2024, các bên nhận lớn cũng đã yêu cầu xác thực dứt khoát từ các bên gửi hàng loạt.
Kiểm tra xem tên miền của chính bạn đang đứng ở đâu
Các giai đoạn này là những khuôn mẫu của tập hợp — tên miền của bạn đang ở đúng một trong số chúng, và bước đi kế tiếp là có thể biết được. Bạn có thể kiểm tra một cách riêng tư và miễn phí, và xem bạn vượt qua được bao nhiêu trong số 34 mục kiểm tra cũng như cách khắc phục những mục bạn chưa qua.
Kiểm tra tên miền của bạn → · Cách chúng tôi chấm điểm internet → · Trụ cột DMARC → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.