Defaults.Exposed

Defaults.Exposed › Báo cáo

DMARC là gì? Giải thích p=none, quarantine và reject (2026)

Đã xuất bản 2026-07-01

Số liệu tính đến 2026-06-29 · phương pháp v7. Dữ liệu điều tra tổng hợp trên 261 triệu tên miền được chấm điểm. DMARC là chính sách DNS cho máy chủ email nhận biết phải làm gì với những thư không vượt qua xác thực. Xem cách chúng tôi chấm điểm.

DMARC là chỉ dẫn quyết định xem một email giả mạo danh nghĩa của bạn sẽ bị từ chối, bị cách ly, hay được gửi đi như bình thường. Nó có ba thiết lập — none, quarantine, reject — và chỉ hai thiết lập sau mới thực sự bảo vệ bạn. Trên 261 triệu tên miền, chỉ có 10.59% thực thi. Phần lớn số còn lại hoặc không công bố gì cả (75.11%) hoặc chỉ có một bản ghi chỉ giám sát trông giống bảo vệ nhưng chẳng ngăn được gì (14.29%). Sau đây là tác dụng của từng chính sách.

Ý nghĩa của ba chính sách DMARC

DMARC gắn SPF và DKIM với địa chỉ “From” hiển thị và cho bên nhận biết phải làm gì khi có thất bại:

Cộng lại, quarantine và reject — hai chính sách thực thi — chỉ bao phủ 10.59% tên miền. Chỉ 8.89% thu thập báo cáo tổng hợp (rua) cho bạn biết ai đang gửi email nhân danh bạn.

”Chúng tôi đã công bố DMARC” không giống với “chúng tôi thực thi DMARC”

Đây chính là cái bẫy. Việc công bố một bản ghi khiến ta có cảm giác như đã hoàn tất, nhưng một bản ghi p=none là một chiếc báo khói không có pin — nó quan sát chứ không hành động. Và những lỗi gõ sai âm thầm hạ cấp bạn xuống mức chẳng có gì: 48,648 tên miền (0.07% số bản ghi DMARC) có mã chính sách mà bên nhận không đọc được — những lỗi chính tả như quarentine hoặc sai ngôn ngữ — nên nó bị coi như không có chính sách. Xem vì sao p=none không phải là bảo vệlỗi gõ sai DMARC.

Làm thế nào để thiết lập DMARC?

Hãy làm theo đúng thứ tự — thực thi trước khi SPF và DKIM vững chắc sẽ khiến chính email của bạn bị trả về:

  1. Công bố SPFDKIM trước và xác nhận email hợp lệ của bạn vượt qua cả hai.
  2. Bắt đầu ở p=none với rua — một bản ghi kiểu v=DMARC1; p=none; rua=mailto:you@yourdomain. Theo dõi các báo cáo trong vài tuần để nhận diện mọi người gửi thực sự.
  3. Chuyển sang p=quarantine, rồi p=reject khi các báo cáo đã sạch. Bước cuối cùng này mới là bước thực sự chặn được hành vi mạo danh. Xem sửa DMARC.

Mức thực thi theo đuôi tên miền

Càng cao càng tốt — tỷ lệ thực sự chặn được giả mạo. Tính đến 2026-06-29:

Đuôi tên miềnThực thi DMARC
.nl (Hà Lan)29.43%
.de (Đức)21.38%
.uk (Vương quốc Anh)13.42%
.com9.50%
.net10.08%
.org10.01%
.xyz5.15%

Ngay cả đuôi tên miền lớn mạnh nhất cũng chỉ thực thi trên một phần thiểu số các tên miền của nó.

Câu hỏi thường gặp

Bản ghi DMARC là gì? Một bản ghi DNS TXT tại _dmarc.yourdomain bắt đầu bằng v=DMARC1, mà giá trị p= của nó cho bên nhận biết phải làm gì với thư không vượt qua xác thực: none, quarantine hoặc reject.

p=none có đủ không? Không. p=none chỉ giám sát và không chặn gì cả. 14.29% tên miền dừng ở đây và vẫn có thể bị giả mạo. Chỉ quarantine hoặc reject mới bảo vệ bạn.

Sự khác biệt giữa quarantine và reject là gì? quarantine đưa thư thất bại vào thư rác; reject từ chối hoàn toàn. Reject là mạnh nhất. Tính đến 2026-06-29, 5.28% tên miền dùng quarantine và 5.31% dùng reject.

DMARC có chặn email của chính tôi không? Chỉ khi SPF hoặc DKIM chưa được thiết lập đúng từ trước. Đó là lý do bạn bắt đầu ở p=none, theo dõi các báo cáo, và siết chặt lại khi tất cả người gửi thực sự của bạn đều vượt qua.

DMARC có miễn phí không? Có — đó là một bản ghi DNS. Chi phí là thời gian để triển khai an toàn, chứ không phải tiền bạc.

Kiểm tra DMARC của tên miền bạn miễn phí

Xem chính sách DMARC của bạn có thực sự thực thi hay không — riêng tư, và chỉ dành cho chủ sở hữu.

Kiểm tra tên miền của bạn → · Sửa DMARC → · Có ai giả mạo được tên miền của tôi không? → · Cách chúng tôi chấm điểm → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.