Defaults.Exposed

Defaults.ExposedCách khắc phụcGuides

DMARC từ p=none đến p=reject Không Mất Email Hợp Lệ: Triển Khai Theo Giai Đoạn (2026)

Đã xuất bản 2026-07-08

Số liệu tính đến 2026-06-29 · phương pháp luận v7. Dữ liệu tổng hợp từ 261 triệu tên miền được chấm điểm. Xem cách chúng tôi chấm điểm.

Chuyển DMARC từ p=none sang p=reject qua bốn giai đoạn: giám sát báo cáo rua trong 2–4 tuần, sửa mọi nguồn gửi hợp lệ, tăng dần p=quarantine với pct, rồi reject — không bao giờ nhảy thẳng sang reject. 70,368,600 trong 261,086,232 tên miền được chấm điểm đang bị kẹt với SPF mềm và không thực thi DMARC, theo dữ liệu khảo sát của Defaults.Exposed.

Đây là sổ tay vận hành: bảng các giai đoạn với tiêu chí thoát, bản ghi cho mỗi giai đoạn, điểm tinh tế trong RFC 7489 về pct làm thay đổi ý nghĩa của “50%” ở mức reject, và thẻ sp= cho tên miền con. Nếu bạn đang cân nhắc có nên thực thi hay không, hãy đọc 6 giai đoạn trưởng thành DMARC trước — đó là khung lý thuyết; và nếu các mức chính sách còn mới với bạn, p=none, p=quarantine và p=reject thực sự có nghĩa gì là tài liệu nhập môn. Trang này là phần thực hành.

Tại sao không thể nhảy thẳng sang p=reject?

p=reject yêu cầu mọi máy chủ nhận tuân thủ từ chối (bounce) thư không qua DMARC — và cho đến khi bạn xem báo cáo, bạn không biết thư nào bị lỗi. Hầu như mọi tên miền bật giám sát đều phát hiện những nguồn gửi hợp lệ mà họ quên: CRM, công cụ hóa đơn, biểu mẫu liên hệ. Nhảy sang reject ngay ngày đầu và những thư đó không vào spam; chúng biến mất ngay tại SMTP. Mất một đợt gửi hóa đơn dạy tổ chức sợ DMARC, và bản ghi bị quay về p=none vĩnh viễn — trong 261,086,232 tên miền được chấm điểm, 37,312,637 đang dừng chính xác ở đó, và chỉ 10.59% (27,640,987) đạt được chính sách thực thi.

Lý do thứ hai là căn chỉnh. DMARC chỉ vượt qua khi SPF hoặc DKIM vượt qua căn chỉnh với tên miền From hiển thị — SPF so với tên miền Return-Path (RFC5321.MailFrom), DKIM so với d= của chữ ký. Người gửi bên thứ ba thường vượt qua SPF trên tên miền của họ, không phải của bạn, đó là lý do giai đoạn sửa-từng-nguồn chủ yếu là bật DKIM tên miền tùy chỉnh cho mỗi nhà cung cấp — được phân tích chi tiết trong DMARC lỗi nhưng SPF và DKIM vượt qua.

Bốn giai đoạn triển khai là gì?

Giai đoạnBản ghi chính sáchpctĐiều gì xảy ra với thư lỗiTiêu chí thoát
1. Giám sátp=none; rua=mailto:…Được chuyển bình thường; bạn nhận báo cáo tổng hợp2–4 tuần báo cáo; mọi nguồn gửi được xác định là hợp lệ hay không
2. Sửa nguồnp=none (không thay đổi)Vẫn được chuyển bình thườngMọi nguồn hợp lệ vượt qua DMARC căn chỉnh (DKIM tên miền tùy chỉnh theo từng nguồn); lỗi còn lại chỉ là lưu lượng không rõ/giả mạo
3. Tăng dần quarantinep=quarantine10 → 25 → 50 → 100Phần được lấy mẫu vào thư spam; phần không được lấy mẫu được xử lý như p=none (được chuyển)1–2 tuần ở pct=100 với không có thư hợp lệ nào bị quarantine
4. Rejectp=reject100Bị trả lại tại SMTP; người gửi nhận bounce, người nhận không thấy gìLiên tục — giữ rua mãi mãi để bắt nguồn gửi mới

Dữ liệu tính đến 2026-06-29; hành vi chính sách theo RFC 7489.

Giai đoạn 3 là nơi các tên miền bị kẹt hoặc hoảng loạn. Đưa vào thư spam có thể khắc phục — người dùng tìm thấy thư, bạn giảm pct, bạn sửa nguồn. Từ chối không thể khắc phục, đó là lý do quarantine ở pct=100 chạy sạch là điều kiện vào giai đoạn 4.

Cách thực hiện từng bước?

  1. Chạy quét miễn phí tại defaults.exposed trước khi chạm vào DNS. Nó xác nhận chính sách hiện tại và SPF, DKIM đã có hay chưa — hai chân mà thực thi đứng trên.
  2. Bật giám sát nếu chưa làm. Xuất bản p=none với rua= là bước năm phút trong “chính sách DMARC chưa được bật”. Thu thập 2–4 tuần báo cáo — đủ để bắt các nguồn gửi hàng tháng như đợt hóa đơn.
  3. Liệt kê mọi nguồn trong báo cáo. Phân loại người gửi thành của bạn, của nhà cung cấp, và không rõ nguồn. Báo cáo thô đến dạng XML — công cụ xử lý báo cáo (hoặc bảng điều khiển của nhà cung cấp) chuyển thành danh sách nguồn gửi có thể đọc được.
  4. Làm cho mỗi nguồn hợp lệ vượt qua căn chỉnh. Bật DKIM tên miền tùy chỉnh cho từng nhà cung cấp (thường là hai bản ghi CNAME trong bảng điều khiển của họ) để chữ ký mang tên miền của bạn, không phải của họ. Ưu tiên DKIM cho căn chỉnh: nó tồn tại qua chuyển tiếp, SPF thì không.
  5. Đợi hai tuần sạch. Chỉ thoát giai đoạn 2 khi các lỗi được báo cáo hoàn toàn là lưu lượng bạn không nhận ra — các hành động giả mạo mà bạn muốn chặn.
  6. Chuyển sang p=quarantine; pct=10 — chỉnh sửa bản ghi TXT _dmarc hiện có (ví dụ thực tế: cài đặt DMARC trên IONOS), và chú ý cú pháp: lỗi đánh máy trong thẻ chính sách có thể làm vô hiệu bản ghi. Tăng pct lên 25, 50, 100 trong 2–4 tuần, theo dõi báo cáo và ticket helpdesk. Nếu có thư hợp lệ nào vào spam: giảm pct, sửa nguồn, tiếp tục.
  7. Chuyển sang p=reject sau 1–2 tuần sạch ở pct=100. Giữ rua= mãi mãi — mọi công cụ mới mà công ty bạn sử dụng đều là nguồn gửi có thể lỗi trong tương lai.

pct thực sự làm gì? Điểm tinh tế trong RFC 7489

pct yêu cầu máy chủ nhận áp dụng chính sách của bạn cho phần trăm đó của thư lỗi. Điểm tinh tế, theo RFC 7489 §6.6.4: thư không được lấy mẫu không trở về “chuyển bình thường” — nó nhận chính sách ít nghiêm ngặt hơn kế tiếp. Với p=quarantine; pct=25, 75% còn lại được xử lý như p=none và được chuyển. Nhưng với p=reject; pct=50, 50% còn lại bị quarantine, không được chuyển. Không có reject nhẹ nhàng: ngay khi bản ghi của bạn nói reject, mọi thư lỗi ít nhất vào spam ở các máy chủ nhận tuân thủ.

Dùng có chủ ý, đó là tính năng — p=reject; pct=1 hoạt động như “quarantine gần như tất cả, reject một lượng nhỏ”, một đoạn cuối hợp lý của quá trình chuyển. Hai lưu ý: máy chủ nhận không triển khai lấy mẫu giống nhau, vì vậy hãy xem pct là một núm điều chỉnh gần đúng; và xóa thẻ (hoặc đặt pct=100) sau khi giai đoạn 4 ổn định, để bản ghi nói đúng ý bạn.

Còn tên miền con — thẻ sp=?

Theo mặc định, tên miền con kế thừa chính sách của tên miền tổ chức: p=rejectyourdomain.com cũng bao gồm mail.yourdomain.com. Thẻ sp= cho phép chúng khác biệt, theo cả hai hướng hữu ích và nguy hiểm. Hữu ích: p=quarantine; sp=reject khóa chặt các tên miền con bạn không bao giờ gửi từ đó trong khi tên miền gốc vẫn đang tăng dần — kẻ giả mạo cố ý nhắm vào tên miền con của các tên miền đang được giám sát. Nguy hiểm: một sp=none bị quên lặng lẽ miễn trừ mọi tên miền con khỏi chính sách reject mà bạn mất sáu tuần đạt được. Kiểm tra nó ở giai đoạn 4; nếu một tên miền con thực sự cần chính sách lỏng hơn, hãy xuất bản bản ghi _dmarc trên tên miền con đó thay vì làm lỏng tất cả.

NIS2 có nghĩa là các doanh nghiệp EU phải làm điều này không?

DMARC hoạt động giống nhau ở mọi nơi — không có gì trong sổ tay này thay đổi ở biên giới EU. Điều thay đổi là áp lực tuân thủ. Điều 21(2)(j) NIS2 yêu cầu các thực thể trong phạm vi bảo mật thông tin liên lạc của họ, và Quy định Thực hiện của Ủy ban (EU) 2024/2690 quy định rõ các yêu cầu kỹ thuật cho các thực thể cơ sở hạ tầng kỹ thuật số mà nó bao gồm — Phụ lục của nó (điểm 6.7.2(k)) yêu cầu kế hoạch triển khai các tiêu chuẩn bảo mật email hiện đại được quốc tế chấp nhận, và điểm 6.7.2(l) yêu cầu thực hành tốt nhất về bảo mật DNS. Chính sách DMARC được thực thi, với SPF và DKIM bên dưới, là biện pháp kiểm soát có thể kiểm tra được đối với giả mạo; p=none rõ ràng là giám sát, không phải bảo mật. Nếu khách hàng của bạn nằm trong phạm vi, bảng câu hỏi nhà cung cấp của họ ngày càng hỏi chính xác điều này.

Câu hỏi thường gặp

Toàn bộ quá trình triển khai mất bao lâu? Sáu đến mười tuần là thông thường: 2–4 tuần giám sát, 1–3 tuần sửa nguồn, 2–4 tuần tăng dần quarantine, rồi reject. Đây là thời gian lịch, không phải công sức — chủ yếu là chờ báo cáo xác nhận từng thay đổi. 89.41% trong 261,086,232 tên miền được chấm điểm không có chính sách thực thi (dữ liệu tính đến 2026-06-29) phần lớn không phải đang giữa quá trình triển khai; họ không bao giờ bắt đầu đồng hồ.

Có thể bỏ qua quarantine và dùng p=reject với pct thấp không? Có thể — theo RFC 7489 §6.6.4, p=reject; pct=10 có nghĩa là 10% bị reject và 90% bị quarantine, xấp xỉ giai đoạn 3 cuối. Nhưng p=quarantine trước thì dễ hiểu hơn, và máy chủ nhận khác nhau về mức độ trung thực khi lấy mẫu. Dù cách nào, giai đoạn 1–2 là bắt buộc: không có kiểu thực thi nào an toàn khi các nguồn gửi hợp lệ vẫn đang lỗi.

Còn thư tôi không thể sửa — bộ chuyển tiếp và danh sách gửi thư? Chuyển tiếp phá vỡ SPF theo thiết kế, và một số danh sách gửi thư viết lại nội dung, phá vỡ DKIM cũng vậy. DKIM căn chỉnh tồn tại qua chuyển tiếp thông thường, xử lý hầu hết trường hợp; phần dư nhỏ là lý do giai đoạn quarantine tồn tại — thư vào spam có thể khắc phục trong khi bạn đánh giá. Chi tiết trong email chuyển tiếp bị lỗi SPF.

Dừng ở p=quarantine có đủ không? Đó là phần lớn giá trị, và tốt hơn nhiều so với 37,312,637 tên miền đang dừng ở p=none (trong 261,086,232 được chấm điểm, dữ liệu tính đến 2026-06-29) — nhưng thư giả mạo vẫn đến thư spam, nơi người ta có thể kéo ra. Reject là điểm kết thúc: chỉ 10.59% tên miền được chấm điểm thực thi, và hoàn thành là điều mà các công cụ kiểm tra, nhà bảo hiểm và bảng câu hỏi ghi nhận.

Gửi báo cáo cho chủ sở hữu

Nếu bạn đang thực hiện triển khai này cho khách hàng hoặc nhà tuyển dụng, thì vạch đích có thể hiển thị. Chạy lại quét miễn phí sau khi p=reject phân giải và chuyển tiếp báo cáo được chấm điểm: tên miền chuyển sang chính sách thực thi, có dấu thời gian và bằng tiếng Anh đơn giản. Trang đó trả lời dòng bảo mật email trên các đợt tái tục bảo hiểm mạng và bảng câu hỏi nhà cung cấp do NIS2 thúc đẩy tốt hơn một ảnh chụp màn hình bảng điều khiển DNS — và nó làm cho sáu tuần làm việc cẩn thận, vô hình hiển thị với người trả tiền.

Kiểm tra chính sách DMARC miễn phí

Xem chính sách hiện tại của bạn là gì — và SPF, DKIM có thể mang thực thi hay không — một cách riêng tư và chỉ chủ sở hữu mới thấy.

Kiểm tra tên miền → · Sửa DMARC → · “Chính sách DMARC chưa được bật” — bước đầu tiên thực sự → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.