Defaults.Exposed

Defaults.Exposed › 报告

你把 DMARC 设成了 p=none——这就是你仍然暴露的原因(2026)

发布于 2026-06-29

数据截至 2026-06-29 · 方法论 v7。 涵盖 261 百万个已评级域名的汇总普查数据。“强制执行”是指 DMARC 策略为 quarantinereject。请参阅我们如何评级

如果你的 DMARC 记录设置为 p=none,你的域名仍然可能被冒充——该记录只是在监控,而非保护。 这是电子邮件中最常见的虚假安全陷阱:p=none 看起来像是 DMARC 已经”配置完成”,能通过粗略的合规检查,却完全无法阻止伪造。截至 2026-06-29,所有域名中有 14.29% 处于 p=none——实际上多于达到强制执行策略的 10.59%

p=none 实际上做了什么

DMARC 有三种策略,其中只有两种能保护你:

p=none 的存在是有原因的:它是安全的第一步,让你在启用强制执行之前收集报告并确认你的合法邮件能通过。陷阱在于止步于此。从攻击者的角度看,一个无限期停留在 p=none 的域名,与完全没有 DMARC 的域名毫无区别——伪造的邮件仍然会进入收件箱。

数据显示大多数域名止步过早

DMARC 状态域名占比是否受保护?
无 DMARC 记录75.11%
p=none(仅监控)14.29%否——陷阱所在
强制执行(quarantine/reject10.59%

综合来看,89.41% 的域名可能被冒充——而其中很大一部分确实有 DMARC 记录,只是不是强制执行的。它们完成了困难的部分,却在距离保护仅一步之遥时止步。

如何从 p=none 走向受保护

你不会直接跳到 reject。一旦你的报告显示合法邮件能够通过,安全的路径是:

  1. 确认对齐——在 p=none 阶段检查 DMARC 报告,确认你的真实发件人(SPF/DKIM)能够通过。
  2. 切换到 p=quarantine ——未通过验证的邮件进入垃圾邮件。观察一两周。
  3. 切换到 p=reject ——未通过验证的邮件被拒收。这才是真正阻止冒充的设置。

这是一个有意识的渐进过程,而非一次性的开关——但目的地是强制执行。请参阅如何修复 DMARC

常见问题

p=none 能阻止电子邮件欺骗吗? 不能。p=none 只是监控——接收服务器仍会投递伪造邮件。只有 p=quarantinep=reject 才能阻止冒充。14.29% 的域名卡在 p=none

p=none 比没有 DMARC 好吗? 仅对而言,作为收集报告的临时步骤。就防范冒充而言,它等同于完全没有——伪造邮件仍会通过。

我应该在 p=none 停留多久? 刚好足够确认你的合法邮件能够通过即可——通常是几周——然后切换到 quarantine 和 reject。无限期停留在 p=none 就是陷阱。

我如何知道自己是否在强制执行? 检查你的域名(如下)——它会读取你的实际策略,并告诉你它是强制执行、仅监控还是缺失。

检查你的 DMARC 是否真正保护了你

p=none 是一个检查点,而非终点。免费且私密地检查你的域名——查看你的真实策略以及通往强制执行的路径。

检查你的域名 → · 修复 DMARC → · 有人能冒充你的域名吗? → · 仅汇总数据。数据在欧盟存储和处理。