Defaults.Exposed › 报告
DMARC 成熟度的六个阶段
发布于 2026-07-03 · 更新 2026-07-03
数据截至 2026-06-29 · 方法论 v7。 这是一个由周期性普查支撑的参考模型;每一版都会重新测量同一群体,以便随时间追踪这些数字。所有数据均为汇总数据——我们从不发布任何单个企业的评级。
发布 DMARC 并不等于受到保护
在 261 百万个受测域名中,24.89% 发布了 DMARC 记录——但只有 10.59% 真正强制执行。 换个说法:在大约 65 百万个已经开启 DMARC 之旅的域名里,57.5% 从未走到能真正拦截任何东西的那一步。 它们发布了一条记录,把报告指向了某个地方,然后就停滞了。规模更小的独立研究也发现了同样的形态——2026 年的一份行业报告称,在其考察的约 938,000 个域名中,只有约 9% 在强制执行。
采用率已不再是问题所在。保护才是。而域名之所以停滞,有一个结构性的原因:每个人都在用的那些地图都止步于半途。 它们结束得太早,而且没有任何一张把最难的那一步单独命名。
现有的地图止步于何处
行业赖以导航的这些模型在它们所处的时代是正确的,值得公允地看待:
- 五阶段部署模型由 dmarcian 推广开来(其创始人正是 DMARC 本身的共同作者),它沿着 部署 → 监控 → 策略收紧 的路径走——并把达到
p=reject当作终点。 - RFC 演进路径——
p=none → quarantine → reject——是三个强制执行级别,而不是一个成熟度模型。它对前置条件只字未提,对之后要做什么也只字未提。 - **「爬、走、跑」**是一种民间说法:方向上正确,但结构上空洞。
这三者都有两个共同的局限。第一,它们都止步于 p=reject——仿佛强制执行就是终点线。其实不是:标准本身早已向前迈进(DMARCbis——RFC 9989、9990 和 9991——已于 2026 年 5 月发布,取代了原有的 RFC 7489),而且强制执行对传输安全或品牌信任毫无帮助。第二——也是真正让域名搁浅的那一点——它们没有一个把「每一个发件方都已核实」列为一个有名字的阶段。 平心而论,那些部署指南确实提到了这项工作:dmarcian 的模型把来源识别作为其监控阶段内部的一项任务。但一项被埋进某个阶段内部的任务,恰恰就会被这样对待——被当作「监控」的一部分,而不是它本应是的那个独立成就。看着报告不断到来感觉像是在进步。但此刻还不是。域名之所以在 p=none 上停留数年,最大的单一原因就是它们能看见自己的邮件,却还没有核实清楚这些邮件——所以它们不敢强制执行,唯恐弄坏什么真实的东西。
一个有用的模型需要给那一步一个自己的名字和自己的退出标准。本模型正是如此。我们称之为 DMARC 采用成熟度模型——DAMM:六个阶段,每个阶段一步关键动作,还有一个你可以引用的名字。
该模型
阶段 1——未受保护。 没有 DMARC 记录——或者其底层的 SPF 与 DKIM 不完整。任何人都能以你的域名发送邮件,而且任何地方都没有在做校验。关键动作: 为你的主邮件配置 SPF 和 DKIM,并确认它们能通过认证且对齐。DMARC 建立在两者之上;你无法跳过这块地基。
阶段 2——已认证。 SPF 与 DKIM 对你的主邮件流已正确配置并对齐。你的合法邮件能够证明自己的来源——但没有任何东西告诉全世界的收件箱:对于那些无法证明来源的邮件该怎么处理。关键动作: 发布一条 p=none 的 DMARC 记录,并带上一个 rua= 报告地址。
阶段 3——观察中。 DMARC 已发布,汇总报告正在流入,你第一次能看到谁在以你的域名发件。什么都还没有被拦截。大多数工具把这个阶段称作「可见性」——我们刻意不这么叫,因为看到报告和理解报告是两种不同的成就。关键动作: 识别出每一个以你的域名发件的合法来源,并让每一个都实现对齐。
阶段 4——可见性。 每一个合法发件方都已被识别并对齐——那个通讯平台、那套开票系统、那个 CRM、市场部去年春天注册的那个东西。你了解自己的邮件。一旦强制执行,不会有任何合法邮件被弄坏。这正是旧地图跳过的那个阶段,也是大多数域名永远翻不过去的那堵墙。关键动作: 提升策略——p=none → p=quarantine(DMARCbis 的 t=y 测试模式在这里能帮上忙)→ p=reject。
阶段 5——已强制执行。 p=quarantine 或 p=reject 已经生效,且子域名由一条明确的 sp= 策略覆盖。认证失败的邮件现在会在参与其中的接收方那里被真正隔离或拒收——这些接收方包括所有主流邮箱服务商——因此对你确切域名的直接伪造,在有 DMARC 校验的地方将不再能投递到位。关键动作: 加上加固层——DMARCbis 的 np= 与树遍历(tree-walk)覆盖、用于传输安全的 MTA-STS 与 TLS-RPT,以及如果品牌展示对你重要的话,BIMI。
阶段 6——已加固并持续维护。 强制执行加上现代化的技术栈:来自 DMARCbis 的不存在子域名(np=)覆盖、保障邮件传输过程安全的 MTA-STS 与 TLS-RPT、在物有所值处部署的 BIMI——以及至关重要的、对漂移与新发件方的持续监控。这不是一枚徽章;这是一种纪律。新的发件方会出现,服务商会更换 IP,配置会腐化。关键动作: 保持在这里。
无邮件通道。 在整个域名清册上测量——包括已死亡的域名在内——51.5% 的域名根本不运行任何邮件服务,对它们而言这段旅程坍缩为一步。一个从不发件的域名,应当立即发布 SPF
-all和 DMARCp=reject:没有合法邮件需要保护,所以既无需观察,也没有墙要翻越。停放的和休眠的品牌域名只需一次 DNS 变更就能直达「已强制执行」——而这样做还堵住了最常见的冒充攻击途径之一。
那堵墙:阶段 3 → 4
本模型中其他每一次过渡都是一次 DNS 变更。唯独这一次是调查性的工作——也正是几个月光阴葬送之处。
从「观察中」走到「可见性」,意味着要把你报告中的每一个发件来源都归因到一个真实的系统:是哪个 ESP、哪个 CRM、哪个区域办公室的邮件中继、2023 年某人接上又忘了的哪个 SaaS 工具。这意味着要找出那些无人记录在案的影子 IT 发件方。这意味着要逐个 ESP 地修复对齐,因为每个平台都有自己代表你进行认证的方式——其中一些默认就是错的。
跳过这堵墙,正是 DMARC 落下吓人名声的原因。从「观察中」就直接强制执行——跳过「可见性」——你一定会拦掉某些真实的东西:一批发票邮件、一条密码重置流程、CEO 的通讯稿。接下来就是惊慌失措地回退到 p=none,内部复盘,以及每个人都学错了的那个教训:「我们试过 DMARC,它把邮件搞坏了。」 大多数 DMARC 恐怖故事恰恰就是这样——早了一个阶段就尝试强制执行。这堵墙不是停留在阶段 3 的理由。它正是阶段 4 存在的理由。
这也是域名所有者最常寻求外援的阶段——一家 IT 服务商或一项 DMARC 监控服务可以完成发件方识别的工作;无论走哪条路,这些阶段都保持不变。
人人都忘记的那部分:阶段 5 → 6
达到 p=reject,会在会做校验的接收方那里,阻止对你域名 From: 行的直接伪造。这是必要的——但并不充分。同样值得点明的是强制执行从未覆盖过什么:仿冒域名(yourc0mpany.com)和显示名冒充完全在 DMARC 的触及范围之外,所以强制执行关上了确切域名这扇门,却把相邻的那些门留给了警觉与其他控制手段。
强制执行对传输毫无作用:没有 MTA-STS 与 TLS-RPT,发往你域名的邮件在传输途中仍可能被降级或截获。它对品牌识别也毫无作用:BIMI——你的徽标,显示在收件箱里——是一种信任信号,而非安全控制手段,把它当作信任信号来对待才是诚实的(它还需要一份付费证书,这正是它排在最后而非最前的原因)。而单纯的 p=reject 早于 DMARCbis:新 RFC 的 np= 标签和树遍历弥补了较旧部署所留下的不存在子域名缺口。
一个处于 p=reject 却不具备上述任何一项的域名,能够抵御最常见的攻击,却对其余的攻击毫无准备。这是一个真实存在的区别,也值得拥有自己的阶段。
你所处的阶段是可测量的
这个模型不只是一张图——一个域名所处的阶段是可以计算的,这正是它区别于挂在墙上的一张海报之处。
阶段 3 到阶段 6 可以从一个域名自身的 DMARC 报告数据加上其已发布的记录中推导出来:哪条策略在生效、报告是否在流动、以及每一个被观察到的发件方是否对齐。阶段 1 和阶段 2 则通过一次实时 DNS 检查来评估,因为此时还不存在报告。两个方向上各有一个诚实的局限:阶段 4 靠的是随时间积累的证据来确认——「在足够多的报告日里,每一个被观察到的发件方都对齐」是一个有力的代理指标,但任何报告都无法揭示你尚未接入的那个发件方。而阶段 6 的加固层——MTA-STS、TLS-RPT、BIMI——在 DMARC 报告中是不可见的;要看到它,得靠一次 DNS 检查。一个域名从它的报告来看可能像是「已完成」,却仍暗藏着一个隐蔽的阶段 5 → 6 缺口。这正是我们自己的报告分析所对照测量的模型,连同它的种种阻碍在内。
一个实战例子
一家中型公司在一个邮件过滤网关背后运行 Microsoft 365。SPF 以 -all 结尾,DKIM 已配置,DMARC 以 p=none 发布,报告流向一个监控工具。在旧地图上,这看起来几乎已经完成。而在这张地图上,它处于 阶段 3——观察中:困难的搭建工作已经完成,而域名恰恰停滞在那堵墙上——可见,却未受保护。价值最高的动作是 3 → 4 → 5:确认那些(很可能为数不多的)合法发件方全部对齐,然后分阶段提升策略。对于处于这种形态的域名,这通常是数周的关注,而非数月——那堵墙对于从不绘制它的人才最高。
找到你所处的阶段
该被淘汰的问题是「我们有没有 DMARC?」——24.89% 的域名可以回答「有」,而其中 57.5% 仍然可被伪造。更好的问题是 「我们处于哪个阶段,通往下一个阶段的那一步关键动作是什么?」 今天,互联网上每一个域名恰好处于这六个阶段中的某一个。知道是哪一个,就把一份焦虑变成了一张待办清单。
常见问题
什么是 DAMM? DMARC 采用成熟度模型——就是本页上的六阶段模型:未受保护、已认证、观察中、可见性、已强制执行、已加固。一个域名所处的阶段可以从它的 DNS 和它的 DMARC 报告数据中测量出来,这正是它区别于挂在墙上的一张海报之处。
那么发布 p=none 就毫无价值了吗? 不——它是阶段 3,而阶段 3 是承重的:报告正是你在强制执行之前找出每一个发件方的方式。只有当它被当作终点时,才会变成一个问题。参见为什么 p=none 不是保护。
我能不能直接跳到 p=reject? 如果你的域名不发送任何邮件——可以,今天就可以,而且你应该这么做。如果它确实发送邮件——不行:在没有「可见性」(阶段 4)的情况下强制执行,正是合法邮件被弄坏、回退发生的原因。这些阶段是安全的路径,而不是繁文缛节。
要「完成」是不是必须有 BIMI? 不。BIMI 是阶段 6 的品牌展示层,也是模型中最可选的元素——MTA-STS、TLS-RPT 以及 DMARCbis 的 np= 覆盖才是真正对域名起到实质性加固作用的部分。如果证书成本对你来说并不划算,就跳过它,守住阶段 6 的其余部分。
SPF 和 DKIM 处于什么位置? 处于一切的底层——它们是阶段 1 → 2,而没有 DMARC 的 SPF所提供的保护,比大多数所有者所以为的要少。自 2024 年起,主流接收方还直接要求批量发件方进行认证。
查看你自己的域名处于何处
这些阶段是群体层面的模式——你的域名恰好处于其中之一,而下一步动作是可知的。你可以私密且免费地检查,看看在这 34 项检查中你通过了哪些,以及如何修复没通过的那些。
检查你的域名 → · 我们如何为互联网评级 → · DMARC 支柱页 → · 仅汇总数据。数据在欧盟境内存储和处理。