Defaults.Exposed

Defaults.Exposed › 报告

什么是 DMARC?p=none、quarantine 与 reject 详解(2026)

发布于 2026-07-01

数据截至 2026-06-29·方法论 v7。 覆盖 261 万个已评级域名的汇总普查数据。DMARC 是一条 DNS 策略,用于告诉收件邮件服务器如何处理未通过身份验证的邮件。参见我们如何评级

DMARC 是决定以你名义发出的伪造邮件是被拒绝、被隔离,还是像正常邮件一样投递的指令。 它有三种设置——nonequarantinereject——而只有后两种才真正保护你。在 261 万个域名中,仅有 10.59% 强制执行。其余大多数要么什么都没发布(75.11%),要么发布了一条看似有保护、实则什么都拦不住的仅监控记录(14.29%)。下面来看每种策略的作用。

三种 DMARC 策略的含义

DMARC 将 SPF 和 DKIM 与可见的“发件人”(From)地址关联起来,并告诉收件方在验证失败时应如何处理:

quarantine 和 reject 这两种强制执行策略合计,也仅覆盖 10.59% 的域名。只有 8.89% 的域名收集汇总(rua)报告,以了解谁在以你的名义发信。

“我们发布了 DMARC”不等于“我们强制执行 DMARC”

这就是陷阱所在。发布一条记录感觉像是到达了终点,但一条 p=none 记录就像一只没有电池的烟雾报警器——它只观察,不行动。而拼写错误会悄无声息地把你降级到形同虚设:48,648 个域名(占 DMARC 记录的 0.07%)的策略令牌收件方无法识别——例如把 quarantine 拼成 quarentine 之类的拼写错误,或用错了词——因此会被当作没有策略处理。参见为什么 p=none 不是保护DMARC 拼写错误

我该如何设置 DMARC?

请按顺序进行——在 SPF 和 DKIM 尚未稳固之前就开启强制执行,会退回你自己的邮件:

  1. 先发布 SPFDKIM,并确认你的合法邮件都能通过这两项。
  2. 从带 ruap=none 开始——一条类似 v=DMARC1; p=none; rua=mailto:you@yourdomain 的记录。观察几周的报告,找出每一个真实的发件方。
  3. 切换到 p=quarantine,待报告干净后再切换到 p=reject。最后这一步才是真正阻止冒充的关键。参见修复 DMARC

按域名后缀划分的强制执行情况

数值越高越好——它代表真正拦截伪造邮件的比例。截至 2026-06-29:

域名后缀强制执行 DMARC
.nl(荷兰)29.43%
.de(德国)21.38%
.uk(英国)13.42%
.com9.50%
.net10.08%
.org10.01%
.xyz5.15%

即便是表现最好的大型后缀,其强制执行的域名也只占少数。

常见问题

什么是 DMARC 记录? 它是位于 _dmarc.yourdomain 的一条 DNS TXT 记录,以 v=DMARC1 开头,其 p= 值告诉收件方如何处理未通过身份验证的邮件:nonequarantinereject

p=none 够用吗? 不够。p=none 仅用于监控,什么都拦不住。有 14.29% 的域名止步于此,仍然可被伪造冒用。只有 quarantinereject 才能保护你。

quarantine 和 reject 有什么区别? quarantine 把验证失败的邮件送进垃圾邮件;reject 则彻底拒收。reject 最强。截至 2026-06-29,有 5.28% 的域名使用 quarantine,5.31% 使用 reject。

DMARC 会拦截我自己的邮件吗? 只有在你没有先正确设置 SPF 或 DKIM 的情况下才会。这正是为什么你要从 p=none 开始,观察报告,待你所有真实发件方都通过后再收紧策略。

DMARC 免费吗? 免费——它只是一条 DNS 记录。成本是安全部署它所花的时间,而不是金钱。

免费检测你域名的 DMARC

查看你的 DMARC 策略是否真正强制执行——私密进行,仅域名所有者可见。

检测你的域名 →·修复 DMARC →·有人能伪造我的域名吗?→·我们如何评级 →·仅限汇总数据。数据在欧盟境内存储和处理。