Defaults.Exposed

Defaults.Exposed › DMARC

DMARC:采用情况、成熟度与联赛排名榜

数据截至 2026-06-29 · 第 1 版 · 数据截至 2026-06-29

DMARC 是一条 DNS 记录,它告诉全世界的收件箱,对于伪称来自你域名的邮件该如何处置——投递、隔离,还是拒收。什么都不发布(或将其停留在仅监控模式),任何人都能把你的名字放进一封邮件的“发件人”一行。本节测量整个互联网实际如何使用 DMARC——并为结果赋予平实、可引用的名称。

是普查,不是抽样:测量了 261 百万个域名。10.6% 强制执行 DMARC;75.1% 根本没有发布记录。

模型:DMARC 采用成熟度模型(DAMM)

采用数字只有对照一张地图才有意义。我们的地图就是 DMARC 采用成熟度模型——DAMM:从未受保护已加固的六个阶段,每阶段一步动作,中间还有一堵诚实的墙——从观察中(报告流入)到可见性(每个发件方都有着落)的那一步,大多数域名从未爬过。本节中的每一张表和每一份报告,都是 DAMM 应用于普查的结果。

是时候给个 DAMM 了。

常设分母

本站每一个 DMARC 页面都使用相同的分母,因此这里没有任何一项统计能悄悄更换它的基数:

你处于哪个阶段?六个问题

从问题 0 开始,然后按顺序作答——第一个“否”就是你所处的阶段。除了查看你自己的 DNS 记录和邮箱之外,无需任何其他东西——如果有一题你答不上来,别猜:免费检测 会读取你实时的 DNS,并为你解答问题 1、2、3 和 5。

0. 你的域名到底发不发邮件?

否 → 你的旅程就浓缩为一步:今天就发布 SPF v=spf1 -all 和 DMARC p=reject。从不发信的域名没有合法邮件需要保护——无需观察,也没有墙要爬——因此只需一次 DNS 更改,就能直达 第 5 阶段——已强制执行是 → 下一个问题。

1. 对于你所发的邮件,SPF 和 DKIM 是否存在并通过?

否 → 你很可能处于 第 1 阶段——未受保护。你的下一步:为你的主邮件配置 SPF DKIM,并确认两者都通过认证且对齐——对齐是指 SPF 或 DKIM 验证的域名,与人们在可见的“发件人:”一行中看到的域名相同,这正是 DMARC 实际检验的匹配。DMARC 建立在两者之上。是 → 下一个问题。

2. 你是否发布了 DMARC 记录?

否 → 你很可能处于 第 2 阶段——已认证。你的下一步:发布一条 p=none 的 DMARC 记录,并带上 rua= 报告地址——一条 DNS 记录,什么都不会被破坏。是 → 下一个问题。

3. 你的记录是否请求了确实有人接收的报告(rua=)?

否 → 你很可能卡在 第 2 与第 3 阶段之间——已发布,却摸黑。你的下一步:添加一个 rua= 地址(一次 DNS 编辑),让汇总报告流入——不作观察的记录,无法找到你日后需要对齐的发件方。是 → 下一个问题。

4. 你是否已识别出你域名邮件的每一个合法发件方——并且每一个都对齐?

否 → 你很可能处于 第 3 阶段——观察中,正站在大多数域名停滞不前的那堵墙前。你的下一步:盘点每一个以你的域名发信的服务(邮件订阅工具、开票系统、CRM),并让每一个都对齐。这也是域主最常引入外援的阶段——IT 服务商或 DMARC 监控服务可以完成发件方识别的工作;无论哪种方式,阶段都保持不变。是 → 下一个问题。

5. 你的策略是 p=quarantine 还是 p=reject?

否 → 你很可能处于 第 4 阶段——可见性,你可以安全地强制执行了。你的下一步:分步提高策略——none → quarantine → reject。是 → 你正处于 第 5 阶段——已强制执行。你的下一步:加固层——np= 覆盖、MTA-STS 和 TLS-RPT——外加持续监控。那就是第 6 阶段。

五题全是,加固已到位,还有人在盯着报告?那就是第 6 阶段——已加固。此处的动作是坚守:新发件方会出现,服务商会更换 IP,配置会腐坏。对某个答案没把握?运行免费检测——它会在一分钟内、私密地,从你实时的 DNS 中厘清问题 1、2、3 和 5。

联赛排名榜与月度报告

深度剖析

想知道您的域名处于什么水平吗? 运行免费检查 → — 私密;我们只会向域名的已验证所有者显示其评级。

我们如何评级 → · 仅为整体数据;我们绝不公布任何单个域名的评级。