Defaults.Exposed › 修复 › Guides
"DMARC 策略未启用":检测工具到底在说什么,以及诚实的五分钟第一步(2026)
发布于 2026-07-08
数据截至 2026-06-29 · 方法论 v7。 基于 261 百万个已评分域名的汇总普查数据。参见我们如何评分。
“DMARC 策略未启用”其实可能是两种不同的情况:你的域名完全没有 DMARC 记录,或者有一条设成了 p=none 的记录。根据 Defaults.Exposed 普查,只有 10.59% 的域名——261,086,232 个中的 27,640,987 个——强制执行 DMARC 策略。发布一条监控记录只要五分钟;强制执行则是一个项目。
这篇指南会拆解这条警告的含义,给出该发布的确切 TXT 记录以及具体该放在哪里,讲清楚让第一次尝试失败的语法坑,并对你 DMARC 报告的第一周设定一个诚实的预期。它刻意不是一篇“五分钟修好 DMARC”的指南——那五分钟带来的是可见性,不是防护。
“DMARC 策略未启用”到底是什么意思?
像 MXToolbox 这样的检测工具会把两种不同的发现合并成同一条橙色警告,而修复路径取决于你到底是哪一种:
| 检测工具显示的内容 | 实际含义 | 受影响的域名(占 261,086,232 个已评分域名) |
|---|---|---|
| “未发现 DMARC 记录” | _dmarc.yourdomain 上什么都没发布。接收方不套用任何策略,也不给你发任何报告。你对自己的邮件问题一无所知。 | 196,105,162(75.11%) |
| “DMARC 策略未启用” / “policy is none” | 记录存在,但写的是 p=none:报告已开启,防护已关闭。接收方照旧原样投递伪造邮件。 | 37,312,637(14.29%) |
| “Policy: quarantine” 或 “reject” | 已强制执行的策略。接收方会对失败的邮件采取行动。 | 27,640,987(10.59%) |
数据截至 2026-06-29。
第一行是大多数互联网域名所处的位置:75.11% 的已评分域名完全没有发布 DMARC 记录,另有 14.29% 停留在 p=none。最后一行的反面才是关键数字:89.41% 的域名没有强制执行的 DMARC 策略——出自普查中 261,086,232 个已评分域名。如果你的检测工具显示这条警告,你就是绝大多数中的一员。这不是什么值得安心的事,恰恰相反,它正是伪造邮件至今依然廉价的原因。
有一点先说清楚,免得后面糊涂:DMARC 是叠加在 SPF 和 DKIM 之上的策略层,对照的是收件人实际看到的 From 标头。“未启用”意味着你还没有告诉接收方该做什么。如果这三个策略值对你来说还很陌生,浅显的说明见 DMARC 是什么:none、quarantine、reject。
五分钟内你能诚实地做到什么?
发布一条记录。这就是这句话全部的诚实含量。
v=DMARC1; p=none; rua=mailto:[email protected]
这条 TXT 记录生效五分钟后,会检查 DMARC 的接收方就会开始汇总每天的报告,告诉你谁在以你的域名发信——合法的服务器和冒充者都算在内。这种可见性是真实有价值的,也是真实即时的。
它做不到的:p=none 不保护任何东西。伪造的邮件会和昨天一样照常送达,明天再扫描一次的检测工具很可能依然会说“策略未启用”——而且这是对的,因为绿色对勾只留给 quarantine 或 reject。我们在 p=none 不是防护 里写了原因;能真正拦截伪造的分阶段路径见从 p=none 到 p=reject。下面这个五分钟步骤是起点;那篇指南才是终点。
怎么发布你的第一条 DMARC 记录?
- 动 DNS 之前,先运行免费扫描。 它会告诉你到底是哪一种情况——没有记录,还是
p=none——以及底层是否已具备 SPF 和 DKIM,这决定了你以后能多快推进到强制执行。 - 选一个接收报告的地址。 一开始用专门的邮箱,比如
dmarc-reports@yourdomain,就够了。如果你打算用报告分析服务,看下面的常见问题——第三方地址有一个不容易察觉的坑。 - 在
_dmarc主机添加一条 TXT 记录。 在大多数 DNS 控制面板里(可参考 IONOS DMARC 设置指南 的实操示例),你在主机名/名称字段里填_dmarc——面板会自动补全域名,生成_dmarc.yourdomain.com。值为:v=DMARC1; p=none; rua=mailto:[email protected] - 验证记录已生效。
dig TXT _dmarc.yourdomain.com(或任何在线检测工具)应该恰好返回一条以v=DMARC1开头的记录。大多数 DNS 变更几分钟内就能看到;较低的 TTL 会有帮助。 - 重新扫描。 你的报告会显示 DMARC 处于监控模式——如实反映你现在的位置:报告已开启,强制执行待定。
一条记录也能覆盖你的子域名:如果接收方在 mail.yourdomain.com 上找不到记录,会回落到组织域名的策略,所以一开始监控并不需要给每个子域名都发一条记录。
添加记录时最常见的错误有哪些?
几乎每一次失败的首次尝试都是下面这些原因之一——它们很重要,因为无法解析的记录会被当作“没有记录”处理。普查统计到 48,648 条已发布但无法解析的 DMARC 记录;人们实际发布出来的各种拼写错误,收录在 DMARC 拼写错误普查 里。
- 主机名不对。 记录必须放在
_dmarc.yourdomain.com,而不是根域名。放在裸域名上什么作用都没有,检测工具会一直报“未发现 DMARC 记录”。 - 域名被重复拼接。 在会自动补全域名的面板里输入
_dmarc.yourdomain.com,会得到_dmarc.yourdomain.com.yourdomain.com。只需输入_dmarc。 - 用逗号代替分号。 标签之间要用
;分隔。无法解析的记录会被当作没有记录处理。 v=DMARC1缺失或位置不对。 它必须是第一个标签,拼写要完全一致;以p=开头的记录会解析失败。- rua 里漏了
mailto:。rua=dmarc@yourdomain是无效的;必须写成rua=mailto:[email protected]。 - 发布了两条 DMARC 记录。 接收方一旦发现不止一条
v=DMARC1记录,会把它们全部忽略——和多条 SPF 记录属于同一类失败。 - 从别处复制粘贴带来的花引号。 从文档里带进来的弯引号或不换行空格会破坏解析。如果检测工具说格式错误但看起来又没问题,重新手打一遍这条记录。
第一周的 rua 报告会是什么样子?
先把预期定好,免得你以为它坏了:
- 它们大致每天一份,按接收方分别发送。 Google 通常每 24 小时发一份汇总报告;Microsoft、Yahoo 等各有各的周期。对小域名来说,第一周通常只是零星几封邮件,大多来自
[email protected]。 - **它们是压缩的 XML 附件,**不是一个仪表盘。原始文件几乎没法直接读;免费的解析工具能把它们转成一张可读的发件方表。
- 报告量取决于你的邮件量。 如果你发的邮件不多,或者收件方大多不提供报告,数据会很稀疏。对低流量域名来说,安静两周是正常的——用
dig验证记录是否生效,而不是想当然地认为出问题了。 - 要有心理准备遇到意外。 大多数域名会发现自己忘记的发件方——CRM、开票工具、联系表单。每一个都需要先对齐 SPF 或 DKIM,才能进入强制执行。如果报告显示 DMARC 失败,但 SPF 和 DKIM 各自单独看都通过,那是对齐问题——见 DMARC 失败但 SPF 和 DKIM 都通过。
也一定要真的去要报告:64.3% 有 DMARC 记录的域名没有发布 rua= 地址,所以它们什么报告都收不到——这方面的普查数据见 DMARC 发布却两眼一抹黑。这里学到的一切都会喂给后面的强制执行上线计划——监控只是那个项目的第一周,不是终点。无限期停在 p=none 是域名最终沦为那 89.41% 的最常见方式。
常见问题
发布 p=none 会不会损害我的邮件送达率?
不会。p=none 不会改变接收方对你邮件的任何处理方式——它只是请求报告。它甚至有好处:Google 和 Yahoo 的大宗发件方要求规定,高流量发件方至少要有一条 p=none 的 DMARC 记录,所以发布一条只是达到合规底线,而不是冒险。
我发布了记录——为什么检测工具还是说“策略未启用”?
因为它说的是实话:你的策略是 none,而检测工具只把通过留给 quarantine 或 reject。你已经加入了“监控但不强制执行”的域名行列——截至 2026-06-29,261,086,232 个已评分域名中只有 10.59% 强制执行。等你完成强制执行上线,这条警告就会消失。
加 DMARC 之前需要先配好 SPF 和 DKIM 吗?
你需要至少一项,并且对齐,邮件才能通过 DMARC——但在发布 p=none 之前不需要它们完美无缺。监控正是用来发现哪里坏了的手段:根据普查(截至 2026-06-29),261,086,232 个已评分域名中有 70,368,600 个是软性 SPF 且没有 DMARC 强制执行,而报告正是它们了解卡在哪里的方式。
能不能把报告发给第三方分析服务,而不是发到我自己的邮箱?
可以——但如果 rua 地址在另一个域名上,需要该服务商发布一条授权记录(yourdomain._report._dmarc.vendor.com),否则接收方会悄悄不发报告。正规服务通常会自动完成这一步;如果报告一直收不到,先查这个。
把报告发给老板
如果你是在替客户或雇主修这个问题,别让这份工作被埋没。记录生效后重新运行免费扫描,把评分报告转发出去:它显示 DMARC 从缺失变为已监控,带日期、用大白话写清楚——也显示出通往强制执行的下一步是什么。企业主们如今在网络保险续保和供应商安全问卷里,越来越需要正是这样的凭证,而一页评分报告远比一张 DNS 面板截图更能说明问题。
免费检查你的域名
私密、仅域名所有者可见地看看你属于哪种情况——没有记录还是 p=none——以及底层情况如何。
检查你的域名 → · 修复 DMARC → · 从 p=none 到 p=reject → · 我们如何评分 → · 仅使用汇总数据。数据在欧盟境内存储和处理。