Defaults.Exposed

Defaults.Exposed修复Guides

"DMARC 策略未启用":检测工具到底在说什么,以及诚实的五分钟第一步(2026)

发布于 2026-07-08

数据截至 2026-06-29 · 方法论 v7。 基于 261 百万个已评分域名的汇总普查数据。参见我们如何评分

“DMARC 策略未启用”其实可能是两种不同的情况:你的域名完全没有 DMARC 记录,或者有一条设成了 p=none 的记录。根据 Defaults.Exposed 普查,只有 10.59% 的域名——261,086,232 个中的 27,640,987 个——强制执行 DMARC 策略。发布一条监控记录只要五分钟;强制执行则是一个项目。

这篇指南会拆解这条警告的含义,给出该发布的确切 TXT 记录以及具体该放在哪里,讲清楚让第一次尝试失败的语法坑,并对你 DMARC 报告的第一周设定一个诚实的预期。它刻意不是一篇“五分钟修好 DMARC”的指南——那五分钟带来的是可见性,不是防护。

“DMARC 策略未启用”到底是什么意思?

像 MXToolbox 这样的检测工具会把两种不同的发现合并成同一条橙色警告,而修复路径取决于你到底是哪一种:

检测工具显示的内容实际含义受影响的域名(占 261,086,232 个已评分域名)
“未发现 DMARC 记录”_dmarc.yourdomain 上什么都没发布。接收方不套用任何策略,也不给你发任何报告。你对自己的邮件问题一无所知。196,105,162(75.11%)
“DMARC 策略未启用” / “policy is none”记录存在,但写的是 p=none:报告已开启,防护已关闭。接收方照旧原样投递伪造邮件。37,312,637(14.29%)
“Policy: quarantine” 或 “reject”已强制执行的策略。接收方会对失败的邮件采取行动。27,640,987(10.59%)

数据截至 2026-06-29。

第一行是大多数互联网域名所处的位置:75.11% 的已评分域名完全没有发布 DMARC 记录,另有 14.29% 停留在 p=none。最后一行的反面才是关键数字:89.41% 的域名没有强制执行的 DMARC 策略——出自普查中 261,086,232 个已评分域名。如果你的检测工具显示这条警告,你就是绝大多数中的一员。这不是什么值得安心的事,恰恰相反,它正是伪造邮件至今依然廉价的原因。

有一点先说清楚,免得后面糊涂:DMARC 是叠加在 SPF 和 DKIM 之上的策略层,对照的是收件人实际看到的 From 标头。“未启用”意味着你还没有告诉接收方该做什么。如果这三个策略值对你来说还很陌生,浅显的说明见 DMARC 是什么:none、quarantine、reject

五分钟内你能诚实地做到什么?

发布一条记录。这就是这句话全部的诚实含量。

v=DMARC1; p=none; rua=mailto:[email protected]

这条 TXT 记录生效五分钟后,会检查 DMARC 的接收方就会开始汇总每天的报告,告诉你谁在以你的域名发信——合法的服务器和冒充者都算在内。这种可见性是真实有价值的,也是真实即时的。

做不到的:p=none 不保护任何东西。伪造的邮件会和昨天一样照常送达,明天再扫描一次的检测工具很可能依然会说“策略未启用”——而且这是对的,因为绿色对勾只留给 quarantinereject。我们在 p=none 不是防护 里写了原因;能真正拦截伪造的分阶段路径见从 p=none 到 p=reject。下面这个五分钟步骤是起点;那篇指南才是终点。

怎么发布你的第一条 DMARC 记录?

  1. 动 DNS 之前,先运行免费扫描 它会告诉你到底是哪一种情况——没有记录,还是 p=none——以及底层是否已具备 SPF 和 DKIM,这决定了你以后能多快推进到强制执行。
  2. 选一个接收报告的地址。 一开始用专门的邮箱,比如 dmarc-reports@yourdomain,就够了。如果你打算用报告分析服务,看下面的常见问题——第三方地址有一个不容易察觉的坑。
  3. _dmarc 主机添加一条 TXT 记录。 在大多数 DNS 控制面板里(可参考 IONOS DMARC 设置指南 的实操示例),你在主机名/名称字段里填 _dmarc——面板会自动补全域名,生成 _dmarc.yourdomain.com。值为:v=DMARC1; p=none; rua=mailto:[email protected]
  4. 验证记录已生效。 dig TXT _dmarc.yourdomain.com(或任何在线检测工具)应该恰好返回一条以 v=DMARC1 开头的记录。大多数 DNS 变更几分钟内就能看到;较低的 TTL 会有帮助。
  5. 重新扫描。 你的报告会显示 DMARC 处于监控模式——如实反映你现在的位置:报告已开启,强制执行待定。

一条记录也能覆盖你的子域名:如果接收方在 mail.yourdomain.com 上找不到记录,会回落到组织域名的策略,所以一开始监控并不需要给每个子域名都发一条记录。

添加记录时最常见的错误有哪些?

几乎每一次失败的首次尝试都是下面这些原因之一——它们很重要,因为无法解析的记录会被当作“没有记录”处理。普查统计到 48,648 条已发布但无法解析的 DMARC 记录;人们实际发布出来的各种拼写错误,收录在 DMARC 拼写错误普查 里。

第一周的 rua 报告会是什么样子?

先把预期定好,免得你以为它坏了:

也一定要真的去要报告:64.3% 有 DMARC 记录的域名没有发布 rua= 地址,所以它们什么报告都收不到——这方面的普查数据见 DMARC 发布却两眼一抹黑。这里学到的一切都会喂给后面的强制执行上线计划——监控只是那个项目的第一周,不是终点。无限期停在 p=none 是域名最终沦为那 89.41% 的最常见方式。

常见问题

发布 p=none 会不会损害我的邮件送达率? 不会。p=none 不会改变接收方对你邮件的任何处理方式——它只是请求报告。它甚至有好处:Google 和 Yahoo 的大宗发件方要求规定,高流量发件方至少要有一条 p=none 的 DMARC 记录,所以发布一条只是达到合规底线,而不是冒险。

我发布了记录——为什么检测工具还是说“策略未启用”? 因为它说的是实话:你的策略是 none,而检测工具只把通过留给 quarantinereject。你已经加入了“监控但不强制执行”的域名行列——截至 2026-06-29,261,086,232 个已评分域名中只有 10.59% 强制执行。等你完成强制执行上线,这条警告就会消失。

加 DMARC 之前需要先配好 SPF 和 DKIM 吗? 你需要至少一项,并且对齐,邮件才能通过 DMARC——但在发布 p=none 之前不需要它们完美无缺。监控正是用来发现哪里坏了的手段:根据普查(截至 2026-06-29),261,086,232 个已评分域名中有 70,368,600 个是软性 SPF 且没有 DMARC 强制执行,而报告正是它们了解卡在哪里的方式。

能不能把报告发给第三方分析服务,而不是发到我自己的邮箱? 可以——但如果 rua 地址在另一个域名上,需要该服务商发布一条授权记录(yourdomain._report._dmarc.vendor.com),否则接收方会悄悄不发报告。正规服务通常会自动完成这一步;如果报告一直收不到,先查这个。

把报告发给老板

如果你是在替客户或雇主修这个问题,别让这份工作被埋没。记录生效后重新运行免费扫描,把评分报告转发出去:它显示 DMARC 从缺失变为已监控,带日期、用大白话写清楚——也显示出通往强制执行的下一步是什么。企业主们如今在网络保险续保和供应商安全问卷里,越来越需要正是这样的凭证,而一页评分报告远比一张 DNS 面板截图更能说明问题。

免费检查你的域名

私密、仅域名所有者可见地看看你属于哪种情况——没有记录还是 p=none——以及底层情况如何。

检查你的域名 → · 修复 DMARC → · 从 p=none 到 p=reject → · 我们如何评分 → · 仅使用汇总数据。数据在欧盟境内存储和处理。