Defaults.Exposed › 報告
你把 DMARC 設成了 p=none——這就是你仍然暴露的原因(2026)
發布於 2026-06-29
數據截至 2026-06-29 · 方法論 v7。 涵蓋 261 百萬個已評級域名的彙總普查數據。“強制執行”是指 DMARC 策略為
quarantine或reject。請參閱我們如何評級。
如果你的 DMARC 記錄設置為 p=none,你的域名仍然可能被冒充——該記錄只是在監控,而非保護。 這是電子郵件中最常見的虛假安全陷阱:p=none 看起來像是 DMARC 已經”配置完成”,能通過粗略的合規檢查,卻完全無法阻止偽造。截至 2026-06-29,所有域名中有 14.29% 處於 p=none——實際上多於達到強制執行策略的 10.59%。
p=none 實際上做了什麼
DMARC 有三種策略,其中只有兩種能保護你:
p=none——“僅監控”。告訴接收郵件服務器報告偽造郵件,但仍然將其投遞。沒有任何保護。佔 14.29% 的域名。p=quarantine——將未通過驗證的郵件發送到垃圾郵件。p=reject——直接拒收未通過驗證的郵件。
p=none 的存在是有原因的:它是安全的第一步,讓你在啟用強制執行之前收集報告並確認你的合法郵件能通過。陷阱在於止步於此。從攻擊者的角度看,一個無限期停留在 p=none 的域名,與完全沒有 DMARC 的域名毫無區別——偽造的郵件仍然會進入收件箱。
數據顯示大多數域名止步過早
| DMARC 狀態 | 域名佔比 | 是否受保護? |
|---|---|---|
| 無 DMARC 記錄 | 75.11% | 否 |
p=none(僅監控) | 14.29% | 否——陷阱所在 |
強制執行(quarantine/reject) | 10.59% | 是 |
綜合來看,89.41% 的域名可能被冒充——而其中很大一部分確實有 DMARC 記錄,只是不是強制執行的。它們完成了困難的部分,卻在距離保護僅一步之遙時止步。
如何從 p=none 走向受保護
你不會直接跳到 reject。一旦你的報告顯示合法郵件能夠通過,安全的路徑是:
- 確認對齊——在
p=none階段檢查 DMARC 報告,確認你的真實發件人(SPF/DKIM)能夠通過。 - 切換到
p=quarantine——未通過驗證的郵件進入垃圾郵件。觀察一兩週。 - 切換到
p=reject——未通過驗證的郵件被拒收。這才是真正阻止冒充的設置。
這是一個有意識的漸進過程,而非一次性的開關——但目的地是強制執行。請參閱如何修復 DMARC。
常見問題
p=none 能阻止電子郵件欺騙嗎?
不能。p=none 只是監控——接收服務器仍會投遞偽造郵件。只有 p=quarantine 或 p=reject 才能阻止冒充。14.29% 的域名卡在 p=none。
p=none 比沒有 DMARC 好嗎? 僅對你而言,作為收集報告的臨時步驟。就防範冒充而言,它等同於完全沒有——偽造郵件仍會通過。
我應該在 p=none 停留多久?
剛好足夠確認你的合法郵件能夠通過即可——通常是幾周——然後切換到 quarantine 和 reject。無限期停留在 p=none 就是陷阱。
我如何知道自己是否在強制執行? 檢查你的域名(如下)——它會讀取你的實際策略,並告訴你它是強制執行、僅監控還是缺失。
檢查你的 DMARC 是否真正保護了你
p=none 是一個檢查點,而非終點。免費且私密地檢查你的域名——查看你的真實策略以及通往強制執行的路徑。
檢查你的域名 → · 修復 DMARC → · 有人能冒充你的域名嗎? → · 僅彙總數據。數據在歐盟存儲和處理。