Defaults.Exposed › 報告
什麼是 DMARC?p=none、quarantine 與 reject 詳解(2026)
發布於 2026-07-01
數據截至 2026-06-29·方法論 v7。 覆蓋 261 萬個已評級域名的彙總普查數據。DMARC 是一條 DNS 策略,用於告訴收件郵件服務器如何處理未通過身份驗證的郵件。參見我們如何評級。
DMARC 是決定以你名義發出的偽造郵件是被拒絕、被隔離,還是像正常郵件一樣投遞的指令。 它有三種設置——none、quarantine、reject——而只有後兩種才真正保護你。在 261 萬個域名中,僅有 10.59% 強制執行。其餘大多數要麼什麼都沒發佈(75.11%),要麼發佈了一條看似有保護、實則什麼都攔不住的僅監控記錄(14.29%)。下面來看每種策略的作用。
三種 DMARC 策略的含義
DMARC 將 SPF 和 DKIM 與可見的「發件人」(From)地址關聯起來,並告訴收件方在驗證失敗時應如何處理:
p=none(僅監控)——「放行,但把報告發給我。」 作為臨時的第一步很有用,可以查看誰在以你的名義發信。它不會攔截偽造郵件。所有域名中有 14.29% 停留在這裡——這是最常見的單一配置錯誤,因為它能通過一次粗略的審計,卻把門敞開著。p=quarantine——「把驗證失敗的郵件送進垃圾郵件。」 這是真正的保護。有 5.28% 的域名使用它。p=reject——「直接拒收驗證失敗的郵件。」 這是最強的設置。有 5.31% 的域名使用它。
quarantine 和 reject 這兩種強制執行策略合計,也僅覆蓋 10.59% 的域名。只有 8.89% 的域名收集彙總(rua)報告,以了解誰在以你的名義發信。
「我們發佈了 DMARC」不等於「我們強制執行 DMARC」
這就是陷阱所在。發佈一條記錄感覺像是到達了終點,但一條 p=none 記錄就像一只沒有電池的煙霧報警器——它只觀察,不行動。而拼寫錯誤會悄無聲息地把你降級到形同虛設:48,648 個域名(佔 DMARC 記錄的 0.07%)的策略令牌收件方無法識別——例如把 quarantine 拼成 quarentine 之類的拼寫錯誤,或用錯了詞——因此會被當作沒有策略處理。參見為什麼 p=none 不是保護和 DMARC 拼寫錯誤。
我該如何設置 DMARC?
請按順序進行——在 SPF 和 DKIM 尚未穩固之前就開啟強制執行,會退回你自己的郵件:
- 先發佈 SPF 和 DKIM,並確認你的合法郵件都能通過這兩項。
- 從帶
rua的p=none開始——一條類似v=DMARC1; p=none; rua=mailto:you@yourdomain的記錄。觀察幾週的報告,找出每一個真實的發件方。 - 切換到
p=quarantine,待報告乾淨後再切換到p=reject。最後這一步才是真正阻止冒充的關鍵。參見修復 DMARC。
按域名後綴劃分的強制執行情況
數值越高越好——它代表真正攔截偽造郵件的比例。截至 2026-06-29:
| 域名後綴 | 強制執行 DMARC |
|---|---|
| .nl(荷蘭) | 29.43% |
| .de(德國) | 21.38% |
| .uk(英國) | 13.42% |
| .com | 9.50% |
| .net | 10.08% |
| .org | 10.01% |
| .xyz | 5.15% |
即便是表現最好的大型後綴,其強制執行的域名也只佔少數。
常見問題
什麼是 DMARC 記錄?
它是位於 _dmarc.yourdomain 的一條 DNS TXT 記錄,以 v=DMARC1 開頭,其 p= 值告訴收件方如何處理未通過身份驗證的郵件:none、quarantine 或 reject。
p=none 夠用嗎?
不夠。p=none 僅用於監控,什麼都攔不住。有 14.29% 的域名止步於此,仍然可被偽造冒用。只有 quarantine 或 reject 才能保護你。
quarantine 和 reject 有什麼區別?
quarantine 把驗證失敗的郵件送進垃圾郵件;reject 則徹底拒收。reject 最強。截至 2026-06-29,有 5.28% 的域名使用 quarantine,5.31% 使用 reject。
DMARC 會攔截我自己的郵件嗎?
只有在你沒有先正確設置 SPF 或 DKIM 的情況下才會。這正是為什麼你要從 p=none 開始,觀察報告,待你所有真實發件方都通過後再收緊策略。
DMARC 免費嗎? 免費——它只是一條 DNS 記錄。成本是安全部署它所花的時間,而不是金錢。
免費檢測你域名的 DMARC
查看你的 DMARC 策略是否真正強制執行——私密進行,僅域名所有者可見。
檢測你的域名 →·修復 DMARC →·有人能偽造我的域名嗎?→·我們如何評級 →·僅限彙總數據。數據在歐盟境內存儲和處理。