Defaults.Exposed

Defaults.Exposed › 報告

什麼是 DMARC?p=none、quarantine 與 reject 詳解(2026)

發布於 2026-07-01

數據截至 2026-06-29·方法論 v7。 覆蓋 261 萬個已評級域名的彙總普查數據。DMARC 是一條 DNS 策略,用於告訴收件郵件服務器如何處理未通過身份驗證的郵件。參見我們如何評級

DMARC 是決定以你名義發出的偽造郵件是被拒絕、被隔離,還是像正常郵件一樣投遞的指令。 它有三種設置——nonequarantinereject——而只有後兩種才真正保護你。在 261 萬個域名中,僅有 10.59% 強制執行。其餘大多數要麼什麼都沒發佈(75.11%),要麼發佈了一條看似有保護、實則什麼都攔不住的僅監控記錄(14.29%)。下面來看每種策略的作用。

三種 DMARC 策略的含義

DMARC 將 SPF 和 DKIM 與可見的「發件人」(From)地址關聯起來,並告訴收件方在驗證失敗時應如何處理:

quarantine 和 reject 這兩種強制執行策略合計,也僅覆蓋 10.59% 的域名。只有 8.89% 的域名收集彙總(rua)報告,以了解誰在以你的名義發信。

「我們發佈了 DMARC」不等於「我們強制執行 DMARC」

這就是陷阱所在。發佈一條記錄感覺像是到達了終點,但一條 p=none 記錄就像一只沒有電池的煙霧報警器——它只觀察,不行動。而拼寫錯誤會悄無聲息地把你降級到形同虛設:48,648 個域名(佔 DMARC 記錄的 0.07%)的策略令牌收件方無法識別——例如把 quarantine 拼成 quarentine 之類的拼寫錯誤,或用錯了詞——因此會被當作沒有策略處理。參見為什麼 p=none 不是保護DMARC 拼寫錯誤

我該如何設置 DMARC?

請按順序進行——在 SPF 和 DKIM 尚未穩固之前就開啟強制執行,會退回你自己的郵件:

  1. 先發佈 SPFDKIM,並確認你的合法郵件都能通過這兩項。
  2. 從帶 ruap=none 開始——一條類似 v=DMARC1; p=none; rua=mailto:you@yourdomain 的記錄。觀察幾週的報告,找出每一個真實的發件方。
  3. 切換到 p=quarantine,待報告乾淨後再切換到 p=reject。最後這一步才是真正阻止冒充的關鍵。參見修復 DMARC

按域名後綴劃分的強制執行情況

數值越高越好——它代表真正攔截偽造郵件的比例。截至 2026-06-29:

域名後綴強制執行 DMARC
.nl(荷蘭)29.43%
.de(德國)21.38%
.uk(英國)13.42%
.com9.50%
.net10.08%
.org10.01%
.xyz5.15%

即便是表現最好的大型後綴,其強制執行的域名也只佔少數。

常見問題

什麼是 DMARC 記錄? 它是位於 _dmarc.yourdomain 的一條 DNS TXT 記錄,以 v=DMARC1 開頭,其 p= 值告訴收件方如何處理未通過身份驗證的郵件:nonequarantinereject

p=none 夠用嗎? 不夠。p=none 僅用於監控,什麼都攔不住。有 14.29% 的域名止步於此,仍然可被偽造冒用。只有 quarantinereject 才能保護你。

quarantine 和 reject 有什麼區別? quarantine 把驗證失敗的郵件送進垃圾郵件;reject 則徹底拒收。reject 最強。截至 2026-06-29,有 5.28% 的域名使用 quarantine,5.31% 使用 reject。

DMARC 會攔截我自己的郵件嗎? 只有在你沒有先正確設置 SPF 或 DKIM 的情況下才會。這正是為什麼你要從 p=none 開始,觀察報告,待你所有真實發件方都通過後再收緊策略。

DMARC 免費嗎? 免費——它只是一條 DNS 記錄。成本是安全部署它所花的時間,而不是金錢。

免費檢測你域名的 DMARC

查看你的 DMARC 策略是否真正強制執行——私密進行,僅域名所有者可見。

檢測你的域名 →·修復 DMARC →·有人能偽造我的域名嗎?→·我們如何評級 →·僅限彙總數據。數據在歐盟境內存儲和處理。