Defaults.Exposed

Defaults.Exposed › DMARC

DMARC:採用情況、成熟度與聯賽排名榜

數據截至 2026-06-29 · 第 1 版 · 數據截至 2026-06-29

DMARC 是一條 DNS 記錄,它告訴全世界的收件匣,對於偽稱來自你網域的郵件該如何處置——投遞、隔離,還是拒收。什麼都不發布(或將其停留在僅監控模式),任何人都能把你的名字放進一封郵件的「寄件人」一行。本節測量整個網際網路實際如何使用 DMARC——並為結果賦予平實、可引用的名稱。

是普查,不是抽樣:測量了 261 百萬個網域。10.6% 強制執行 DMARC;75.1% 根本沒有發布記錄。

模型:DMARC 採用成熟度模型(DAMM)

採用數字只有對照一張地圖才有意義。我們的地圖就是 DMARC 採用成熟度模型——DAMM:從未受保護已加固的六個階段,每階段一步動作,中間還有一堵誠實的牆——從觀察中(報告流入)到可見性(每個寄件方都有著落)的那一步,大多數網域從未爬過。本節中的每一張表和每一份報告,都是 DAMM 應用於普查的結果。

是時候給個 DAMM 了。

常設分母

本站每一個 DMARC 頁面都使用相同的分母,因此這裡沒有任何一項統計能悄悄更換它的基數:

你處於哪個階段?六個問題

從問題 0 開始,然後按順序作答——第一個「否」就是你所處的階段。除了查看你自己的 DNS 記錄和郵箱之外,無需任何其他東西——如果有一題你答不上來,別猜:免費檢測 會讀取你即時的 DNS,並為你解答問題 1、2、3 和 5。

0. 你的網域到底發不發郵件?

否 → 你的旅程就濃縮為一步:今天就發布 SPF v=spf1 -all 和 DMARC p=reject。從不發信的網域沒有合法郵件需要保護——無需觀察,也沒有牆要爬——因此只需一次 DNS 更改,就能直達 第 5 階段——已強制執行是 → 下一個問題。

1. 對於你所發的郵件,SPF 和 DKIM 是否存在並通過?

否 → 你很可能處於 第 1 階段——未受保護。你的下一步:為你的主郵件配置 SPF DKIM,並確認兩者都通過認證且對齊——對齊是指 SPF 或 DKIM 驗證的網域,與人們在可見的「寄件人:」一行中看到的網域相同,這正是 DMARC 實際檢驗的匹配。DMARC 建立在兩者之上。是 → 下一個問題。

2. 你是否發布了 DMARC 記錄?

否 → 你很可能處於 第 2 階段——已認證。你的下一步:發布一條 p=none 的 DMARC 記錄,並帶上 rua= 報告地址——一條 DNS 記錄,什麼都不會被破壞。是 → 下一個問題。

3. 你的記錄是否請求了確實有人接收的報告(rua=)?

否 → 你很可能卡在 第 2 與第 3 階段之間——已發布,卻摸黑。你的下一步:添加一個 rua= 地址(一次 DNS 編輯),讓彙總報告流入——不作觀察的記錄,無法找到你日後需要對齊的寄件方。是 → 下一個問題。

4. 你是否已識別出你網域郵件的每一個合法寄件方——並且每一個都對齊?

否 → 你很可能處於 第 3 階段——觀察中,正站在大多數網域停滯不前的那堵牆前。你的下一步:盤點每一個以你的網域發信的服務(郵件訂閱工具、開票系統、CRM),並讓每一個都對齊。這也是網域主最常引入外援的階段——IT 服務商或 DMARC 監控服務可以完成寄件方識別的工作;無論哪種方式,階段都保持不變。是 → 下一個問題。

5. 你的策略是 p=quarantine 還是 p=reject?

否 → 你很可能處於 第 4 階段——可見性,你可以安全地強制執行了。你的下一步:分步提高策略——none → quarantine → reject。是 → 你正處於 第 5 階段——已強制執行。你的下一步:加固層——np= 覆蓋、MTA-STS 和 TLS-RPT——外加持續監控。那就是第 6 階段。

五題全是,加固已到位,還有人在盯著報告?那就是第 6 階段——已加固。此處的動作是堅守:新寄件方會出現,服務商會更換 IP,配置會腐壞。對某個答案沒把握?運行免費檢測——它會在一分鐘內、私密地,從你即時的 DNS 中釐清問題 1、2、3 和 5。

聯賽排名榜與月度報告

深度剖析

想知道您的網域處於什麼水平嗎? 運行免費檢查 → — 私密;我們只會向網域的已驗證所有者顯示其評級。

我們如何評級 → · 僅為整體數據;我們絕不公布任何單個網域的評級。