Defaults.Exposed › 修復 › Guides
"DMARC 政策未啟用":檢測工具到底在說什麼,以及誠實的五分鐘第一步(2026)
發布於 2026-07-08
資料截至 2026-06-29 · 方法論 v7。 基於 261 百萬個已評分網域的彙總普查資料。參見我們如何評分。
“DMARC 政策未啟用”其實可能是兩種不同的情况:你的網域完全沒有 DMARC 記錄,或者有一條設成了 p=none 的記錄。根據 Defaults.Exposed 普查,只有 10.59% 的網域——261,086,232 個中的 27,640,987 個——強制執行 DMARC 政策。發布一條監控記錄只要五分鐘;強制執行則是一個項目。
這篇指南會拆解這條警告的含義,給出該發布的確切 TXT 記錄以及具體該放在哪裡,讲清楚讓第一次嘗試失敗的語法坑,並對你 DMARC 報告的第一周設定一個誠實的預期。它刻意不是一篇“五分鐘修好 DMARC”的指南——那五分鐘帶來的是可見性,不是防護。
“DMARC 政策未啟用”到底是什麼意思?
像 MXToolbox 這樣的檢測工具會把兩種不同的發現合併成同一條橙色警告,而修復路径取決於你到底是哪一種:
| 檢測工具顯示的內容 | 實際含義 | 受影響的網域(占 261,086,232 個已評分網域) |
|---|---|---|
| “未發現 DMARC 記錄” | _dmarc.yourdomain 上什麼都沒發布。接收方不套用任何政策,也不給你發任何報告。你對自己的郵件問題一无所知。 | 196,105,162(75.11%) |
| “DMARC 政策未啟用” / “policy is none” | 記錄存在,但寫的是 p=none:報告已開啟,防護已關閉。接收方照舊原樣投遞偽造郵件。 | 37,312,637(14.29%) |
| “Policy: quarantine” 或 “reject” | 已強制執行的政策。接收方會對失敗的郵件採取行動。 | 27,640,987(10.59%) |
資料截至 2026-06-29。
第一行是大多數互聯網網域所處的位置:75.11% 的已評分網域完全沒有發布 DMARC 記錄,另有 14.29% 停留在 p=none。最後一行的反面才是關鍵數字:89.41% 的網域沒有強制執行的 DMARC 政策——出自普查中 261,086,232 個已評分網域。如果你的檢測工具顯示這條警告,你就是絕大多數中的一員。這不是什麼值得安心的事,恰恰相反,它正是偽造郵件至今依然廉價的原因。
有一點先說清楚,免得後面糊涂:DMARC 是叠加在 SPF 和 DKIM 之上的政策層,對照的是收件人實際看到的 From 標头。“未啟用”意味著你還沒有告訴接收方該做什麼。如果這三個政策值對你來說還很陌生,浅顯的說明見 DMARC 是什麼:none、quarantine、reject。
五分鐘內你能誠實地做到什麼?
發布一條記錄。這就是這句話全部的誠實含量。
v=DMARC1; p=none; rua=mailto:[email protected]
這條 TXT 記錄生效五分鐘後,會檢查 DMARC 的接收方就會開始彙總每天的報告,告訴你誰在以你的網域發信——合法的伺服器和冒充者都算在內。這種可見性是真實有價值的,也是真實即時的。
它做不到的:p=none 不保護任何東西。偽造的郵件會和昨天一樣照常送達,明天再掃描一次的檢測工具很可能依然會說“政策未啟用”——而且這是對的,因為綠色對勾只留給 quarantine 或 reject。我們在 p=none 不是防護 裡寫了原因;能真正拦截偽造的分階段路径見從 p=none 到 p=reject。下面這個五分鐘步驟是起點;那篇指南才是終點。
怎麼發布你的第一條 DMARC 記錄?
- 動 DNS 之前,先執行免費掃描。 它會告訴你到底是哪一種情况——沒有記錄,還是
p=none——以及底層是否已具備 SPF 和 DKIM,這決定了你以後能多快推進到強制執行。 - 選一個接收報告的位址。 一開始用專門的郵箱,比如
dmarc-reports@yourdomain,就夠了。如果你打算用報告分析服務,看下面的常見問題——第三方位址有一個不容易察覺的坑。 - 在
_dmarc主機新增一條 TXT 記錄。 在大多數 DNS 控制面板裡(可參考 IONOS DMARC 設定指南 的實操示例),你在主機名/名稱字段裡填_dmarc——面板會自動補全網域,生成_dmarc.yourdomain.com。值為:v=DMARC1; p=none; rua=mailto:[email protected] - 驗證記錄已生效。
dig TXT _dmarc.yourdomain.com(或任何在線檢測工具)應該恰好返回一條以v=DMARC1開头的記錄。大多數 DNS 變更几分鐘內就能看到;較低的 TTL 會有幫助。 - 重新掃描。 你的報告會顯示 DMARC 處於監控模式——如實反映你現在的位置:報告已開啟,強制執行待定。
一條記錄也能覆蓋你的子網域:如果接收方在 mail.yourdomain.com 上找不到記錄,會回落到組織網域的政策,所以一開始監控並不需要給每個子網域都發一條記錄。
新增記錄時最常見的錯誤有哪些?
几乎每一次失敗的首次嘗試都是下面這些原因之一——它們很重要,因為无法解析的記錄會被當作“沒有記錄”處理。普查統計到 48,648 條已發布但无法解析的 DMARC 記錄;人們實際發布出來的各種拼寫錯誤,收录在 DMARC 拼寫錯誤普查 裡。
- 主機名不對。 記錄必須放在
_dmarc.yourdomain.com,而不是根網域。放在裸網域上什麼作用都沒有,檢測工具會一直報“未發現 DMARC 記錄”。 - 網域被重復拼接。 在會自動補全網域的面板裡輸入
_dmarc.yourdomain.com,會得到_dmarc.yourdomain.com.yourdomain.com。只需輸入_dmarc。 - 用逗號代替分號。 標簽之間要用
;分隔。无法解析的記錄會被當作沒有記錄處理。 v=DMARC1缺失或位置不對。 它必須是第一個標簽,拼寫要完全一致;以p=開头的記錄會解析失敗。- rua 裡漏了
mailto:。rua=dmarc@yourdomain是無效的;必須寫成rua=mailto:[email protected]。 - 發布了兩條 DMARC 記錄。 接收方一旦發現不止一條
v=DMARC1記錄,會把它們全部忽略——和多條 SPF 記錄屬於同一類失敗。 - 從別處復制粘贴帶來的花引號。 從文件裡帶進來的弯引號或不換行空格會破壞解析。如果檢測工具說格式錯誤但看起來又沒問題,重新手打一遍這條記錄。
第一周的 rua 報告會是什麼樣子?
先把預期定好,免得你以為它壞了:
- 它們大致每天一份,按接收方分別發送。 Google 通常每 24 小時發一份彙總報告;Microsoft、Yahoo 等各有各的周期。對小網域來說,第一周通常只是零星几封郵件,大多來自
[email protected]。 - **它們是壓縮的 XML 附件,**不是一個儀表盘。原始文件几乎沒法直接讀;免費的解析工具能把它們轉成一張可讀的發件方表。
- 報告量取決於你的郵件量。 如果你發的郵件不多,或者收件方大多不提供報告,資料會很稀疏。對低流量網域來說,安静兩周是正常的——用
dig驗證記錄是否生效,而不是想當然地認為出問題了。 - 要有心理準備遇到意外。 大多數網域會發現自己忘記的發件方——CRM、開票工具、聯繫表單。每一個都需要先對齊 SPF 或 DKIM,才能進入強制執行。如果報告顯示 DMARC 失敗,但 SPF 和 DKIM 各自單獨看都通過,那是對齊問題——見 DMARC 失敗但 SPF 和 DKIM 都通過。
也一定要真的去要報告:64.3% 有 DMARC 記錄的網域沒有發布 rua= 位址,所以它們什麼報告都收不到——這方面的普查資料見 DMARC 發布却兩眼一抹黑。這裡學到的一切都會喂給後面的強制執行上線計劃——監控只是那個項目的第一周,不是終點。无限期停在 p=none 是網域最終沦為那 89.41% 的最常見方式。
常見問題
發布 p=none 會不會損害我的郵件送達率?
不會。p=none 不會改變接收方對你郵件的任何處理方式——它只是請求報告。它甚至有好處:Google 和 Yahoo 的大宗發件方要求規定,高流量發件方至少要有一條 p=none 的 DMARC 記錄,所以發布一條只是達到合規底線,而不是冒險。
我發布了記錄——為什麼檢測工具還是說“政策未啟用”?
因為它說的是實話:你的政策是 none,而檢測工具只把通過留給 quarantine 或 reject。你已經加入了“監控但不強制執行”的網域行列——截至 2026-06-29,261,086,232 個已評分網域中只有 10.59% 強制執行。等你完成強制執行上線,這條警告就會消失。
加 DMARC 之前需要先配好 SPF 和 DKIM 嗎?
你需要至少一項,並且對齊,郵件才能通過 DMARC——但在發布 p=none 之前不需要它們完美无缺。監控正是用來發現哪裡壞了的手段:根據普查(截至 2026-06-29),261,086,232 個已評分網域中有 70,368,600 個是軟性 SPF 且沒有 DMARC 強制執行,而報告正是它們了解卡在哪裡的方式。
能不能把報告發給第三方分析服務,而不是發到我自己的郵箱?
可以——但如果 rua 位址在另一個網域上,需要該服務商發布一條授權記錄(yourdomain._report._dmarc.vendor.com),否則接收方會悄悄不發報告。正規服務通常會自動完成這一步;如果報告一直收不到,先查這個。
把報告發給老板
如果你是在替客戶或雇主修這個問題,別讓這份工作被埋沒。記錄生效後重新執行免費掃描,把評分報告轉發出去:它顯示 DMARC 從缺失變為已監控,帶日期、用大白話寫清楚——也顯示出通往強制執行的下一步是什麼。企業主們如今在網路保險續保和供應商安全問卷裡,越來越需要正是這樣的凭證,而一頁評分報告遠比一張 DNS 面板截圖更能說明問題。
免費檢查你的網域
私密、僅網域所有者可見地看看你屬於哪種情况——沒有記錄還是 p=none——以及底層情况如何。
檢查你的網域 → · 修復 DMARC → · 從 p=none 到 p=reject → · 我們如何評分 → · 僅使用彙總資料。資料在歐盟境內儲存和處理。