Defaults.Exposed

Defaults.Exposed修復Guides

"DMARC 政策未啟用":檢測工具到底在說什麼,以及誠實的五分鐘第一步(2026)

發布於 2026-07-08

資料截至 2026-06-29 · 方法論 v7。 基於 261 百萬個已評分網域的彙總普查資料。參見我們如何評分

“DMARC 政策未啟用”其實可能是兩種不同的情况:你的網域完全沒有 DMARC 記錄,或者有一條設成了 p=none 的記錄。根據 Defaults.Exposed 普查,只有 10.59% 的網域——261,086,232 個中的 27,640,987 個——強制執行 DMARC 政策。發布一條監控記錄只要五分鐘;強制執行則是一個項目。

這篇指南會拆解這條警告的含義,給出該發布的確切 TXT 記錄以及具體該放在哪裡,讲清楚讓第一次嘗試失敗的語法坑,並對你 DMARC 報告的第一周設定一個誠實的預期。它刻意不是一篇“五分鐘修好 DMARC”的指南——那五分鐘帶來的是可見性,不是防護。

“DMARC 政策未啟用”到底是什麼意思?

像 MXToolbox 這樣的檢測工具會把兩種不同的發現合併成同一條橙色警告,而修復路径取決於你到底是哪一種:

檢測工具顯示的內容實際含義受影響的網域(占 261,086,232 個已評分網域)
“未發現 DMARC 記錄”_dmarc.yourdomain 上什麼都沒發布。接收方不套用任何政策,也不給你發任何報告。你對自己的郵件問題一无所知。196,105,162(75.11%)
“DMARC 政策未啟用” / “policy is none”記錄存在,但寫的是 p=none:報告已開啟,防護已關閉。接收方照舊原樣投遞偽造郵件。37,312,637(14.29%)
“Policy: quarantine” 或 “reject”已強制執行的政策。接收方會對失敗的郵件採取行動。27,640,987(10.59%)

資料截至 2026-06-29。

第一行是大多數互聯網網域所處的位置:75.11% 的已評分網域完全沒有發布 DMARC 記錄,另有 14.29% 停留在 p=none。最後一行的反面才是關鍵數字:89.41% 的網域沒有強制執行的 DMARC 政策——出自普查中 261,086,232 個已評分網域。如果你的檢測工具顯示這條警告,你就是絕大多數中的一員。這不是什麼值得安心的事,恰恰相反,它正是偽造郵件至今依然廉價的原因。

有一點先說清楚,免得後面糊涂:DMARC 是叠加在 SPF 和 DKIM 之上的政策層,對照的是收件人實際看到的 From 標头。“未啟用”意味著你還沒有告訴接收方該做什麼。如果這三個政策值對你來說還很陌生,浅顯的說明見 DMARC 是什麼:none、quarantine、reject

五分鐘內你能誠實地做到什麼?

發布一條記錄。這就是這句話全部的誠實含量。

v=DMARC1; p=none; rua=mailto:[email protected]

這條 TXT 記錄生效五分鐘後,會檢查 DMARC 的接收方就會開始彙總每天的報告,告訴你誰在以你的網域發信——合法的伺服器和冒充者都算在內。這種可見性是真實有價值的,也是真實即時的。

做不到的:p=none 不保護任何東西。偽造的郵件會和昨天一樣照常送達,明天再掃描一次的檢測工具很可能依然會說“政策未啟用”——而且這是對的,因為綠色對勾只留給 quarantinereject。我們在 p=none 不是防護 裡寫了原因;能真正拦截偽造的分階段路径見從 p=none 到 p=reject。下面這個五分鐘步驟是起點;那篇指南才是終點。

怎麼發布你的第一條 DMARC 記錄?

  1. 動 DNS 之前,先執行免費掃描 它會告訴你到底是哪一種情况——沒有記錄,還是 p=none——以及底層是否已具備 SPF 和 DKIM,這決定了你以後能多快推進到強制執行。
  2. 選一個接收報告的位址。 一開始用專門的郵箱,比如 dmarc-reports@yourdomain,就夠了。如果你打算用報告分析服務,看下面的常見問題——第三方位址有一個不容易察覺的坑。
  3. _dmarc 主機新增一條 TXT 記錄。 在大多數 DNS 控制面板裡(可參考 IONOS DMARC 設定指南 的實操示例),你在主機名/名稱字段裡填 _dmarc——面板會自動補全網域,生成 _dmarc.yourdomain.com。值為:v=DMARC1; p=none; rua=mailto:[email protected]
  4. 驗證記錄已生效。 dig TXT _dmarc.yourdomain.com(或任何在線檢測工具)應該恰好返回一條以 v=DMARC1 開头的記錄。大多數 DNS 變更几分鐘內就能看到;較低的 TTL 會有幫助。
  5. 重新掃描。 你的報告會顯示 DMARC 處於監控模式——如實反映你現在的位置:報告已開啟,強制執行待定。

一條記錄也能覆蓋你的子網域:如果接收方在 mail.yourdomain.com 上找不到記錄,會回落到組織網域的政策,所以一開始監控並不需要給每個子網域都發一條記錄。

新增記錄時最常見的錯誤有哪些?

几乎每一次失敗的首次嘗試都是下面這些原因之一——它們很重要,因為无法解析的記錄會被當作“沒有記錄”處理。普查統計到 48,648 條已發布但无法解析的 DMARC 記錄;人們實際發布出來的各種拼寫錯誤,收录在 DMARC 拼寫錯誤普查 裡。

第一周的 rua 報告會是什麼樣子?

先把預期定好,免得你以為它壞了:

也一定要真的去要報告:64.3% 有 DMARC 記錄的網域沒有發布 rua= 位址,所以它們什麼報告都收不到——這方面的普查資料見 DMARC 發布却兩眼一抹黑。這裡學到的一切都會喂給後面的強制執行上線計劃——監控只是那個項目的第一周,不是終點。无限期停在 p=none 是網域最終沦為那 89.41% 的最常見方式。

常見問題

發布 p=none 會不會損害我的郵件送達率? 不會。p=none 不會改變接收方對你郵件的任何處理方式——它只是請求報告。它甚至有好處:Google 和 Yahoo 的大宗發件方要求規定,高流量發件方至少要有一條 p=none 的 DMARC 記錄,所以發布一條只是達到合規底線,而不是冒險。

我發布了記錄——為什麼檢測工具還是說“政策未啟用”? 因為它說的是實話:你的政策是 none,而檢測工具只把通過留給 quarantinereject。你已經加入了“監控但不強制執行”的網域行列——截至 2026-06-29,261,086,232 個已評分網域中只有 10.59% 強制執行。等你完成強制執行上線,這條警告就會消失。

加 DMARC 之前需要先配好 SPF 和 DKIM 嗎? 你需要至少一項,並且對齊,郵件才能通過 DMARC——但在發布 p=none 之前不需要它們完美无缺。監控正是用來發現哪裡壞了的手段:根據普查(截至 2026-06-29),261,086,232 個已評分網域中有 70,368,600 個是軟性 SPF 且沒有 DMARC 強制執行,而報告正是它們了解卡在哪裡的方式。

能不能把報告發給第三方分析服務,而不是發到我自己的郵箱? 可以——但如果 rua 位址在另一個網域上,需要該服務商發布一條授權記錄(yourdomain._report._dmarc.vendor.com),否則接收方會悄悄不發報告。正規服務通常會自動完成這一步;如果報告一直收不到,先查這個。

把報告發給老板

如果你是在替客戶或雇主修這個問題,別讓這份工作被埋沒。記錄生效後重新執行免費掃描,把評分報告轉發出去:它顯示 DMARC 從缺失變為已監控,帶日期、用大白話寫清楚——也顯示出通往強制執行的下一步是什麼。企業主們如今在網路保險續保和供應商安全問卷裡,越來越需要正是這樣的凭證,而一頁評分報告遠比一張 DNS 面板截圖更能說明問題。

免費檢查你的網域

私密、僅網域所有者可見地看看你屬於哪種情况——沒有記錄還是 p=none——以及底層情况如何。

檢查你的網域 → · 修復 DMARC → · 從 p=none 到 p=reject → · 我們如何評分 → · 僅使用彙總資料。資料在歐盟境內儲存和處理。