Казалось бы, вот есть у тебя домен business.ru, настроил DMARC на p=reject, и все, никто твоим клиентам от твоего имени писать не может.
Ага, как же. Будь я спамером, я бы стал писать от noreply@bu5iness.ru, и все, DMARC ничем бы не помог.
Представители Agari и Return Path пытались продать мне свои продукты, базирующиеся на DMARC по совершенно конским ценам пару лет назад. Я им задавал один-единственный вопрос: "Ребята, а в чем смысл, если можно просто использовать любой домен?". Внятного ответа я не получил.
Зато, оказывается, в прошлом году Return Parh опубликовал исследование, согласно которому лишь 30% фишинга отрезается с помощью DMARC:
https://blog.returnpath.com/new-research-insights-into-brand-spoofing-tactics/