DMARC协议是一个新鲜事物，有越来越多的Email服务商支持这份协议，利用它来拦截钓鱼邮件和诈骗邮件。

而DMARC联盟，银行/在线支付商，Email服务商，IT媒体，普通用户等各方无不拍手称好，但也已经有资深IT专业人士犀利地指出其局限性。


目前针对DMARC协议，业界有三类观点。

  第一类观点： DMARC协议是打击钓鱼邮件的实用利器。这类观点主要来自： DMARC官方+主流媒体等。

    他们认为，DMARC协议抓住了钓鱼邮件的要害（信头From字段），并结合主流的DNS/SPF/DKIM等基础技术做为辅助工具。一方面，对DMARC协议的支持技术难度不大，另一方面，DMARC带来的开销不大但识别效果明显，是一款低开销+高效应+诸多优势的电子邮件安全工具

 

 第二类观点： DMARC协议对钓鱼邮件并非无所不能。 这类观点主要来自： IT专业人士等

    这类观点并非主流观点，只是我在DMARC讨论邮件列表中看到一位法国IT同行（Sébastien Goutal，来自vade-retro.com）的非正式评论，但也算代表了一类观点。
    Sébastien认为，DMARC对于“域名伪造”的钓鱼邮件（exact-domain phishing）有一定杀伤力，但是对所有类型的钓鱼邮件来说，DMARC作用还是有限的。Sébastien手头有统计数据显示，现在exact-domain phishing的数量逐日减少，一旦phisher们知道DMARC的存在，狡猾的他们将会弃用exact-domain这类钓鱼手段（这对phisher们来说影响不大），而从容地改用/新造其他诈骗技术手段。

    Sébastien的邮件还提出一些打击钓鱼诈骗的建议，譬如多方协作的on-line database，鼓励支付商使用双因素认证（Two-factor Authentication）技术等，但有点超出DMARC的讨论范畴。
    大家可在DMARC讨论邮件列表的历史记录中找到Sébastien的这封邮件。

第三类观点： DMARC的吸引力不够。这类观点主要来自： 小型ISP，小型邮件系统等。

    相对上述两类观点，持第三类观点的人数就更少了，但还是会有。
    如果你加入了DMARC讨论邮件列表，兴许你会看到类似的观点：
John Levine: ... I'm sure DMARC will be just dandy for big providers and big brands, who tend to know what they're doing.  But I wouldn't spend a lot of effort trying to implement policy from random domains you don't know.    他们的说法也无可厚非。
    对一些大中型公司/邮箱系统站点来说，升级其邮件系统的MTA，使之支持DMARC检查，难度/代价可能不大。但对于一些偏小型或技术支持有限的公司/站点来说，或许就不一样了，尽管他们心底也看好DMARC。