Wyjaśnienie dostosowania DMARC (2026): tryb ścisły a tryb łagodny

Kluczowe wnioski

Uwierzytelnianie DMARC zapewnia solidną strukturę służącą do weryfikacji legalności źródła wiadomości e-mail poprzez powiązanie wyników SPF i DKIM z domeną wskazaną w nagłówku „Od”.
Dostosowanie identyfikatorów SPF i DKIM jest niezbędne do osiągnięcia zgodności z DMARC i ochrony przed spoofingiem poprzez zapobieganie próbom podszywania się lub fałszowania tożsamości, które „przechodzą” podstawowe uwierzytelnianie w innej domenie.
Wybór między luźnym a ścisłym dostosowaniem DMARC zależy od praktyk organizacji w zakresie poczty elektronicznej i celów bezpieczeństwa i powinien zostać zweryfikowany za pomocą raportów DMARC przed wprowadzeniem ścisłych ustawień.
Przekazywanie wiadomości e-mail może komplikować dostosowanie do standardu DMARC, często prowadząc do błędów uwierzytelniania poprzez naruszenie SPF (zmiany adresu IP), a czasami unieważniając DKIM, jeśli wiadomości zostaną zmodyfikowane podczas przesyłania.
Monitorowanie i dostosowywanie ustawień ustawień DMARC może znacznie poprawić dostarczalność wiadomości e-mail i zmniejszyć ryzyko oszustw, zwłaszcza w przypadku przejścia z luźnego do ścisłego dostosowania lub egzekwowania p=quarantine/p=reject.

Uwierzytelnianie wiadomości e-mail nie ogranicza się już tylko do sprawdzania, czy SPF lub DKIM przeszły pomyślnie. W 2026 r. dostawcy skrzynek pocztowych będą przywiązywać równie dużą wagę do tego, czy wyniki uwierzytelniania są zgodne z domeną, którą użytkownicy faktycznie widzą w polu „Od”. W tym miejscu pojawia się kwestia zgodności z DMARC.

Zgodność z DMARC (Domain-based Message Authentication Reporting and Conformance) określa, czy domena pokazywana odbiorcom jest zgodna z domenami zweryfikowanymi przez SPF i DKIM. Jeśli nie są one zgodne, wiadomość e-mail może nie przejść weryfikacji DMARC, nawet jeśli SPF lub DKIM technicznie ją przejdą. Dlatego wiele organizacji obserwuje, że legalne wiadomości e-mail trafiają do folderu spam lub są odrzucane po zaostrzeniu egzekwowania DMARC.

Złożoność wynika z trybów dopasowania. Tryb luźnego dopasowania pozwala na dopasowanie domeny organizacyjnej, w tym subdomen. Tryb ścisłego dopasowania wymaga dokładnego dopasowania domeny. Wybór niewłaściwego trybu może niepostrzeżenie zakłócić dostarczalność, zwłaszcza gdy w grę wchodzi wiele dostawców usług poczty elektronicznej, subdomen lub przekierowań.

W niniejszym przewodniku wyjaśniono, jak działa dostosowanie DMARC, jaka jest rzeczywista różnica między ścisłym a łagodnym dostosowaniem w 2026 r., jakie są typowe scenariusze niepowodzeń oraz jak zdecydować, który tryb pasuje do infrastruktury poczty elektronicznej bez ryzyka utraty miejsca w skrzynce odbiorczej.

Co to jest DMARC Alignment?

DMARC Alignment to proces weryfikacji, czy domena w nagłówku „Od” wiadomości e-mail jest zgodna z domenami używanymi w uwierzytelnianiu SPF i DKIM. DMARC dostosowuje wiadomość e-mail, jeśli wiadomość przechodzi dostosowanie identyfikatora SPF lub DKIM albo oba te dostosowania.

Dzięki temu Twoje wiadomości e-mail są autentyczne i chronione przed różnymi rodzajami oszustw, takimi jak phishing, spoofing, ransomware i inne.

Protokół uwierzytelniania DMARC sprawdza dopasowanie identyfikatorów DMARC w celu ustalenia, czy domena e-mail jest potencjalnie sfałszowana. Podczas sprawdzania poprawności wiadomości e-mail, DMARC sprawdza 3 identyfikatory:

Nagłówek Od
Adres ścieżki zwrotnej
Nazwa domeny w podpisie DKIM

Kluczowa kwestia: DMARC przechodzi weryfikację zgodności, jeśli SPF lub DKIM są zgodne z domeną nadawcy (w zależności od tego, czy ustawienia są ścisłe, czy luźne). Jeśli żadne z nich nie jest zgodne, DMARC nie przechodzi weryfikacji, nawet jeśli SPF lub DKIM samodzielnie wykazują zgodność.

To właśnie uniemożliwia oszustom wysyłanie wiadomości e-mail, które wyglądają jakby pochodziły z Twojej domeny, podczas gdy w rzeczywistości uwierzytelniają się za pomocą innej domeny.

Oto dlaczego ponad 10 000 klientów ufa PowerDMARC

Znaczne ograniczenie prób spoofingu i nieautoryzowanych wiadomości e-mail
Szybsze wdrażanie nowych pracowników + automatyczne zarządzanie uwierzytelnianiem
Informacje o zagrożeniach i raportowanie w czasie rzeczywistym w różnych domenach
Lepsze wskaźniki dostarczalności wiadomości e-mail dzięki rygorystycznemu egzekwowaniu protokołu DMARC

Pierwsze 15 dni za darmo

Zarejestruj się, aby skorzystać z bezpłatnej wersji próbnej

Jak działa dostosowanie DMARC?

Aby dobrze zrozumieć dostosowanie DMARC, warto wiedzieć, jaką tożsamość domeny ma chronić DMARC. porównując.

Wdrażając DMARC, łączysz wyniki SPF i DKIM w celu uwierzytelniania wszystkich wiadomości e-mail pochodzących z Twojej domeny. W przypadku każdej wiadomości e-mail DMARC wykorzystuje tzw. „tożsamość centralną”, czyli domenę znajdującą się w nagłówku „Od”. Jest to domenę widoczną dla odbiorców i domenę, którą DMARC próbuje chronić.

Kiedy wiadomość e-mail z Twojej domeny dociera do serwera odbiorczego, SPF sprawdza ścieżkę zwrotną (adres nadawcy/adres zwrotny) , a DKIM weryfikuje zaszyfrowany podpis przy użyciu domeny podpisującej DKIM. Następnie DMARC pobiera wynik każdej kontroli i weryfikuje, czy domena użyta w SPF i/lub DKIM jest zgodna z domeną w nagłówku „From”.

Jest tylko jeden mały problem. Każdy, w tym przestępcy, może kupić domenę i wdrożyć SPF oraz DKIM. Teoretycznie więc ktoś mógłby wysłać wiadomość e-mail z adresem Twojej organizacji w polu „Od:” (główna tożsamość) i sprawić, że ścieżka zwrotna jego własnej domeny przejdzie uwierzytelnianie SPF. Użytkownicy zazwyczaj widzą tylko adres „Od:”, a nie ścieżkę zwrotną, więc nawet nie zauważą rozbieżności między nimi.

Typy wyrównania DMARC: Ścisłe a uproszczone wyrównanie identyfikatorów

Po zrozumieniu zasad działania DMARC na wysokim poziomie, kolejnym krokiem jest podjęcie decyzji, jak rygorystycznie należy egzekwować dopasowanie domen. DMARC oferuje dwa tryby dopasowania: łagodny i rygorystyczny, które kontrolują, jak dokładnie uwierzytelnione domeny SPF i DKIM muszą pasować do domeny podanej w nagłówku From.

Porównanie bezpośrednie: ścisłe vs luźne dopasowanie

Aspekt	Zrelaksowane wyrównanie	Ścisłe dopasowanie
Dopasowanie domeny	Dopasowanie domeny organizacyjnej (domeny podrzędne dozwolone)	Wymagane dokładne dopasowanie domeny
Obsługa subdomen	✓ Subdomeny przechodzą wyrównanie	✗ Brak wyrównania subdomen
Poziom bezpieczeństwa	Umiarkowane bezpieczeństwo, większa elastyczność	Wysokie bezpieczeństwo, mniejsza elastyczność
Najlepsze dla	Organizacje korzystające z wielu subdomen	Organizacje wymagające maksymalnego bezpieczeństwa
Znaczniki DMARC	aspf=r; adkim=r	aspf=s; adkim=s

Te tryby dopasowania mają zastosowanie niezależnie do SPF i DKIM, ale razem decydują o tym, czy wiadomość e-mail przechodzi weryfikację DMARC.

1. Zrelaksowane wyrównanie DMARC

Gdy dla SPF i DKIM włączone jest luźne dopasowanie, DMARC uznaje wiadomość e-mail za dopasowaną, jeśli uwierzytelnione domeny są zgodne z domeną nadawcy. Oznacza to, że subdomeny są traktowane jako dopasowane.

W trybie rozluźnionym, nawet jeśli domena w poleceniu Mail From i domeny w nagłówku Return-Path (dla SPF) lub podpisie DKIM (dla DKIM) nie są dokładnie zgodne, ale należą do tej samej domeny organizacyjnej, zgodność DMARC jest uznawana za pozytywną.

Przykład łagodnego dostosowania DMARC
v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=r; adkim=r

W tym przypadku tagi wyrównania aspf=r i adkim=r określają luźne dopasowanie zarówno dla SPF, jak i DKIM.

2. Ścisłe dostosowanie DMARC

Ścisłe dopasowanie zapewnia wyższy poziom precyzji. W tym trybie dopasowanie DMARC jest poprawne tylko wtedy, gdy domena w nagłówku „From” dokładnie odpowiada domenom używanym do uwierzytelniania SPF i DKIM.

Jeśli włączono ścisłe dopasowanie, subdomeny nie są traktowane jako dopasowane. Każda niezgodność, nawet w ramach tej samej domeny organizacyjnej, spowoduje niepowodzenie dopasowania.

Przykład ścisłego dostosowania DMARC
v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=s; adkim=s

Tutaj, aspf=s oraz adkim=s wymagają dokładnego dopasowania zarówno dla SPF, jak i DKIM.

Rola wyrównania identyfikatorów SPF i DKIM

Dostosowanie identyfikatorów SPF i DKIM ma na celu zapobieganie podszywaniu się pod domenę, a nie tylko potwierdzenie, że wiadomość e-mail przeszła podstawowe kontrole uwierzytelniające. Bez dostosowania wiadomość e-mail może technicznie przejść kontrolę SPF lub DKIM przy użyciu jednej domeny, wyświetlając jednocześnie inną, zaufaną domenę w polu „Od” — części widocznej dla odbiorców.

Dopasowanie identyfikatora uwierzytelniającego pomaga ustalić, czy nadawca wiadomości e-mail jest rzeczywiście upoważniony do wysyłania wiadomości w imieniu domeny wyświetlanej odbiorcom. Dostawcy skrzynek pocztowych polegają na tym sygnale dopasowania, aby odróżnić legalne źródła wiadomości e-mail od sfałszowanych lub wprowadzających w błąd wiadomości, nawet jeśli SPF lub DKIM niezależnie zwracają wynik „pozytywny”.

Wyrównane wiadomości e-mail mają większe szanse na pomyślne przejście kontroli weryfikacyjnej nadawcy i zostaną uznane za wiarygodne przez serwery pocztowe odbiorców. W przypadku niepowodzenia wyrównania dostawcy uznają wiadomość za bardziej ryzykowna i mogą ją filtrować, poddać kwarantannie lub odrzucić, zwłaszcza gdy DMARC jest egzekwowany zgodnie z zasadami takimi jak p=quarantine lub p=reject.

Jakie czynniki mogą wpływać na zgodność identyfikatorów SPF i DKIM?

Kilka typowych scenariuszy wysyłania może powodować błędy wyrównania:

Zewnętrzne usługi poczty elektronicznej i dostawcy usług poczty elektronicznej mogą uwierzytelniać wiadomości e-mail przy użyciu własnych domen, chyba że zostały one wyraźnie skonfigurowane w celu dostosowania.
Przekazywanie wiadomości e-mail może spowodować naruszenie protokołu SPF z powodu zmian adresu IP i unieważnienie protokołu DKIM, jeśli treść wiadomości zostanie zmodyfikowana.

Jak tryby wyrównywania mają zastosowanie do SPF

Wyrównanie SPF koncentruje się na relacji między domeną Return-Path (Envelope From) a domeną nagłówka From.

Dopasowanie SPF jest poprawne, gdy domeny te są dopasowane zgodnie z wybranym trybem dopasowania DMARC:

Swobodne dopasowanie SPF: Dopuszczalne są dopasowania domen organizacyjnych, więc subdomeny przechodzą
Ścisłe dopasowanie SPF: Tylko dokładne dopasowania domen są akceptowane

Z domeny	Domena ścieżki zwrotnej	Zrelaksowany wynik	Ścisły wynik
przykład.com	przykład.com	✓ Przejść	✓ Przejść
przykład.com	mail.przykład.com	✓ Przejść	✗ Niepowodzenie
przykład.com	inny.com	✗ Niepowodzenie	✗ Niepowodzenie

Ponieważ SPF opiera się na adresie IP nadawcy, dostosowanie SPF jest szczególnie wrażliwe na scenariusze takie jak przekazywanie wiadomości e-mail, gdzie adres IP serwera przekazującego może nie być autoryzowany w oryginalnym rekordzie SPF.

Jak tryby wyrównania mają zastosowanie do DKIM

Dopasowanie DKIM ocenia, czy domena podpisująca DKIM ( d= wartość w podpisie DKIM) jest zgodna z domeną nadawcy.

Dopasowanie DKIM jest poprawne, gdy domena podpisująca pasuje do domeny nadawcy zgodnie z wybranym trybem dopasowania:

Zrelaksowane dopasowanie DKIM: Dopuszczalne są dopasowania domen organizacyjnych
Ścisła zgodność DKIM: Wymagane jest dokładne dopasowanie domeny

Z domeny	Domena podpisu DKIM	Zrelaksowany wynik	Ścisły wynik
przykład.com	przykład.com	✓ Przejść	✓ Przejść
przykład.com	marketing.przykład.com	✓ Przejść	✗ Niepowodzenie
przykład.com	strona.trzecia.com	✗ Niepowodzenie	✗ Niepowodzenie

W przeciwieństwie do SPF, DKIM nie podlega wpływowi zmian adresu IP podczas przekazywania, ale dostosowanie DKIM może zakończyć się niepowodzeniem, jeśli treść wiadomości lub nagłówki zostaną zmodyfikowane podczas przesyłania.

Jak radzić sobie z wyzwaniami związanymi z dostosowaniem

Aby zachować spójność z DMARC, organizacje powinny zadbać o to, aby wszystkie legalne źródła wysyłania wiadomości były celowo dostosowane do domeny używanej w adresie nadawcy i regularnie monitorowane w miarę zmian infrastruktury poczty elektronicznej.

W PowerDMARC idziemy o krok dalej, pomagając Ci skonfigurować i utrzymać SPF, DKIM, ARCi DMARC w sposób scentralizowany. Ułatwia to dostosowanie nadawców zewnętrznych, rozwiązywanie problemów związanych z przekazywaniem wiadomości oraz aktualizowanie rekordów uwierzytelniających w miarę rozwoju konfiguracji, dzięki czemu Twoje legalne wiadomości e-mail mają największą szansę dotrzeć do skrzynki odbiorczej.

Przykłady dostosowania DMARC

Poniższe przykłady pokazują, jak ścisłe i luźne wyrównanie zachowuje się w rzeczywistych scenariuszach wysyłania wiadomości e-mail.

Przykład 1: Firma SaaS korzystająca z wielu subdomen

Z nagłówka: [email protected]
SPF Return-Path: marketing.company.com
Podpis DKIM: support.company.com

Wynik dopasowania z uwzględnieniem elastyczności: ✓ Zgodność (domeny organizacyjne są zgodne)
Wynik dopasowania ścisłego: ✗ Niepowodzenie (wymagana dokładna zgodność)

Jest to powszechne w przypadku firm SaaS, które wysyłają wiadomości e-mail z wielu subdomen. Luźniejsze dopasowanie pozwala tym wiadomościom przejść przez DMARC bez dodatkowej konfiguracji.

Przykład 2: Instytucja finansowa z dokładnym dopasowaniem domeny

Z nagłówka: [email protected]
SPF Return-Path: bank.com
Podpis DKIM: bank.com

Wynik wyrównania w trybie zrelaksowanym: ✓ Zaliczone
Wynik ścisłego dopasowania: ✓ Zaliczone

Ponieważ wszystkie domeny są dokładnie zgodne, oba tryby dopasowania zakończyły się powodzeniem. Taka konfiguracja jest typowa dla organizacji o scentralizowanej infrastrukturze i rygorystycznych wymaganiach bezpieczeństwa.

Przykład 3: Usługa poczty elektronicznej strony trzeciej bez dostosowania

Z nagłówka: [email protected]
SPF Return-Path: mailservice.com
Podpis DKIM: mailservice.com

Wynik wyrównania w trybie relaksacyjnym: ✗ Niepowodzenie
Wynik ścisłego dopasowania: ✗ Niepowodzenie

W tym scenariuszu ani SPF, ani DKIM nie są zgodne z domeną nadawcy. Nawet jeśli SPF lub DKIM przejdą indywidualnie, DMARC nie powiedzie się z powodu niezgodności, co podkreśla potrzebę prawidłowej konfiguracji nadawcy zewnętrznego.

Jak wybrać odpowiedni tryb dostosowania DMARC?

Wybór między luźnym a ścisłym dostosowaniem do DMARC zależy od infrastruktury poczty elektronicznej, tolerancji na fałszywe alarmy oraz tego, jak agresywnie planujesz egzekwować zasady DMARC, takie jak p=quarantine lub p=reject. Celem jest poprawa ochrony przed spoofingiem bez zakłócania przepływu legalnych wiadomości.

Który tryb wyrównania DMARC jest lepszy?

Nie ma jednej uniwersalnej „lepszej” opcji. Luźniejsze dostosowanie jest zazwyczaj bezpieczniejszym punktem wyjścia dla większości organizacji, ponieważ obsługuje typowe konfiguracje stosowane w praktyce (wiele subdomen i nadawców zewnętrznych). Ścisłe dostosowanie zapewnia lepszą ochronę, ale wymaga bardziej przejrzystej i spójnej architektury wysyłania oraz dokładniejszego monitorowania, aby uniknąć blokowania legalnych wiadomości e-mail.

Wybierz swobodne ustawienie, gdy

Luźniejsze dopasowanie jest zazwyczaj najlepszym rozwiązaniem, gdy organizacja ma bardziej złożony ekosystem wysyłania, np.:

Wysyłasz wiadomości e-mail z wielu subdomen (np. marketing.example.com, support.example.com)
Korzystasz z wielu platform pocztowych lub zewnętrznych nadawców, którzy mogą uwierzytelniać się za pomocą subdomen.
Wdrażasz DMARC po raz pierwszy i chcesz zmniejszyć ryzyko zakłóceń.
Potrzebujesz elastyczności podczas identyfikowania i naprawiania źle skonfigurowanych źródeł wysyłania.

Wybierz opcję Ścisłe dopasowanie, gdy

Ścisłe dopasowanie jest najskuteczniejsze, gdy konfiguracja wysyłania jest ściśle kontrolowana i chcesz uzyskać maksymalną ochronę przed podszywaniem się, na przykład:

Wysyłasz wiadomości e-mail z jednej domeny głównej z minimalnymi zmianami.
Masz surowe wymagania dotyczące bezpieczeństwa (np. usługi finansowe, administracja publiczna, środowiska podlegające regulacjom).
Chcesz zapobiegać próbom spoofingu subdomen
Jesteś gotowy do wdrożenia DMARC przy p=quarantine lub p=reject, z włączonym monitorowaniem.

Praktyczne ramy decyzyjne

Aby wybrać odpowiedni tryb dostosowania DMARC bez ryzyka utraty dostarczalności:

Sprawdź swoją infrastrukturę wysyłania wiadomości
Sporządź listę wszystkich systemów wysyłających wiadomości e-mail dla Twojej domeny (narzędzia marketingowe, systemy CRM, systemy obsługi zgłoszeń, systemy płacowe, fakturowanie, wewnętrzne przekaźniki), w tym subdomeny.
Sprawdź, jak każde źródło uwierzytelnia się dzisiaj
Sprawdź, czy SPF i/lub DKIM przechodzą pomyślnie i czy uwierzytelnione domeny są zgodne z domeną w nagłówku „From”.
Jeśli nie masz pewności, zacznij od luźnego dopasowania
Zrelaksowane dopasowanie jest bardziej wyrozumiałe podczas wykrywania błędnych konfiguracji i niezgodności domen dostawców.
Przejdź do trybu ścisłego dopasowania dopiero po ustabilizowaniu się dopasowania
Tryb ścisły najlepiej jest wdrożyć, gdy legalne źródła będą konsekwentnie uwierzytelniać i dostosowywać się, a wyniki będzie można zweryfikować za pomocą raportów DMARC.
Po zmianie trybu należy stale monitorować sytuację
Problemy z wyrównaniem często pojawiają się ponownie, gdy zespoły dodają nowe narzędzia, zmieniają konfiguracje ESP lub wprowadzają nowe subdomeny.

W większości przypadków najskuteczniejszym podejściem jest rozpoczęcie od luźnego dostosowania, naprawienie problemów związanych z dostosowaniem we wszystkich legalnych źródłach, a następnie przejście do ścisłego dostosowania tylko wtedy, gdy infrastruktura jest w stanie to obsłużyć.

Jak monitorować, testować i weryfikować zgodność z DMARC

Po włączeniu ścisłej zgodności DMARC (lub planowaniu przejścia z trybu łagodnego do ścisłego) monitorowanie staje się niezbędne, aby uniknąć fałszywych alarmów i zapobiec filtrowaniu lub odrzucaniu legalnych wiadomości e-mail. Najbardziej niezawodnym sposobem sprawdzania zgodności DMARC jest raportowanie zbiorcze DMARC, które pokazuje, czy SPF i DKIM są prawidłowo dostosowane do domeny nadawcy we wszystkich źródłach wysyłania.

Oto proces krok po kroku, który pozwoli Ci sprawdzić zgodność wiadomości e-mail z DMARC:

Przejdź do opcji Raportowanie w menu głównym
Kliknij opcję „DMARC Aggregate Reports” (Raporty zbiorcze DMARC) i rozwiń menu rozwijane.
Wybierz Wynik
Monitoruj źródła wysyłania na podstawie poszczególnych wyników, aby wyświetlić zgodność z DMARC i wyniki dostosowania dla każdego wyniku.

Gdy dostosowanie DMARC przejdzie pomyślnie

Zgodność DMARC jest spełniona, gdy zgodność identyfikatora SPF lub DKIM (lub obu) jest spełniona, w zależności od wybranego trybu zgodności (ścisłego lub luźnego).

Dlaczego dostosowanie DMARC zawodzi

Błąd zgodności DMARC występuje zazwyczaj, gdy ani SPF, ani DKIM nie są zgodne z domeną w nagłówku „From”. Najczęstsze przyczyny to:

Domena w nagłówku „From” nie pasuje do domeny „Return-Path” (błąd dopasowania SPF).
Domena w nagłówku „From” nie pasuje do domeny podpisującej DKIM (błąd dopasowania DKIM).
Usługi poczty elektronicznej stron trzecich są nieprawidłowo skonfigurowane i uwierzytelniają się przy użyciu własnych domen.
Przekierowywanie wiadomości e-mail zakłóca działanie protokołu SPF (zmiany adresu IP) i może unieważnić protokół DKIM, jeśli wiadomości zostaną zmodyfikowane podczas przesyłania.

Monitoruj wyniki dostosowania za pomocą PowerDMARC

PowerDMARC pomaga monitorować wiadomości e-mail przy zachowaniu ścisłej zgodności z polityką DMARC dzięki naszemu narzędzia do analizy DMARC . Pomagamy śledzić źródła wysyłania wiadomości e-mail, sprawdzać błędy zgodności i optymalizować konfigurację uwierzytelniania bezpośrednio z naszego pulpitu nawigacyjnego.

Skontaktuj się z nami już dziś, aby rozpocząć!

Najczęściej zadawane pytania

Czym jest dostosowanie DMARC?

Wyrównanie DMARC to proces weryfikacji zgodności domeny podanej w nagłówku „Od” wiadomości e-mail z domenami uwierzytelnionymi przez SPF i/lub DKIM. Dzięki temu odbiorcy widzą tę samą domenę, która została zweryfikowana podczas uwierzytelniania, co pomaga zapobiegać atakom typu spoofing i podszywanie się.

Jakie jest domyślne ustawienie wyrównania dla DMARC?

Domyślne ustawienie zgodności DMARC jest łagodne zarówno dla SPF, jak i DKIM. Pozwala to na dopasowanie domeny organizacyjnej, co oznacza, że subdomeny mogą przejść kontrolę zgodności, chyba że wyraźnie skonfigurowano bardziej rygorystyczne ustawienia.

Czym jest domena Return-Path i dlaczego ma ona znaczenie dla DMARC?

Domena Return-Path (znana również jako Envelope From lub adres zwrotny) to domena, która odbiera niedostarczone lub odrzucone wiadomości e-mail. Podczas kontroli DMARCocenia się zgodność SPF przy użyciu domeny Return-Path, a nie widocznego adresu nadawcy. Jeśli domena Return-Path nie jest zgodna z domeną nadawcy, zgodność SPF zostanie odrzucona.

Czym jest domena podpisu DKIM?

Domena podpisu DKIM to domena używana do kryptograficznego podpisywania wiadomości e-mail ( d= wartość w podpisie DKIM). Podczas oceny DMARC, dopasowanie DKIM sprawdza, czy ta domena podpisująca jest zgodna z domeną nadawcy. Luźne dopasowanie pozwala na dopasowanie organizacyjne, podczas gdy ścisłe dopasowanie wymaga dokładnego dopasowania domeny.

W jaki sposób przekazywanie wiadomości e-mail wpływa na zgodność z DMARC?

Przekazywanie wiadomości e-mail może powodować błędy zgodności DMARC poprzez naruszenie SPF, a w niektórych przypadkach również DKIM. SPF może zawieść, gdy przekazywane wiadomości e-mail są wysyłane z adresów IP, które nie są autoryzowane w rekordzie SPF pierwotnego nadawcy. DKIM może zawieść, jeśli treść wiadomości e-mail lub nagłówki zostaną zmodyfikowane podczas przekazywania. Jeśli ani SPF, ani DKIM nie pozostają zgodne, DMARC zawiedzie.

Jak mogę monitorować błędy zgodności DMARC?

Możesz monitorować błędy zgodności, włączając zbiorcze raporty DMARC i raporty diagnostyczne (dotyczące błędów). Raporty te pokazują, które źródła wysyłające są zgodne, które nie są zgodne i dlaczego, pomagając w naprawianiu problemów i poprawianiu dostarczalności przed wprowadzeniem bardziej rygorystycznych zasad DMARC.

Jak poprawnie skonfigurować zgodność DMARC?

Aby poprawnie skonfigurować zgodność DMARC:

Skonfiguruj SPF i DKIM dla wszystkich legalnych źródeł wysyłania wiadomości
Opublikuj rekord DMARC z odpowiednim aspf i adkim .
Monitoruj raporty DMARC, aby zidentyfikować niezgodne domeny.
Napraw problemy z wyrównaniem stron zewnętrznych i subdomen
Po potwierdzeniu stabilności stopniowo przechodź od luźnego do ścisłego wyrównania.

Czym jest luźne dopasowanie w DMARC?

Luźne dopasowanie pozwala na dopasowanie domen organizacyjnych. Na przykład, jeśli Twoja domena nadawcy to example.com, a domena podpisu SPF Return-Path lub DKIM to mail.example.com, luźne dopasowanie nadal będzie poprawne.

Kiedy należy stosować ścisłą zgodność DMARC?

Ścisłe dostosowanie najlepiej sprawdza się w organizacjach o ściśle kontrolowanej konfiguracji wysyłania, minimalnym wykorzystaniu subdomen i wysokich wymaganiach dotyczących bezpieczeństwa lub regulacji. Zazwyczaj powinno być wdrażane dopiero po spójnym dostosowaniu i monitorowaniu wszystkich legalnych źródeł wysyłania.

O
Latest Posts

Maitham Al Lawati

Ekspert ds. cyberbezpieczeństwa, CEO w PowerDMARC

Maitham jest przedsiębiorcą technologicznym, ekspertem ds. cyberbezpieczeństwa, dyrektorem generalnym i założycielem PowerDMARC z ponad 15-letnim doświadczeniem w branży. Maitham posiada tytuł Global MBA Uniwersytetu w Manchesterze oraz różne certyfikaty zawodowe, w tym CISSP, CISM, CRISC i ISC2 CCSP.

Najnowsze posty autorstwa Maitham Al Lawati (zobacz wszystkie)

Statystyki dotyczące phishingu e-mailowego i DMARC: trendy w zakresie bezpieczeństwa poczty elektronicznej w 2026 r. – 6 stycznia 2026 r.
Jak naprawić błąd „Nie znaleziono rekordu SPF” w 2026 r. – 3 stycznia 2026 r.
SPF Permerror: Jak naprawić zbyt dużą liczbę wyszukiwań DNS – 24 grudnia 2025 r.

Wyrównanie DMARC: Złagodzone i rygorystyczne tryby wyrównania