Wymagania DMARC w 2025 r.
przez
Czas odczytu: 3 min
W ciągu ostatnich kilku lat Google, Yahoo i inni główni dostawcy poczty elektronicznej wprowadzili znaczące zmiany w swoich wymaganiach dotyczących bezpieczeństwa poczty elektronicznej. Obecnie uwierzytelnianie domen za pomocą DMARC, DKIM, SPF i MTA-STS jest zalecane lub wymagane w różnych branżach i krajach.
Tak drastyczna zmiana w podejściu głównych dostawców poczty elektronicznej, agencji rządowych i organów regulacyjnych jest wyraźnym odzwierciedleniem globalnych wysiłków na rzecz wzmocnienia bezpieczeństwa poczty elektronicznej. Celem jest zwiększenie dostarczalności wiadomości e-mail, obniżenie liczby spamu i ograniczenie cyberataków opartych na wiadomościach e-mail, które mogą powodować poważne naruszenia danych i szkody dla reputacji.
Dzięki tym szybko zmieniającym się wymaganiom, DMARC prawdopodobnie stanie się wkrótce integralnym elementem obowiązkowych strategii cyberbezpieczeństwa na całym świecie.
Kluczowe wymagania DMARC w 2025 r.
Globalne wymagania DMARC
- Wymagania dotyczące masowych nadawców Google i Yahoo
Nadawcy masowi (ponad 5000 e-maili dziennie) muszą uwierzytelniać domeny za pomocą TLS, DKIM i SPF oraz posiadać politykę DMARC co najmniej p=none. Wymagania te zostały pierwotnie wprowadzone w życie w lutym 2024 roku. W listopadzie 2025 r. Google ogłosiło zaostrzenie egzekwowania tych wymagań, a niezgodne wiadomości e-mail będą tymczasowo i trwale odrzucane.
- Ogólne wymagania Google i Yahoo dotyczące nadawcy
Od ogólnych nadawców wiadomości e-mail oczekuje się również wdrożenia SPF lub DKIM w celu uwierzytelniania legalnych wiadomości e-mail i zapobiegania wysokim wskaźnikom spamu i podszywania się pod inne osoby.
- Zalecenia PCI-DSS w wersji 4
PCI DSS v4.0 zaleca mechanizmy zapobiegania phishingowi; dobre praktyki sugerują stosowanie DMARC, SPF i DKIM.
Regionalne wymagania DMARC
| Region | Nazwa wymagania | Opis wymagań | Link do źródła |
|---|---|---|---|
| Kraje UE | RODO (ogólne rozporządzenie o ochronie danych) | Zgodnie z RODO wymagane jest zawarcie umów o przetwarzaniu danych (DPA) z każdym dostawcą usług w chmurze, który w imieniu Twojego podmiotu przetwarza dane europejskich konsumentów. | Czytaj więcej |
| Kraje UE | DORA (ustawa o cyfrowej odporności operacyjnej) | Mając zastosowanie do 20 różnych rodzajów podmiotów finansowych i zewnętrznych dostawców usług ICT, ustawa o cyfrowej odporności operacyjnej (DORA) ma na celu harmonizację zasad dotyczących odporności operacyjnej sektora finansowego (tj. banków, firm ubezpieczeniowych, firm inwestycyjnych itp.). DMARC może mieć istotne znaczenie dla instytucji finansowych, ponieważ zapewnia ochronę przed cyberatakami opartymi na wiadomościach e-mail, pośrednio pomagając zapewnić zgodność z ustawą DORA. | Czytaj więcej |
| Kanada | Wymagania dotyczące konfiguracji usług zarządzania pocztą e-mail | Rządowe wiadomości e-mail muszą być weryfikowane przy użyciu SPF, DKIM i DMARC. | Czytaj więcej |
| Dania | Minimalne wymagania techniczne dla organów rządowych | Agencje rządowe muszą wdrożyć politykę DMARC p=reject dla wszystkich domen. | Czytaj więcej |
| Nowa Zelandia | Podręcznik bezpieczeństwa informacji Nowej Zelandii, wersja 3.6 | Zmiana zgodności kontroli DMARC i DKIM z SHOULD na MUST oraz ustawienia polityki DMARC z p="none" na p="reject". | Czytaj więcej |
| Irlandia | Podstawowe standardy bezpieczeństwa cybernetycznego w sektorze publicznym | Zasady cyberbezpieczeństwa sektora publicznego sugerują stosowanie SPF, DKIM, DMARC i TLS w celu zwiększenia bezpieczeństwa poczty elektronicznej. Jest to jednak tylko sugestia, a nie wymóg. | Czytaj więcej |
| Holandia | Standardy "przestrzegaj lub wyjaśnij" | Jest to wymóg dla agencji rządowych, aby wdrożyć DMARC, wraz z DKIM, SPF, STARTTLS i DANE. Jest to część standardów "Comply or Explain" dotyczących ochrony i uwierzytelniania poczty elektronicznej. | Czytaj więcej |
| Arabia Saudyjska | Przewodnik po wdrażaniu podstawowych kontroli cyberbezpieczeństwa (ECC) | Organizacjom z Arabii Saudyjskiej zaleca się stosowanie DKIM, SPF i DMARC jako zaawansowanych technik ochrony przed phishingiem w celu filtrowania fałszywych wiadomości. | Czytaj więcej |
| WIELKA BRYTANIA | Zasada rządowego podręcznika polityki cyberbezpieczeństwa | W marcu 2024 r. rządowa polityka cyberbezpieczeństwa zastąpiła minimalną politykę cyberbezpieczeństwa. Ta aktualizacja przeniosła MTA-STS i TLS-RPT z "zalecanych" do "obowiązkowych" i dodała odniesienie do rekordów PTR. | Czytaj więcej |
| Stany Zjednoczone | Wiążąca dyrektywa operacyjna 18-01 | Wiążąca dyrektywa operacyjna 18-01 wymaga od wszystkich agencji federalnych stosowania STARTTLS, SPF, DKIM i polityki DMARC p=reject. | Czytaj więcej |
| Stany Zjednoczone | HIPAA (ustawa o przenośności i rozliczalności ubezpieczeń zdrowotnych) | Zgodnie z ustawą Health Insurance Portability and Accountability Act z 1996 r. (HIPAA), HIPAA Privacy Rule określa krajowe standardy ochrony niektórych wrażliwych informacji związanych ze zdrowiem. DMARC może być istotnym narzędziem zapewniającym zgodność z przepisami HIPAA. | Czytaj więcej |
| Australia | Podręcznik bezpieczeństwa informacji opracowany przez ASD (Australijską Dyrekcję Sygnałów) | Zaleca korzystanie z SPF, DKIM i DMARC, aby powstrzymać zagrożenia związane z pocztą elektroniczną. | Czytaj więcej |
| Australia | Podręcznik bezpieczeństwa informacji opracowany przez ASD (Australijską Dyrekcję Sygnałów) | Zaleca korzystanie z SPF, DKIM i DMARC, aby powstrzymać zagrożenia związane z pocztą elektroniczną. | Czytaj więcej |
| Australia | Jak zwalczać fałszywe wiadomości e-mail | Przedstawia zalecenia dla specjalistów ds. bezpieczeństwa i operatorów serwerów poczty e-mail dotyczące wdrażania protokołów uwierzytelniania poczty e-mail, takich jak SPF, DKIM i DMARC, w celu zminimalizowania spoofingu. | Czytaj więcej |
| Australia | Strategie łagodzenia skutków incydentów cyberbezpieczeństwa | Szczegóły strategii ograniczania ryzyka cybernetycznego przez Australijską Dyrekcję Sygnałów (ASD). | Czytaj więcej |
| Belgia | Ochrona przed oprogramowaniem ransomware i zapobieganie mu za pomocą DMARC, SPF i DKIM | Wytyczne dostarczone przez belgijskie Centrum Cyberbezpieczeństwa. | Czytaj więcej |
| Republika Czeska | Ustawa o cyberbezpieczeństwie - wytyczne dotyczące wdrażania | Domeny wysyłające pocztę elektroniczną muszą mieć ustawiony rekord DMARC, zgodny z określonymi parametrami wymienionymi w RFC 7489. | Czytaj więcej |
| Finlandia | Jak chronić swoje usługi Microsoft 365 | Krajowe Centrum Cyberbezpieczeństwa, Fińska Agencja Transportu i Komunikacji Traficom, przedstawia strategie ochrony serwerów Exchange Online. | Czytaj więcej |
| Francja | Wytyczne dotyczące zdrowego systemu informacyjnego | Sugestie dotyczące wdrażania mechanizmów uwierzytelniania i prawidłowej konfiguracji publicznych rekordów DNS związanych z infrastrukturą poczty e-mail (MX, SPF, DKIM, DMARC). | Czytaj więcej |
| Francja | Przegląd cyberzagrożeń w 2021 r. | Przegląd cyberzagrożeń i możliwych technik ich łagodzenia opublikowany przez Agence Nationale De La Sécurité des Systèmes D'Information. | Czytaj więcej |
| Niemcy | Zalecenia dotyczące działań dla dostawców usług internetowych | Publikacje BSI dotyczące cyberbezpieczeństwa, w tym bezpieczeństwa poczty elektronicznej i uwierzytelniania. | Czytaj więcej |
| Indie | Ramy cyberbezpieczeństwa w bankach | Zgodność Banku Rezerw Indii na poziomie I wymaga od instytucji finansowych wdrożenia odpowiednich środków bezpieczeństwa w celu zapobiegania zagrożeniom związanym z pocztą elektroniczną | Czytaj więcej |
| Norwegia | Podstawowe środki bezpieczeństwa poczty e-mail | Zawiera zalecenia dotyczące wdrażania DMARC w celu zwiększenia bezpieczeństwa poczty elektronicznej. | Czytaj więcej |
| Filipiny | DICT o środkach bezpieczeństwa cybernetycznego przeciwko ransomware WannaCry | Zaleca włączenie silnych filtrów antyspamowych i uwierzytelnianie przychodzących wiadomości e-mail za pomocą technologii takich jak SPF, DMARC i DKIM, aby zapobiec fałszowaniu wiadomości e-mail. | Czytaj więcej |
| Polska | Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej - nowe obowiązki dostawców poczty elektronicznej i instytucji publicznych | Od 25 września 2023 r. podmioty publiczne w Polsce są zobowiązane do wdrożenia SPF, DKIM i DMARC w celu uwierzytelniania nadawców wiadomości e-mail oraz zwalczania spoofingu i smishingu. | Czytaj więcej |
| Portugalia | Rekomendacja techniczna 01/2019 i 01/2020 | Aby zwiększyć bezpieczeństwo poczty elektronicznej w organizacjach, zaleca się wdrożenie standardów SPF, DKIM i DMARC. Następujące cztery działania: konfiguracja SPF, DKIM, DMARC i rekordów MX w DNS domeny, pomagają powiadomić odbiorców, że wiadomości e-mail nie powinny pochodzić z "zaparkowanej" domeny i powinny zostać odrzucone, jeśli tak się stanie. Środki te powinny być stosowane w określonej kolejności w celu uzyskania optymalnej skuteczności. | Czytaj więcej (2019) Czytaj więcej (2020) |
| Szkocja | Ramy odporności cybernetycznej szkockiego sektora publicznego V1.2 | Zalecenie dotyczące wdrożenia DMARC wraz z rekordami DKIM i SPF, a także aktywacji filtrowania spamu i złośliwego oprogramowania. Zastosowanie wymuszonych zasad DMARC do przychodzących wiadomości e-mail jest również rozszerzoną najlepszą praktyką. | Czytaj więcej |
| Singapur | Business Email Compromise (BEC) Playbook | W publikacji podkreślono, że organizacje mogą wykorzystać DMARC do blokowania złośliwych wiadomości e-mail i minimalizowania prób fałszowania domen i phishingu przed dotarciem do skrzynek odbiorczych. | Czytaj więcej |
Dlaczego zgodność z DMARC ma znaczenie w 2025 r.
Korzyści z używania rekordów DMARC:
- DMARC chroni Ciebie i Twoją firmę przed phishingiem, spoofing domenypodszywaniem się pod domenę, podszywaniem się pod pocztę e-mail i zagrożeniami związanymi z biznesową pocztą elektroniczną (BEC).
- Reputacja nadawcy wiadomości e-mail jest lepsza dzięki Egzekwowanie DMARC.
- DMARC stopniowo podnosi wskaźnik dostarczalności wiadomości e-mail o 10%.
- Wdrażając DMARC na serwerze domeny, możesz mieć pewność, że Twoje e-maile nigdy nie zostaną oznaczone jako spam, co zwiększy współczynnik otwarć.
Ponadto firmy mogą łatwo śledzić, kto może wysyłać służbowe wiadomości e-mail z ich domeny. Pozwala to uniknąć nieuczciwych praktyk. W jaki sposób? Wszystkie odbierające serwery poczty elektronicznej będą weryfikować przychodzące wiadomości e-mail w celu potwierdzenia ich legalności przed dostarczeniem ich do skrzynek odbiorczych odbiorców po opublikowaniu rekordu DMARC swojej domeny we wpisie DNS.
Wyzwania związane ze spełnieniem wymagań DMARC do 2025 r.
Firmy każdej wielkości mogą stanąć przed kilkoma wyzwaniami związanymi ze spełnieniem wymagań DMARC w 2025 roku:
1. Złożoność ręcznej konfiguracji
Wdrażanie protokołów takich jak DMARC, SPF i DKIM może być technicznym wyzwaniem, prowadzącym do niechęci i często błędnych konfiguracji. Jednak dzięki nowoczesnym, zautomatyzowanym rozwiązaniom dostawców usług DMARC, kwestia ta uległa znacznej poprawie. Teraz firmy każdej wielkości mogą wybierać spośród wielu dostawców, którzy odpowiadają ich potrzebom, unikając kłopotów i złożoności związanych z ręcznymi wysiłkami.
2. Monitorowanie blokad drogowych
Konfiguracja DMARC w celu spełnienia wymagań nie kończy się tylko na konfiguracji protokołu. Twoja podróż dopiero się zaczyna! Aby uzyskać jak najlepsze wyniki z wdrożenia DMARC, należy monitorować wyniki za pomocą raportów. Podczas gdy surowe raporty DMARC mogą być trudne do rozszyfrowania, analizator raportów Analizator raportów DMARC sprawia, że są one czytelne dla człowieka i łatwe do monitorowania, dostarczając jednocześnie praktycznych spostrzeżeń!
3. Zarządzanie nadawcami zewnętrznymi
Ważne jest, aby zidentyfikować wszystkie usługi stron trzecich wysyłające wiadomości e-mail w imieniu domeny. Musisz upewnić się, że usługi te prawidłowo uwierzytelniają wiadomości e-mail za pomocą dopasowanych podpisów DKIM. Chociaż ręczne wykonanie tego może być wyzwaniem, zarządzane usługi DMARC mogą zrobić ogromną różnicę.
4. Problemy z dostarczalnością wiadomości e-mail
Przejście z polityki DMARC z p=none do p=reject wymaga starannego monitorowania. Organizacje często obawiają się blokowania legalnych wiadomości e-mail. Aby zapewnić spójną dostarczalność, zalecaną praktyką jest stopniowe egzekwowanie DMARC przy jednoczesnym monitorowaniu kanałów e-mail za pomocą raportów.
5. Brak wiedzy specjalistycznej
Wiele zespołów IT nie posiada dogłębnej wiedzy na temat DMARC, SPF i DKIM. Organizacje mogą zachęcić swoich pracowników do wybrania bezpłatnego szkolenia DMARC aby poszerzyć swoją wiedzę. Alternatywnie, outsourcing do dostawcy usług zarządzania DMARC z panelem ekspertów zmniejsza czas i wysiłek związany ze szkoleniem i podnoszeniem kwalifikacji obecnych pracowników.
Jak PowerDMARC pomaga w zapewnieniu zgodności z przepisami do 2025 r.
PowerDMARC to kompleksowa platforma uwierzytelniania poczty elektronicznej spełniająca wymagania DMARC. PowerDMARC zapewnia:
- Zautomatyzowane monitorowanie zgodności dla zmieniających się przepisów DMARC.
- Przewodniki Egzekwowanie zasad aby bezpiecznie przejść od p=none do p=reject.
- Analiza zagrożeń w czasie rzeczywistym do wykrywania prób phishingu, zanim do nich dojdzie.
- Zaufały nam organizacje z listy Fortune 100 i dostawcy MSP w ponad 90 krajach.
- Kompleksowe wyrównanie SPF i DKIM aby zapewnić prawidłowe uwierzytelnianie nadawców zewnętrznych.
- Zaawansowane raportowanie i analiza Aby uzyskać pełny wgląd w błędy uwierzytelniania wiadomości e-mail dzięki szczegółowym raportom DMARC.
- ObsługaBIMI i MTA-STS wzmocnienie zaufania do marki i bezpieczeństwa poczty e-mail dzięki dodatkowym warstwom uwierzytelniania.
- Zautomatyzowana optymalizacja SPF Aby zapobiec błędom wyszukiwania SPF za pomocą Makra SPF.
Słowa końcowe
Rok 2025 stanowi punkt zwrotny dla egzekwowania DMARC, a organizacje muszą działać już teraz, aby uniknąć zakłóceń w działaniu poczty elektronicznej i zagrożeń dla bezpieczeństwa. Wraz z zaostrzeniem polityki głównych dostawców poczty elektronicznej, zapewnienie zgodności nie jest już opcjonalne. Czy Twoja domena jest zgodna z DMARC? Sprawdź swój status zgodności i podejmij niezbędne kroki w celu ochrony swoich kanałów poczty elektronicznej.
Nie czekaj, aż będzie za późno! Aby rozpocząć, skontaktuj się z PowerDMARC już dziś, aby skorzystać z bezpłatnej DMARC trial i zapewnić pełną zgodność z wymaganiami DMARC 2025!
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.
Latest posts by Ahona Rudra (zobacz wszystkie)
- CNAME vs rekord A: Którego rekordu DNS należy użyć? - 18 listopada 2025 r.
- Studium przypadku DMARC MSP: Jak PowerDMARC zabezpiecza domeny klientów Amalfi Technology Consulting przed spoofingiem - 17 listopada 2025 r.
- Testowanie dostarczalności wiadomości e-mail: Co to jest i jak z niego korzystać - 17 listopada 2025 r.
