Czym są wymagania DMARC? Globalne zasady, polityki i zgodność z przepisami
przez
Ostatnia aktualizacja: 12 czas czytania: 12 minut
Kluczowe wnioski
- Wymogi DMARC mają teraz zastosowanie do nadawców masowych (ponad 5 000 wiadomości e-mail dziennie) korzystających z usług Google i Yahoo, a ich egzekwowanie , w tym stałe odrzucanie wiadomości przez Gmaila od listopada 2025 r.
- Agencje rządowe i branże podlegające regulacjom na całym świecie wprowadzają obowiązkowe wdrożenie protokołu DMARC w celu zapewnienia bezpieczeństwa poczty elektronicznej.
- Wymagania techniczne obejmują uwierzytelnianie za pomocą SPF i/lub DKIM oraz prawidłowe dopasowanie domeny.
- Organizacje muszą stopniowo przechodzić od polityki „p=none” do polityki „p=reject”, monitorując jednocześnie dostarczalność wiadomości e-mail.
- Od 5 maja 2025 r. firma Microsoft zaczęła egzekwować wymogi dotyczące protokołów SPF, DKIM i DMARC w odniesieniu do nadawców masowych (wysyłających ponad 5 000 wiadomości e-mail dziennie do serwisu Outlook.com), a od listopada 2025 r. wiadomości niezgodne z tymi wymogami będą całkowicie odrzucane.
- Standard DMARCbis został oficjalnie opublikowany jako RFC 9989, 9990 i 9991 (maj 2026 r.), co spowodowało podniesienie statusu DMARC z dokumentu informacyjnego do poziomu proponowanego standardu.
- Wymogi dotyczące ochrony przed phishingiem określone w standardzie PCI DSS w wersji 4.0, w tym protokół DMARC, stały się w pełni obowiązkowe z dniem 31 marca 2025 r. Wszystkie audyty w 2026 r. będą przeprowadzane zgodnie z wersją PCI DSS 4.0.1.
Wymogi DMARC nie są już jedynie zaleceniami technicznymi. Obecnie kształtuje je coraz bardziej złożona mieszanka globalnych regulacji, branżowych ram zgodności oraz zasad dostawców skrzynek pocztowych. Rządy i organy sektora publicznego w wielu regionach uczyniły DMARC formalnym wymogiem w zakresie ochrony domen urzędowych, podczas gdy standardy takie jak PCI DSS w coraz większym stopniu traktują uwierzytelnianie wiadomości e-mail jako część szerszej zgodności z wymogami bezpieczeństwa. Jednocześnie dostawcy tacy jak Google, Yahoo i Microsoft oczekują obecnie silniejszego uwierzytelniania od nadawców, zwłaszcza tych wysyłających wiadomości na dużą skalę.
Ta zmiana oznacza, że DMARC nie służy już wyłącznie zapobieganiu spoofingu. Obecnie odgrywa on bezpośrednią rolę w dostarczalności wiadomości e-mail, ochronie marki, zaufaniu klientów oraz gotowości regulacyjnej. Dla wielu organizacji niespełnienie wymagań DMARC może prowadzić do odrzucania wiadomości e-mail, zwiększonego ryzyka phishingu oraz luk w zgodności z przepisami, które trudniej zignorować.
Opublikowanie w maju 2026 r. specyfikacji DMARCbis jako oficjalnych standardów IETF (RFC 9989, 9990 i 9991) dodatkowo podkreśla tę zmianę. DMARC przeszedł z etapu informacyjnego dokumentu RFC do statusu proponowanego standardu, co wskazuje, że branża poczty elektronicznej traktuje go obecnie jako podstawową infrastrukturę, a nie jako warstwę opcjonalną.
W niniejszym przewodniku wyjaśniono wymagania DMARC z tej szerszej perspektywy. Omówiono w nim ogólne zasady i przepisy sprzyjające wdrażaniu tego standardu, wymagania na poziomie dostawców usług, które muszą spełniać nadawcy, a także podstawy techniczne, w tym SPF, DKIMoraz dostosowanie, niezbędne do zapewnienia zgodności.
Czym są wymagania DMARC?
Wymogi DMARC to standardy techniczne i proceduralne, które właściciele domen muszą spełnić, aby prawidłowo wdrożyć protokół DMARC (Domain-based Message Authentication, Reporting, and Conformance).
Obejmują one trzy obszary: wymogi prawne, wymagania stawiane dostawcom usług oraz standardy techniczne niezbędne do prawidłowego wdrożenia protokołu DMARC.
W swej istocie DMARC jest protokół uwierzytelniania poczty elektronicznej oparty na Sender Policy Framework (SPF) i DomainKeys Identified Mail (DKIM), który służy do weryfikacji, czy wychodzące wiadomości rzeczywiście pochodzą z domeny, którą rzekomo reprezentują.
Gdy wiadomość nie przejdzie tych kontroli uwierzytelniania, Twoja polityka DMARC określa, jak mają postąpić serwery pocztowe, które ją otrzymają.
Domena spełnia wymagania DMARC, gdy:
- Protokół SPF i DKIM są poprawnie skonfigurowane dla domeny wysyłającej
- Opublikowano prawidłowy rekord TXT DMARC w systemie DNS
- Przynajmniej jedna z metod – SPF lub DKIM – jest poprawna i zgadza się z domeną w nagłówku „From”
- Raporty DMARC są aktywnie monitorowane
Zmieniła się stawka. Wymogi DMARC są obecnie obowiązkowe lub egzekwowane w wielu krajach i ramach regulacyjnych na całym świecie. Są one również egzekwowane przez Google, Yahoo, Microsoftoraz PCI DSS, a nieprzestrzeganie tych standardów ma bezpośredni wpływ na dostarczalność wiadomości e-mail, zaufanie do marki oraz sytuację regulacyjną.
Rodzaje wymagań DMARC
Wymagania DMARC można podzielić na trzy kategorie:
- Wymogi regulacyjne: Wymogi rządowe oraz organów nadzorujących, takich jak CISA (USA), NCSC (Wielka Brytania) i NIS2 (UE), które wymagają od organizacji wdrożenia i egzekwowania standardu DMARC w ramach szerszych norm bezpieczeństwa cybernetycznego.
- Wymagania dostawców: Zasady egzekwowania obowiązujące u dostawców skrzynek pocztowych, takich jak Google, Yahoo i Microsoft, zwłaszcza w przypadku nadawców masowych, gdzie uwierzytelnianie i przestrzeganie zasad mają bezpośredni wpływ na dostarczalność wiadomości e-mail.
- Wymagania techniczne: Podstawowa konfiguracja niezbędna do prawidłowego wdrożenia DMARC, w tym SPF, DKIM, zasady DMARC oraz odpowiednie dostosowanie domeny.
Zrozumienie, w jaki sposób te warstwy współdziałają, ma zasadnicze znaczenie dla osiągnięcia i utrzymania pełnej zgodności z protokołem DMARC.
Oto dlaczego ponad 10 000 klientów ufa platformie PowerDMARC
- Znaczne ograniczenie liczby prób spoofingu i nieautoryzowanych wiadomości e-mail dzięki analizom zagrożeń opartym na sztucznej inteligencji
- Szybsze wdrażanie nowych pracowników + zautomatyzowane zarządzanie uwierzytelnianiem, które pozwala zespołom IT zaoszczędzić wiele godzin
- Informacje o zagrożeniach w czasie rzeczywistym oraz raporty szyfrowane algorytmem PGP w różnych domenach
- Wyższy wskaźnik dostarczalności wiadomości e-mail dzięki rygorystycznemu stosowaniu standardu DMARC pod okiem ekspertów
Pierwsze 15 dni za darmo
Rozpocznij bezpłatny okres próbnyGlobalne wymagania dotyczące protokołu DMARC w podziale na regiony
Standard DMARC jest obecnie obowiązkowy lub egzekwowany w wielu krajach i ramach regulacyjnych, co czyni go podstawowym wymogiem dla bezpiecznej infrastruktury poczty elektronicznej. Oto aktualny stan głównych regulacji w tym zakresie.
| Region | Status zlecenia | Organ egzekwujący | Polityka minimalna |
|---|---|---|---|
| Stany Zjednoczone | Obowiązkowe (na szczeblu federalnym) | CISA/DHS | p=odrzuć |
| Zjednoczone Królestwo | Obowiązkowe (sektor publiczny) | NCSC | p=odrzuć |
| Unia Europejska | Wymagane (sektory o znaczeniu krytycznym) | NIS2/organy krajowe | p = minimalny okres kwarantanny |
| Australia | Obowiązkowe (rządowe) | ACSC | p=odrzuć |
| Kanada | Obowiązkowe (na szczeblu federalnym) | Rada Skarbu | p=odrzuć |
| Arabia Saudyjska | Obowiązkowe (administracja publiczna + telekomunikacja) | CITC/NCA | p=kwarantanna |
| ZJEDNOCZONE EMIRATY ARABSKIE | Obowiązkowe (rządowe) | TDRA | p=brak wartości minimalnej |
| Indie | Wymagane (komercyjne) | TRAI | p=odrzuć |
| Nowa Zelandia | Gorąco polecam | NCSC Nowa Zelandia | p = odrzucenie (zalecane) |
Stany Zjednoczone
Rząd federalny Stanów Zjednoczonych był jednym z pierwszych, który wprowadził obowiązkowe stosowanie protokołu DMARC na szczeblu krajowym. W 2017 roku Departament Bezpieczeństwa Wewnętrznego wydał wiążącą dyrektywę operacyjną 18-01 (BOD 18-01), nakładającą na wszystkie agencje federalne władzy wykonawczej obowiązek wdrożenia protokołu DMARC z minimalną polityką p=reject w ciągu jednego roku.
CISA (Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury) nadal nadzoruje i egzekwuje te standardy, a dyrektywa ta obowiązuje w odniesieniu do wszystkich domen .gov. Dyrektywa BOD 18-01 ustanowiła ogólnoświatowy precedens, za którym podążyły od tego czasu inne rządy.
Zjednoczone Królestwo
Brytyjskie brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) nakazuje wdrożenie protokołu DMARC we wszystkich departamentach rządu centralnego i organizacjach sektora publicznego. NCSC zaleca minimalną politykę p=reject i publikuje aktualne wytyczne wymagające od organizacji zapewnienia jej egzekwowania.
Rząd Wielkiej Brytanii prowadzi również usługę Mail Check, która ma pomóc podmiotom sektora publicznego w monitorowaniu i poprawianiu stanu bezpieczeństwa uwierzytelniania poczty elektronicznej.
Unia Europejska
Dyrektywa Dyrektywa NIS2, która weszła w życie we wszystkich państwach członkowskich UE w październiku 2024 r., ustanawia wiążące wymogi w zakresie cyberbezpieczeństwa dla sektorów infrastruktury krytycznej, w tym energetyki, finansów, opieki zdrowotnej i infrastruktury cyfrowej.
Środki zabezpieczeń poczty elektronicznej, w tym protokół DMARC, są wymieniane jako podstawowe środki techniczne, które organizacje muszą wdrożyć w celu wykazania zgodności z przepisami.
Chociaż w dyrektywie NIS2 nie wspomina się wyraźnie o protokole DMARC w każdym punkcie, organy nadzorcze w kilku państwach członkowskich zaczęły traktować go jako wymagany środek kontroli podczas audytów.
Australia
Australijskie Centrum Cyberbezpieczeństwa (ACSC) Australijskie Centrum Cyberbezpieczeństwa (ACSC), działające w ramach Australijskiej Dyrekcji Sygnałów, nakłada obowiązek stosowania protokołu DMARC na domeny rządowe Australii i zdecydowanie zaleca jego stosowanie wszystkim organizacjom sektora prywatnego.
ACSC ACSC Strategie ograniczania skutków incydentów związanych z cyberbezpieczeństwem wymieniają wymienia uwierzytelnianie poczty elektronicznej jako środek kontroli o priorytetowym znaczeniu, a od agencji rządowych oczekuje się osiągnięcia pełnego wdrożenia.
Kanada
Sekretariat Sekretariat Rady Skarbu Kanady wymaga wdrożenia protokołu DMARC we wszystkich instytucjach rządowych w ramach wytycznych dotyczących bezpieczeństwa poczty elektronicznej. Oczekuje się, że kanadyjskie domeny federalne opublikują i będą egzekwować zasady DMARC zgodnie z międzynarodowymi standardami.
Inne aktywne zlecenia
| Region | Rada Nadzorcza | Wymóg |
|---|---|---|
| Arabia Saudyjska | CITC/NCA | DMARC jest wymagany w przypadku instytucji rządowych i licencjonowanych operatorów telekomunikacyjnych |
| ZJEDNOCZONE EMIRATY ARABSKIE | Urząd Regulacji Telekomunikacji i Administracji Cyfrowej | Wymóg stosowania protokołu DMARC dla podmiotów rządowych |
| Indie | TRAI | DMARC jest wymagany dla nadawców komercyjnych wiadomości e-mail i przedsiębiorstw |
| Nowa Zelandia | GCSB/NCSC Nowa Zelandia | Zalecane i obowiązkowe stosowanie protokołu DMARC w agencjach rządowych |
| Holandia | NCSC-NL | Wymóg stosowania protokołu DMARC w administracji centralnej, egzekwowany za pośrednictwem serwisu internet.nl |
Wymagania dotyczące protokołu DMARC firm Google, Yahoo i Microsoft
Oprócz wymogów prawnych dostawcy usług pocztowych wprowadzają obecnie protokół DMARC jako warunek dostarczania wiadomości do skrzynek odbiorczych, zwłaszcza w przypadku nadawców masowych. Jeśli Twoja organizacja kwalifikuje się jako nadawca masowy, wymogi te mają obecnie zastosowanie również do Ciebie.
Kto jest uznawany za nadawcę masowego?
Za nadawców masowych wiadomości e-mail uznaje się podmioty wysyłające ponad 5000 wiadomości dziennie na konta Gmail. Serwis Yahoo stosuje podobne progi. Firma Microsoft stosuje własne kryteria klasyfikacji masowych wiadomości e-mail, ale egzekwuje równoważne standardy uwierzytelniania.
Wymagania w skrócie
| Dostawca | Minimalna polityka DMARC | Inne wymagania |
|---|---|---|
| p=brak | SPF, DKIM, widoczny link do rezygnacji z subskrypcji, wskaźnik spamu poniżej 0,3% | |
| Yahoo | p=brak | SPF, DKIM, rezygnacja z subskrypcji jednym kliknięciem w przypadku wiadomości subskrybowanych |
| Microsoft | p=brak | Rekordy SPF, DKIM i PTR |
Wszystkie szczegóły zostały omówione w aktualizacji dotyczącej wymagań Google i Yahoo w zakresie uwierzytelniania poczty e-mail , a także w wytyczne Google dla nadawców .
Harmonogram egzekucji
Od maja 2026 r. mechanizm egzekwowania przepisów działa w pełni u wszystkich trzech głównych dostawców:
- Google/Gmail: W lutym 2024 r. wprowadzono tymczasowe opóźnienia w dostarczaniu wiadomości (błędy 421). W listopadzie 2025 r. sytuacja przerodziła się w stałe odrzucanie wiadomości (błędy 550). Nadawcy masowi, którzy nie spełniają wymogów, otrzymują obecnie stałe komunikaty o niepowodzeniu.
- Yahoo: Stosuje takie same wymagania dotyczące uwierzytelniania jak Gmail i egzekwuje je w identyczny sposób.
- Microsoft/Outlook: Wymagania ogłoszono w maju 2025 r. Ostrzeżenia zaczęto wyświetlać w sierpniu 2025 r. Pełne egzekwowanie odrzucania wiadomości (kod błędu 550 5.7.515) obowiązuje od listopada 2025 r.
Szczegółowe wytyczne dotyczące zgodności z wymogami firmy Microsoft można znaleźć pod adresem: Wymagania firmy Microsoft dotyczące protokołu DMARC w programie Outlook
Nieprzestrzeganie tych zasad może znacząco wpłynąć na dostarczalność wiadomości do odbiorców korzystających z usług Gmail, Yahoo oraz Outlook . Organizacje, które nie spełnią tych wymagań, narażają się zarówno na tymczasowe, jak i trwałe odrzucanie wiadomości e-mail, dlatego tak ważne jest wyprzedzenie tych wymogów.
DMARCbis: nowy standard DMARC (RFC 9989, 9990, 9991)
21 maja 2026 r. organizacja IETF oficjalnie opublikowała specyfikacje DMARCbis w postaci trzech nowych dokumentów RFC, zastępując tym samym pierwotną specyfikację DMARC (RFC 7489):
- RFC 9989: Podstawowa specyfikacja DMARCbis, wprowadzająca aktualizację zasad dotyczących zgodności z DMARC, obsługi polityk oraz weryfikacji domen.
- RFC 9990: Zaktualizowane standardy sprawozdawczości zbiorczej w celu poprawy interoperacyjności i przejrzystości.
- RFC 9991: Zaktualizowane standardy zgłaszania awarii zawierające lepsze wytyczne dotyczące bezpieczeństwa.
Najważniejszą zmianą jest podniesienie statusu DMARC z informacyjnego dokumentu RFC do poziomu proponowanego standardu. Oznacza to, że protokół ten został oficjalnie uznany za standard internetowy, co wiąże się z bardziej rygorystycznymi wymaganiami dotyczącymi jego wdrażania w całym ekosystemie poczty elektronicznej.
Co oznacza DMARCbis dla Twojej zgodności z przepisami
- W związku z zaostrzonymi wymogami dotyczącymi zgodności jeszcze ważniejsze stało się zapewnienie, by podpisy SPF i DKIM były prawidłowo dopasowane do domeny w nagłówku „From”.
- Ulepszone standardy raportowania zapewniają lepszy wgląd w awarie procesu uwierzytelniania, co ułatwia diagnozowanie i usuwanie problemów.
- W zaktualizowanym standardzie zastosowano algorytm przeszukiwania drzewa DNS zamiast listy sufiksów publicznych, co zwiększa dokładność wyszukiwania domen.
- Organizacje, które już spełniają obecne wymagania DMARC, mają dobrą pozycję wyjściową; DMARCbis stanowi raczej udoskonalenie, a nie zastąpienie podstawowego protokołu.
Dowiedz się więcej: DMARCbis – co się zmienia i jak się przygotować
Wymagania DMARC dotyczące zgodności z PCI DSS
Dla organizacji przetwarzających dane kart płatniczych stosowanie protokołu DMARC stanowi wymóg prawny.
Rada ds. Standardów Bezpieczeństwa w Branży Kart Płatniczych (PCI SSC) wprowadziła obowiązek stosowania protokołu DMARC w ramach standardu bezpieczeństwa danych PCI. Wymóg ten wynika z faktu, że oszustwa e-mailowe, podszywanie się pod domeny oraz ataki typu BEC (Business Email Compromise) należą do głównych metod wykorzystywanych do ataków na organizacje działające w ekosystemie płatności.
Z dniem 31 marca 2025 r. wszystkie 51 wymogów „z datą przyszłą” zawartych w standardzie PCI DSS w wersji 4.0 stało się w pełni obowiązkowych, w tym punkt 5.4.1, który wymaga stosowania zautomatyzowanych mechanizmów przeciwdziałania phishingowi, takich jak DMARC, SPF i DKIM. Wszystkie audyty PCI DSS przeprowadzane w 2026 r. będą oceniane zgodnie z wersją PCI DSS 4.0.1, bez żadnego okresu karencji dla tych środków kontroli.
Co oznacza brak zgodności dla organizacji płatniczych:
- Utrata uprawnień do obsługi transakcji kartami płatniczymi
- Narażenie na ataki polegające na podszywaniu się pod markę, skierowane przeciwko klientom i partnerom
- Zwiększona podatność na ataki typu „business email compromise” oraz wiadomości phishingowe
- Potencjalne kary w wysokości od 5 000 do 100 000 dolarów za każdy miesiąc naruszenia przepisów
Oprócz standardu PCI DSS, protokół DMARC jest coraz częściej wymieniany w innych ramach regulacyjnych jako podstawowy środek kontroli bezpieczeństwa poczty elektronicznej. Organizacje podlegające federalnym wymogom zgodności powinny również przeanalizować, w jaki sposób protokół DMARC wpisuje się w ich szerszy zakres obowiązków.
Zobacz też: Zgodność poczty elektronicznej z PCI DSS: Twoja strategia DMARC dla wersji 4.0
Co się stanie, jeśli nie spełnisz wymagań DMARC
Ryzyko związane z nieprzestrzeganiem wymogów DMARC jest realne, bezpośrednie, a w niektórych przypadkach bardzo trudne do naprawienia.
Konsekwencje dla dostarczalności
| Scenariusz | Wpływ |
|---|---|
| Brak rekordu DMARC | Domena, którą można dowolnie sfałszować, brak egzekwowania zasad |
| Niespełnienie wymagań Google/Yahoo | E-maile filtrowane, odkładane lub odrzucane na dużą skalę |
| Wysoki poziom spamu | Długotrwałe pogorszenie reputacji domeny jako nadawcy |
| Brak zgodności z protokołami SPF lub DKIM | Prawdziwe wiadomości e-mail nie przechodzą procesu uwierzytelniania i są blokowane |
Konsekwencje dla reputacji
Bez polityki DMARC Twoja domena może być swobodnie wykorzystywana do wysyłania wiadomości phishingowych i złośliwych, które sprawiają wrażenie, jakby pochodziły bezpośrednio od Twojej organizacji.
Firmy, które nie spełniają wymogów protokołu DMARC, często padają ofiarą podszywania się pod markę i oszustw, po których trudno się podnieść, zwłaszcza gdy klienci otrzymali już fałszywe wiadomości wyglądające na pochodzące z zaufanej domeny.
Według najnowszych danych branżowych na początku 2026 r. liczba domen, w których wdrożono prawidłowe ustawienia DMARC, przekroczyła 937 000, jednak tylko około 412 000 z nich stosuje zasady na poziomie egzekwowania (kwarantanna lub odrzucenie). Ta rozbieżność sprawia, że setki tysięcy domen posiadają wpisy DMARC, które w rzeczywistości nie chronią ich przed spoofingiem.
Konsekwencje prawne
W przypadku organizacji podlegających PCI DSS, brak wdrożenia DMARC może skutkować utratą uprawnień do przetwarzania płatności. Jest to określona konsekwencja nieprzestrzegania obecnego standardu.
Podstawowe wymagania: SPF i DKIM
DMARC nie może działać bez SPF i DKIM. Te dwie metody uwierzytelniania poczty stanowią fundament, na którym opiera się DMARC, i obie muszą być poprawnie skonfigurowane przed opublikowaniem rekordu DMARC.
Zaleca się, aby protokoły SPF i DKIM działały przez co najmniej 48 godzin przed wdrożeniem DMARC, co pozwoli sprawdzić, czy oba mechanizmy działają poprawnie, zanim wprowadzona zostanie polityka reagująca na niepowodzenia.
Sender Policy Framework (SPF)
SPF to rekord DNS typu TXT , który zawiera listę wszystkich adresów IP uprawnionych do wysyłania wiadomości e-mail w imieniu Twojej domeny. Gdy serwer odbiorczy otrzymuje wiadomość e-mail, sprawdza, czy adres IP nadawcy znajduje się w Twoim rekordzie SPF.
Dwie typowe kwestie związane z SPF, na które należy zwrócić uwagę:
- Nieprawidłowe wyszukiwania SPF: Rekordy z zbyt dużą liczbą wyszukiwań DNS powodują ciche zakłócenie uwierzytelniania i są jedną z najczęstszych przyczyn nieoczekiwanych awarii. Dowiedz się więcej o nieprawidłowych wyszukiwań SPF i jak je naprawić.
- Złożone infrastruktury wysyłkowe: Organizacje zarządzające wieloma autoryzowanymi nadawcami mogą korzystać z makr SPF do skalowania swoich rekordów SPF bez przekraczania limitów wyszukiwania.
Jeśli Twój rekord SPF przekroczy limit 10 wyszukiwań DNS określony w RFC 7208, zwróci on błąd PermError, co DMARC traktuje jako niepowodzenie. Organizacje z złożonymi konfiguracjami wysyłania powinny rozważyć spłaszczenie SPF lub PowerSPF , aby nie przekroczyć limitu.
Poczta identyfikowana za pomocą kluczy domenowych (DKIM)
DKIM dodaje kryptograficzny podpis cyfrowy do wysyłanych wiadomości, umożliwiając serwerom odbiorczym sprawdzenie, czy treść wiadomości i nagłówki nie zostały zmienione podczas przesyłania.
Zgodność DKIM w ramach protokołu DMARC wymaga, aby domena w nagłówku „From” była zgodna z domeną określoną w tagu „d=” podpisu DKIM. Technicznie poprawny podpis DKIM, który nie jest zgodny z domeną „From”, nadal nie przejdzie weryfikacji DMARC.
| Metoda uwierzytelniania | Co sprawdza | Czy przetrwa przekazanie? |
|---|---|---|
| SPF | Dopuszczalny adres IP dla domeny wysyłającej | Nie |
| DKIM | Podpis kryptograficzny w treści wiadomości | Tak |
Przewodnik krok po kroku dotyczący konfiguracji DMARC
Po skonfigurowaniu protokołów SPF i DKIM oraz upewnieniu się, że działają one poprawnie, możesz opublikować swój rekord DMARC. Prawidłowa konfiguracja ma kluczowe znaczenie, ponieważ błędy w rekordzie mogą spowodować, że Twoja domena pozostanie bez ochrony lub że legalne wiadomości e-mail nie przejdą procesu uwierzytelniania.
Konfiguracja krok po kroku
- Sprawdź, czy protokoły SPF i DKIM są aktywne i działają od co najmniej 48 godzin
- Utwórz rekord DNS typu TXT pod adresem _dmarc.twojadomena.com
- Zacznij od zasady „p=none” , aby gromadzić dane bez wpływu na dostawę
- Dodaj adresy do raportów aby raporty DMARC zaczęły napływać natychmiast
- Sprawdź wpis za pomocą narzędzia do sprawdzania DMARC po opublikowaniu
Struktura rekordu DMARC
Każdy ciąg znaków DMARC zaczyna się od v=DMARC1. Podstawowy rekord początkowy wygląda następująco:
v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected];
| Tag | Cel | Czy to konieczne? |
|---|---|---|
| v=DMARC1 | Tag wersji musi znajdować się na początku | Tak |
| p= | Zasady: brak, kwarantanna lub odrzucenie | Tak |
| rua= | Adres e-mail do przesyłania zbiorczych raportów | Zalecane |
| ruf= | Adres e-mail do przesyłania raportów kryminalistycznych | Zalecane |
| sp= | Zasady dotyczące subdomen | Opcjonalnie |
| pct= | Zasada dotycząca odsetka wiadomości ma zastosowanie do | Opcjonalnie |
Dodatkowe wymagania dotyczące DNS
Oprócz samego rekordu DMARC nadawcy wiadomości e-mail muszą zadbać o poprawność rekordów PTR typu forward i reverse DNS PTR.
Serwery odbierające wykorzystują rekordy PTR do weryfikacji, czy adres IP, z którego wysyłana jest wiadomość, odpowiada domenie nadawcy. Brakujące lub niezgodne rekordy PTR są częstą, ale często pomijaną przyczyną niepowodzeń w procesie uwierzytelniania.
Wdrożenie protokołu DMARC wymaga również indywidualnego skonfigurowania rekordów SPF i DKIM dla każdej domeny wysyłającej. Organizacje zarządzające wieloma domenami przeznaczonymi dla różnych regionów, produktów lub jednostek biznesowych muszą zadbać o prawidłową konfigurację rekordów uwierzytelniających w każdej z nich.
Wyjaśnienie poziomów polityki DMARC
Twoja Polityka DMARC określa, co się dzieje, gdy wiadomość e-mail nie przejdzie kontroli uwierzytelniającej. Wybór odpowiedniej polityki na każdym etapie wdrażania decyduje o tym, czy proces przebiegnie płynnie, czy też nieumyślnie zablokuje legalną pocztę.
| Polityka | Co robi | Kiedy z tego korzystać |
|---|---|---|
| p=brak | Dostarcza całą pocztę, generuje wyłącznie raporty | Na początek: weryfikacja nadawców |
| p=kwarantanna | Przenosi wiadomości, których wysłanie się nie powiodło, do folderu ze spamem | Po uwierzytelnieniu wszystkich uprawnionych nadawców |
| p=odrzuć | Blokowanie wszystkich wiadomości e-mail | Etap pełnego egzekwowania DMARC |
Zalecane podejście do wdrażania
- Zacznij od ustawienia p=none, aby przeprowadzić audyt bez wpływu na dostarczalność wiadomości e-mail. Dzięki temu uzyskasz dane pozwalające zidentyfikować wszystkich wiarygodnych nadawców przed wprowadzeniem restrykcji.
- Przejdź do stanu p=kwarantanna, gdy wszyscy wiarygodni nadawcy zostaną uwierzytelnieni i będą konsekwentnie przechodzić weryfikację.
- Przejdź na plan p=reject, aby uzyskać pełną ochronę przed fałszowaniem domen i oszukańczymi wiadomościami.
Pośpieszne odrzucanie wiadomości bez zakończenia fazy monitorowania jest jedną z najczęstszych przyczyn, dla których organizacje przypadkowo blokują własną, prawidłową pocztę.
Aby zapoznać się ze szczegółowym wyjaśnieniem, dlaczego przejście do etapu egzekwowania przepisów ma znaczenie w 2026 roku, zobacz: Dlaczego DMARC jest ważny w 2026 roku?
Jak monitorować i zarządzać protokołem DMARC na dużą skalę
Spełnianie wymagań DMARC to nieustanne wyzwanie. Konsekwentne monitorowanie, przejrzysta sprawozdawczość i odpowiednia infrastruktura to cechy, które odróżniają organizacje zachowujące zgodność z przepisami od tych, które ponownie narażają się na zagrożenia.
Jak interpretować raporty DMARC
DMARC pozwala sprawdzić, które serwery wysyłają wiadomości e-mail w Twoim imieniu oraz jaki odsetek tych wiadomości przechodzi uwierzytelnianie, a jaki nie. Dane te są udostępniane w dwóch rodzajach raportów:
| Typ raportu | Częstotliwość | Co to pokazuje |
|---|---|---|
| Łącznie (RUA) | Codziennie | Podsumowanie wszystkich źródeł wysyłających, wskaźniki powodzenia/niepowodzenia oraz adresy IP |
| Kryminalistyka (RUF) | W czasie zbliżonym do rzeczywistego | Szczegółowe informacje dotyczące poszczególnych nieudanych prób uwierzytelnienia |
Narzędzie do raportowania DMARC firmy PowerDMARC narzędzie do raportowania DMARC przekształca surowe dane raportów XML w przejrzyste, praktyczne pulpity nawigacyjne. Pomaga monitorować wyniki we wszystkich domenach wysyłających bez konieczności ręcznego analizowania skomplikowanych plików.
Zarządzanie nadawcami zewnętrznymi
Jednym z najczęstszych wyzwań związanych z wdrożeniem jest identyfikacja i uwierzytelnianie wszystkich zewnętrznych nadawców, którzy wysyłają wiadomości e-mail w Twoim imieniu.
Platformy marketingowe, systemy CRM, narzędzia pomocy technicznej i inne usługi wysyłają wiadomości wychodzące przy użyciu Twojej domeny, a każda z nich musi zostać odpowiednio uwierzytelniona, zanim będzie można bezpiecznie przenieść ją do kwarantanny lub odrzucić.
Usługi zarządzane DMARC pomagają organizacjom zidentyfikować tych nadawców, zapewnić prawidłowe uwierzytelnianie we wszystkich kanałach poczty elektronicznej oraz ograniczyć czas i zasoby potrzebne do osiągnięcia pełnej zgodności.
Skalowanie w wielu domenach
Organizacje coraz częściej zarządzają wieloma domenami, co sprawia, że scentralizowane zarządzanie staje się niezbędne. Ręczne utrzymywanie rekordów DMARC w wielu domenach wiąże się z ryzykiem popełnienia błędów i wymaga znacznych zasobów.
Rozwiązania DMARC w modelu hostowanym umożliwiają organizacjom centralne zarządzanie rekordami, jednoczesne wprowadzanie zmian w zasadach we wszystkich domenach oraz zachowanie wglądu w całą infrastrukturę poczty elektronicznej z poziomu jednego interfejsu.
Dla dostawców usług zarządzanych (MSP) i dostawców usług bezpieczeństwa zarządzanego (MSSP) zarządzających domenami klientów na dużą skalę, platforma wielodostępna PowerDMARC wielodostępna platforma oferuje panele kontrolne z możliwością oznaczania własną marką, integrację z PSA oraz obsługę 11 języków.
Budowanie wewnętrznej wiedzy specjalistycznej
Dla zespołów, które chcą rozwijać własną wiedzę równolegle z korzystaniem z narzędzi zarządzanych, szkolenia PowerDMARC pomagają w zdobyciu wiedzy specjalistycznej niezbędnej do skutecznego zarządzania uwierzytelnianiem poczty elektronicznej w dłuższej perspektywie.
Ponadto pomagają zespołom uniknąć błędów konfiguracyjnych, które są najczęstszą przyczyną niepowodzeń w procesie uwierzytelniania.
Jakie możliwości otwiera pełne wdrożenie
Gdy wartość p osiągnie poziom „reject”, DMARC otwiera drogę do BIMI (Brand Indicators for Message Identification), który wyświetla logo Twojej marki bezpośrednio w skrzynce odbiorczej adresata.
BIMI jest jednym z najbardziej widocznych efektów prawidłowego wdrożenia protokołu DMARC i stanowi silny sygnał zaufania dla nadawców wysyłających duże ilości wiadomości.
Dla organizacji, które chcą jeszcze bardziej wzmocnić swoją infrastrukturę pocztową, MTA-STS wymusza szyfrowanie TLS dla poczty przychodzącej, dodając kolejną warstwę ochrony wykraczającą poza to, co zapewnia DMARC.
Spełnij wymagania DMARC dzięki PowerDMARC
Wymogi DMARC stają się coraz bardziej rygorystyczne. Firmy takie jak Google, Yahoo i Microsoft oraz organizacja PCI DSS wyznaczyły jasne granice, a organizacje, które nie spełniają tych wymogów, już odczuwają konsekwencje w postaci odrzucanych wiadomości e-mail, nadszarpniętej reputacji nadawców oraz narażonych domen.
Osiągnięcie pełnej zgodności z protokołem DMARC wymaga uwierzytelniania każdego nadawcy, prawidłowej interpretacji raportów, zarządzania wieloma domenami oraz przechodzenia przez kolejne etapy wdrażania zasad bez zakłócania przepływu prawidłowej poczty. To ogromne wyzwanie, jeśli chce się to robić ręcznie.
PowerDMARC upraszcza cały proces – od utworzenia pierwszego rekordu DNS typu TXT po wdrożenie reguły „p=reject” i nie tylko.
Dzięki hostowanemu rozwiązaniu DMARC, automatycznej generacji raportów, usługom zarządzanym oraz platformie zaprojektowanej z myślą o kompleksowym wglądzie w dane, PowerDMARC zapewnia wszystko, czego potrzebujesz, aby sprostać obecnym wymaganiom i wyprzedzić nadchodzące zmiany.
Zacznij korzystać z PowerDMARC już dziś.
Najczęściej zadawane pytania
1. Jakie są wymagania dotyczące DMARC?
DMARC wymaga skonfigurowania protokołu SPF lub DKIM (najlepiej obu) i dostosowania ich do Twojej domeny. Musisz opublikować w systemie DNS politykę DMARC zaczynającą się od p=none oraz skonfigurować adresy raportowania, aby otrzymywać raporty uwierzytelniające.
2. Czy stosowanie protokołu DMARC jest obecnie obowiązkowe?
Od lutego 2024 r. protokół DMARC jest wymagany dla nadawców masowych (ponad 5 000 wiadomości e-mail dziennie) wysyłających wiadomości do serwisów Gmail i Yahoo, a do serwisu Microsoft Outlook.com od maja 2025 r.. Agencje rządowe w wielu krajach również nakładają obowiązek stosowania DMARC. Chociaż nie jest to wymagane powszechnie, jest to zdecydowanie zalecane dla wszystkich organizacji wysyłających wiadomości e-mail.
3. Czy protokół DMARC wymaga stosowania DKIM?
DMARC wymaga, aby co najmniej jeden z mechanizmów – SPF lub DKIM – spełniał wymogi zgodności, ale zaleca się stosowanie obu. Chociaż technicznie rzecz biorąc można wdrożyć DMARC wyłącznie z wykorzystaniem SPF, główni dostawcy usług pocztowych, tacy jak Google, Yahoo i Microsoft wymagają DKIM od nadawców masowych, co sprawia, że praktycznie konieczne jest stosowanie obu.
4. Od kiedy stosowanie protokołu DMARC stało się obowiązkowe?
Wymogi dotyczące protokołu DMARC zostały po raz pierwszy wprowadzone przez agencje federalne Stanów Zjednoczonych w 2017 r. (BOD 18-01). Firmy Google i Yahoo wdrożyły wymogi dotyczące nadawców masowych w lutym 2024 r. Microsoft dołączył do nich, wprowadzając egzekwowanie tych wymogów od maja 2025 r. Standard PCI DSS v4.0 wprowadził obowiązkowe środki kontroli antyphishingowej związane z DMARC od 31 marca 2025 r. W latach 2020–2025 różne kraje wdrożyły wymagania DMARC, a ich egzekwowanie nadal rozszerza się na całym świecie.
5. Jak długo trwa wdrożenie DMARC?
Wdrożenie DMARC trwa zazwyczaj od 4 do 12 tygodni, w zależności od stopnia złożoności. Wstępną konfigurację można przeprowadzić w ciągu kilku dni, jednak odpowiednie monitorowanie, analiza i stopniowe wdrażanie zasad wymagają kilku tygodni, aby nie wpłynąć negatywnie na dostarczalność wiadomości e-mail.
6. Co się stanie, jeśli nie wdrożę protokołu DMARC?
Bez DMARC masowe wiadomości e-mail wysyłane do Gmaila, Yahoo i Microsoft mogą zostać odrzucone lub oznaczone jako spam. Twoja domena pozostaje narażona na ataki typu spoofing, a w branżach podlegających regulacjom możesz napotkać problemy z przestrzeganiem przepisów. Prawdopodobnie ucierpi na tym dostarczalność wiadomości e-mail oraz reputacja nadawcy.
7. Czym jest DMARCbis i czy zmienia on wymagania DMARC?
DMARCbis to zaktualizowana specyfikacja DMARC opublikowana w maju 2026 r. jako RFC 9989, 9990 i 9991, zastępująca pierwotny dokument RFC 7489. Podnosi ona status DMARC do poziomu „proponowanego standardu”, zaostrza zasady dopasowania i usprawnia raportowanie. Chociaż nie zmienia to podstawowych wymagań dotyczących wdrożenia DMARC, sygnalizuje to, że branża poczty elektronicznej traktuje obecnie DMARC jako formalną infrastrukturę. Organizacje, które już spełniają istniejące wymagania, są dobrze przygotowane do wdrożenia DMARCbis.
8. Czy firma Microsoft wymaga obecnie stosowania protokołu DMARC od nadawców masowych wiadomości?
Tak. Od 5 maja 2025 r. firma Microsoft wymaga stosowania protokołów SPF, DKIM i DMARC (z minimalnym ustawieniem p=none) dla wszystkich domen wysyłających co najmniej 5000 wiadomości e-mail dziennie do serwisów Outlook.com, Hotmail.com i Live.com. Od listopada 2025 r. obowiązuje pełne blokowanie takich wiadomości. Wiadomości niezgodne z tymi wymaganiami otrzymują kod błędu 550 5.7.515.
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.
Latest posts by Ahona Rudra (zobacz wszystkie)
- Bezpieczeństwo poczty elektronicznej i listy płac w dziale kadr: najlepsze praktyki dla zespołów międzynarodowych – 22 czerwca 2026 r.
- Jak blokować agentów AI wysokiego ryzyka w usłudze Microsoft Entra - 15 czerwca 2026 r.
- Zasady ochrony przed phishingiem w usłudze Office 365: jak je skonfigurować - 3 czerwca 2026 r.
