Wyjaśnienie DMARCbis - co się zmienia i jak się przygotować

DMARCbis to długo oczekiwana aktualizacja pierwotnej specyfikacji DMARC określonej w dokumencie RFC 7489. Wprowadza ona zmiany strukturalne w sposobie działania DMARC, usuwa przestarzałe elementy oraz wyjaśnia utrzymujące się od dawna niejasności dotyczące powiązania domen i obsługi zasad.

Chociaż aktualizacja nie powoduje żadnych zakłóceń, zmienia ona sposób określania granic domen, stosowania zasad w subdomenach oraz interpretacji lub usuwania niektórych tagów.

W niniejszym przewodniku wyjaśniono, co się zmienia, co pozostaje bez zmian oraz jakie kroki należy podjąć.

Czym jest DMARCbis?

DMARCbis to zaktualizowana specyfikacja protokołu DMARC (Domain-based Message Authentication, Reporting, and Conformance), opracowana przez IETF.

Pierwotna specyfikacja DMARC (RFC 7489) została opublikowana jako dokument informacyjny.

DMARCbis jest obecnie rozpatrywany jako projekt standardu, co oznacza większy konsensus i jaśniejsze wytyczne dotyczące wdrożenia.

Aktualizacja koncentruje się na trzech obszarach:

• Wyeliminowanie niejasności dotyczących sposobu oceny domen
• Uproszczenie protokołu poprzez wycofanie nieużywanych tagów
• Zapewnienie właścicielom domen większej kontroli nad dziedziczeniem zasad

Co ważne, DMARCbis nie wprowadza zmian w parametr ze v=DMARC1, więc dotychczasowe rekordy nadal działają.

Co zastępuje DMARCbis?

DMARCbis konsoliduje i zastępuje:

RFC 7489 – oryginalna specyfikacja DMARC

RFC 9091 – rozszerzenie DMARC dotyczące domeny z sufiksem publicznym (PSD)

Ma to znaczenie, ponieważ obsługa plików PSD została teraz wbudowana w podstawową specyfikację za pośrednictwem tagu psd. Zewnętrzne zależności, takie jak lista sufiksów publicznych, nie są już wymagane. Granice domen są definiowane bezpośrednio w systemie DNS.

Jakie są najważniejsze zmiany w DMARCbis?

1. Przeglądanie drzewa DNS zastępuje listę sufiksów publicznych

DMARCbis zastępuje listę Public Suffix List (PSL) metodą natywną dla systemu DNS, zwaną „DNS Tree Walk”. Zamiast opierać się na liście zewnętrznej, określa domenę organizacyjną poprzez bezpośrednie przeszukiwanie systemu DNS.

Jak to działa:

Weźmy na przykład tę domenę: mail.marketing.example.com

Odbiorca sprawdza obecność rekordu DMARC w następującej kolejności:

1. mail.marketing.example.com
2. marketing.przykład.com
3. przykład.com
4. com

Na każdym poziomie szuka rekordu DMARC z tagiem psd:

• psd=n → to jest domena organizacyjna → koniec
• psd=y → to jest sufiks publiczny → zatrzymaj się
• psd=u lub brak → kontynuuj w górę

Wyszukiwanie kończy się po maksymalnie 8 poziomach.

Takie podejście eliminuje zależność od zewnętrznych list, zapewnia właścicielom domen kontrolę nad ich granicami oraz sprawia, że zachowanie systemów staje się bardziej przewidywalne.

2. Tagów, których używanie jest odradzane: „pct”, „rf”, „ri”

DMARCbis usuwa następujące tagi:

• „pct” (tag procentowy służący do egzekwowania opartego na wartościach procentowych)
• „rf” (format raportukryminalistycznego )
• „ri” (interwał raportowania)

Rozwiązania te rzadko były stosowane w sposób spójny i zwiększały złożoność bez wyraźnych korzyści.

Uwaga dotycząca znacznika pct: Niektóre organizacje wykorzystywały pct do stopniowego wdrażania zasad DMARC. Jego usunięcie upraszcza protokół, ale jednocześnie eliminuje mechanizm stopniowego wdrażania.

Stanowisko PowerDMARC: stopniowe wdrażanie nadal ma znaczenie, ale powinno być realizowane na poziomie operacyjnym, a nie poprzez niejednolite wsparcie ze strony odbiorców.

3. Nowe tagi: „psd”, „np”, „t”

„psd” (domena z publicznym sufiksem)

Tag „psd” jednoznacznie określa typ domeny i decyduje o tym, gdzie kończy się przeszukiwanie drzewa DNS:

• psd=y → domena z publicznym sufiksem (np. operatorzy domen najwyższego poziomu)
• psd=n → domena organizacyjna
• psd=u → nieznane (domyślne zachowanie w przypadku pominięcia)

„np” (polityka dotycząca domen nieistniejących)

Tag „np” określa zasady postępowania w przypadku nieistniejących subdomen i zapobiega nadużywaniu nieużywanych lub niezarejestrowanych subdomen.
Przykład: np=reject
„t” (tryb testowy)

Tag ` t ` sygnalizuje, że domena znajduje się w trybie testowym.

• Nie zastępuje to zasad („p”, „sp”, „np”)
• Ma to charakter wyłącznie doradczy
• Odbiorcy mogą zdecydować, czy ją honorować

Zmiany w zbiorczym sprawozdaniu (RUA)

DMARCbis przenosi raportowanie zbiorcze do osobnej specyfikacji. Chociaż nie powoduje to zakłóceń w obecnym systemie raportowania, sygnalizuje to przyszłe zmiany.

Najważniejsze wnioski:

• Format raportowania jest obecnie udoskonalany w odrębnym projekcie IETF
• Struktura XML może ulec zmianie w celu zapewnienia większej spójności
• Z czasem sposób zgłaszania przypadków będzie coraz bardziej ujednolicony

Listy mailingowe i wytyczne dotyczące odrzucania wiadomości

DMARCbis zawiera bardziej przejrzyste wytyczne dotyczące list mailingowych.

Użytkownikom domen, którzy aktywnie publikują posty na listach mailingowych, odradza się stosowanie opcji p=reject, ponieważ prowadzi to do odrzucania prawidłowych wiadomości e-mail, ponieważ:

• Listy mailingowe często modyfikują wiadomości
• To powoduje uszkodzenie podpisów DKIM
• Dostosowanie SPF zazwyczaj kończy się niepowodzeniem

Jeśli Twoi użytkownicy uczestniczą w publicznych listach mailingowych, unikaj stosowania rygorystycznych zasad odrzucania wiadomości, chyba że w pełni rozumiesz związane z tym konsekwencje.

Co pozostaje bez zmian w DMARCbis?

DMARCbis jest kompatybilny wstecznie, co w praktyce oznacza, że nawet po jego oficjalnym wdrożeniu istniejący rekord DMARC bez najnowszych aktualizacji będzie nadal działał prawidłowo. Oto kilka elementów, które pozostaną bez zmian:

• Istniejące rekordy wykorzystujące v=DMARC1 nadal działają
• Mechanizmy synchronizacji SPF i DKIM pozostają bez zmian
• Podstawowe tagi, takie jak „p”, „sp”, „rua” i „ruf”, nadal odgrywają kluczową rolę

Przed i po: Przykłady rekordów DMARC

Wcześniej (stary wpis):

Po (zgodne z DMARCbis):

Dowiedz się, jak opublikować rekord DMARC.

Kto ma co zrobić?

Jak przygotować się do wdrożenia DMARCbis?

Warto pamiętać, że choć nie są wymagane żadne natychmiastowe zmiany, wczesne dostosowanie się do nowych wytycznych pozwala ograniczyć ryzyko w przyszłości. Aby przygotować się do wdrożenia DMARCbis, możesz skorzystać z poniższej krótkiej listy kontrolnej:

Poznaj DMARCbis dzięki PowerDMARC

PowerDMARC jest w pełni przygotowany do wsparcia procesu przejścia na DMARCbis. W miarę ewolucji specyfikacji dbamy o to, by Twoja konfiguracja pozostawała zgodna z wymaganiami bez żadnych zakłóceń. Oto, w jaki sposób możemy Ci pomóc:

• Generator rekordów zgodny ze standardem DMARCbis: Nasz generator obsługuje już nowe tagi np, psd i t oraz oznacza tagi wycofane, takie jak pct, rf i ri, do usunięcia, dzięki czemu nie trzeba zgadywać, które tagi zachować, a które usunąć.
• Hostowana usługa DMARC z automatycznymi aktualizacjami: Jeśli korzystasz z naszej hostowanej usługi DMARC, aktualizujemy Twój rekord w miarę finalizacji specyfikacji. Gdy DMARCbis przejdzie ze stanu „Last Call” do stanu „Proposed Standard”, Twoja konfiguracja dostosuje się automatycznie.
• Scentralizowany wgląd we wszystkie domeny: Uzyskaj wgląd w to, co działa, a co nie, w czasie rzeczywistym, dzięki ostrzeżeniom o przestarzałych tagach, zaleceniom ekspertów i podpowiedziom.
• Przegląd zasad dotyczących subdomen i domen nieistniejących: DMARCbis wprowadza parametr „np” dla nieistniejących subdomen. Nasza platforma pomaga w skutecznym audycie i zarządzaniu subdomenami, aby wyeliminować luki, które mogliby wykorzystać atakujący.
• Profesjonalne wsparcie w zakresie interpretacji i wdrażania nowych zmian: Nasz zespół wsparcia technicznego jest dostępny przez całą dobę, aby pomóc Ci w interpretacji zmian i zaplanowaniu migracji. Aby uzyskać szybką pomoc w typowych problemach, możesz również skorzystać z naszego wbudowanego asystenta AI DMARC.

Przemyślenia końcowe

DMARCbis zwiększa przejrzystość, upraszcza wdrażanie i zapewnia właścicielom domen większą kontrolę nad sposobem stosowania zasad. Chociaż zmiany te nie są pilne, są one istotne, a organizacje powinny uwzględnić nadchodzące aktualizacje podczas przeglądu swoich procedur uwierzytelniania. Przygotowanie się już teraz gwarantuje, że konfiguracja uwierzytelniania poczty elektronicznej pozostanie stabilna, przewidywalna i zgodna z kolejną wersją standardu.

Dobra wiadomość: nie musisz samodzielnie przechodzić na DMARCbis! Nasz zespół ekspertów służy pomocą, abyś mógł z łatwością poradzić sobie ze zmianami w branży i wymaganiami dotyczącymi nadawców wiadomości e-mail, bez konieczności posiadania wiedzy technicznej. Skontaktuj się z nami już dziś, aby rozpocząć!

Najczęściej zadawane pytania

Czy DMARCbis został już opublikowany?

Nie. Obecnie znajduje się on na etapie „Last Call” w ramach IETF i oczekuje się, że zostanie przyjęty jako projekt standardu.

Czy DMARCbis jest kompatybilny wstecznie?

Tak, DMARCbis jest kompatybilny wstecznie, co oznacza, że dotychczasowe rekordy DMARC nadal działają, więc nie ma potrzeby pośpiechu z dostosowaniem ani paniki.

Czy muszę teraz zaktualizować swój rekord DMARC?

Na razie nie ma potrzeby, aby natychmiast aktualizować rekord DMARC. Zaleca się jednak usunięcie przestarzałych tagów, aby zapewnić zgodność z przyszłymi standardami.

Czy DMARCbis ma wpływ na SPF lub DKIM?

DMARCbis nie ma wpływu na uwierzytelnianie SPF ani DKIM, ponieważ zmienia jedynie sposób, w jaki DMARC ocenia zgodność i zasady.

• O
• Latest Posts

Yunes Tarada

Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC

Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.

Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)

• DMARCbis – co się zmienia i jak się przygotować - 16 kwietnia 2026 r.
• Nieprawidłowy format numeru seryjnego SOA: przyczyny i sposoby rozwiązania - 13 kwietnia 2026 r.
• Jak wysyłać bezpieczne wiadomości e-mail w Gmailu: przewodnik krok po kroku - 7 kwietnia 2026 r.