Jak utworzyć i opublikować rekord DMARC (przewodnik krok po kroku z 2026 r.)

Ostatnia aktualizacja:
12 czas czytania: 12 minut
Jak utworzyć i opublikować rekord DMARC (przewodnik krok po kroku z 2026 r.)

Kluczowe wnioski

  • Rekord DMARC to rekord DNS typu TXT opublikowany pod adresem _dmarc.twojadomena.com. Informuje on serwery pocztowe, jak postępować z wiadomościami e-mail, które nie przeszły weryfikacji SPF lub DKIM.
  • Przed wdrożeniem DMARC konieczne jest skonfigurowanie SPF lub DKIM. Monitorowanie z opcją p=none działa poprawnie bez tych mechanizmów, ale kwarantanna lub odrzucanie wiadomości nie będą działać, dopóki przynajmniej jeden z nich nie zostanie zaliczony.
  • Aby opublikować rekord DMARC, dodaj u swojego dostawcy usług DNS rekord TXT o nazwie _dmarc. Propagacja może potrwać do 48 godzin – sprawdź, czy rekord jest już aktywny, korzystając z narzędzia do sprawdzania DMARC lub poleceń dig/nslookup.
  • Większość błędów DMARC wynika z kilku prostych pomyłek: brakujących średników, niewłaściwego typu rekordu, opublikowania rekordu w domenie głównej zamiast w _dmarc.twojadomena.com lub obecności dwóch rekordów tam, gdzie powinien być tylko jeden.
  • Gmail, Yahoo i Microsoft wymagają wdrożenia standardu DMARC od nadawców masowych wiadomości. Jeśli obsługujesz płatności kartą, norma PCI DSS v4.0 nakłada również obowiązek stosowania środków zabezpieczających przed phishingiem.

Rekord DMARC to rekord DNS typu TXT, który informuje serwery pocztowe odbierające wiadomości, jak postępować z wiadomościami e-mail, które nie przeszły kontroli uwierzytelniania. Niniejszy przewodnik zawiera instrukcje dotyczące tworzenia rekordu DMARC, opublikowania go w systemie DNS domeny, sprawdzenia jego działania oraz zapoznania się z normą z 2026 r. (RFC 9989), która obecnie reguluje działanie tego protokołu.

Niezależnie od tego, czy konfigurujesz uwierzytelnianie poczty elektronicznej po raz pierwszy, czy też aktualizujesz swój rekord, aby spełnić wymogi zgodności na lata 2025/2026, możesz wygenerować i opublikować działający rekord DMARC w mniej niż 10 minut. Niniejszy przewodnik jest przeznaczony dla specjalistów IT, administratorów domen, dostawców usług zarządzanych (MSP) oraz menedżerów ds. zgodności.

Uwaga: Standard DMARC został zaktualizowany w maju 2026 r. (RFC 9989). Wszystkie przykłady rekordów zawarte w niniejszym przewodniku są zgodne ze zaktualizowanym standardem.

Czym jest rekord DMARC?

Rekord DMARC to rekord DNS typu TXT opublikowany pod adresem _dmarc.twojadomena.com, który zawiera instrukcje dla serwerów pocztowych odbierających wiadomości dotyczące sposobu postępowania z wiadomościami e-mail rzekomo pochodzącymi z twojej domeny, które nie przeszły kontroli uwierzytelniającej.

DMARC opiera się na dwóch istniejących protokołach uwierzytelniania poczty elektronicznej:

  • SPF (Sender Policy Framework): Upoważnia określone adresy IP do wysyłania wiadomości e-mail z Twojej domeny
  • DKIM (DomainKeys Identified Mail): kryptograficznie podpisuje wiadomość e-mail, aby potwierdzić, że pochodzi ona z Twojej domeny

Bez DMARC nie ma żadnych wytycznych informujących odbiorców, jak mają postąpić w przypadku niepowodzenia weryfikacji SPF lub DKIM. Odbiorcy podejmują własne decyzje, często dopuszczając do dostarczenia sfałszowanych wiadomości e-mail.

Jak DMARC wpisuje się w proces uwierzytelniania wiadomości e-mail

  1. SPF weryfikuje adres IP nadawcy, sprawdzając, czy serwer wysyłający tę wiadomość e-mail jest autoryzowany przez rekord SPF danej domeny.
  2. DKIM weryfikuje podpis, sprawdzając, czy podpis cyfrowy wiadomości e-mail jest zgodny z opublikowanym kluczem DKIM danej domeny.
  3. DMARC określa, jakie działanie należy podjąć w przypadku niepowodzenia weryfikacji SPF i/lub DKIM. Polityka DMARC (wraz z regułami zgodności) nakazuje odbiorcy odrzucenie, umieszczenie w kwarantannie lub dopuszczenie wiadomości e-mail.

Zanim opublikujesz rekord DMARC

Rekordy DMARC wymagają opublikowania co najmniej protokołu SPF lub DKIM oraz ich zgodności z domeną nadawczą. Można opublikować rekord DMARC z parametrem p=none (monitorowanie) bez tych protokołów, jednak egzekwowanie zasad (p=quarantine lub p=reject) wymaga, aby co najmniej jeden protokół przeszedł weryfikację.

Szybkie sprawdzenie:

Anatomia rekordu DMARC

Rekord DMARC to ciąg par „tag-wartość” oddzielonych średnikami. Wymagane są tylko dwa tagi, a pozostałe elementy są opcjonalne, choć zalecane.

Aktywne tagi

TagCelDopuszczalne wartościPrzykładWymóg
vWersja DMARCDMARC1v=DMARC1Wymagane
pPolityka DMARCbrak, kwarantanna, odrzućp=brakWymagane
spPolityka dotycząca subdomenbrak, kwarantanna, odrzućsp=odrzućOpcjonalnie
np.Zasady dotyczące nieistniejących subdomenbrak, kwarantanna, odrzućnp = odrzucenieOpcjonalnie
ruaZbiorcza wiadomość e-mail z raportemPrawidłowy adres e-mailrua=mailto:[email protected]Zalecane
rufWiadomość e-mail z raportem o awariiPrawidłowy adres e-mailruf=mailto:[email protected]Opcjonalnie
psdFlaga domeny z publicznym sufiksemy (tak)/n (nie)/u (nie wiadomo)psd=yOpcjonalnie
tTryb testowyy (tak)t = yOpcjonalnie
adkimTryb wyrównywania DKIMr (łagodne)/s (rygorystyczne)adkim=rOpcjonalnie
aspfTryb wyrównywania SPFr (łagodne)/s (rygorystyczne)aspf=sOpcjonalnie
foOpcje raportowania awarii0, 1, d, sfo=1Opcjonalnie

Uwaga dotycząca atrybutu „psd=” – ten atrybut jest przeznaczony przede wszystkim dla operatorów sufiksów publicznych (PSO), takich jak rejestry domen krajowych lub operatorzy gTLD. Większość zwykłych właścicieli domen powinna całkowicie pominąć ten atrybut. Ma on znaczenie tylko wtedy, gdy domena jest sufiksem publicznym, takim jak .gov.uk lub .bank.

Uwaga dotycząca ruf=: Najwięksi odbiorcy (Google, Microsoft, Yahoo) nie wysyłają już raportów o błędach.

Zastarzałe tagi

W dokumencie RFC 9989 wycofano lub usunięto trzy tagi, które powodowały niespójności w implementacji:

TagCzym to byłoDlaczego uznano to za przestarzałeDziałanie
pctOdsetek wiadomości e-mail, do których ma zastosowanie politykaFunkcja ta jest realizowana w różny sposób w poszczególnych odbiornikach, co prowadzi do nieprzewidywalnych wynikówUsuń z nowych rekordów. Zamiast tego użyj t=y, aby włączyć tryb testowy.
riFormat raportuKorzystano tylko z jednej wartości (afrf); zbędnePodczas edycji usuń z istniejących rekordów.
rfCzęstotliwość generowania raportów (w sekundach)Podczas treningu odbiorcy to zignorowaliPodczas edycji usuń z istniejących rekordów.

Uwaga: Jeśli istniejące rekordy zawierają te tagi, nadal działają one poprawnie, ponieważ odbiorcy po prostu je ignorują. Jednak podczas następnej edycji rekordu można je usunąć, aby dostosować go do standardu RFC 9989, a także nie należy ich dodawać podczas publikowania nowych rekordów.

Porównanie zasad DMARC

PolitykaDziałanie odbiornikaPoziom ochronyWymagania dotyczące nadawców masowych w systemie ESPKiedy stosować
brakTylko monitorowanie; brak odrzuceniaBrakDopuszczalneWstępne wdrożenie; monitorowanie ruchu
kwarantannaPrzenieś do folderu ze spamem/wiadomościami niechcianymiUmiarkowanySpełnia wymaganiaW celu stopniowego wprowadzania w życie
odrzucenieCałkowicie zablokować i odrzucićHighSpełnia wymaganiaGdy będzie można z pełnym przekonaniem wprowadzić pełne egzekwowanie przepisów.

Przykłady rekordów DMARC

Wszystkie poniższe przykłady są zgodne z RFC 9989, ponieważ pomijają przestarzałe tagi i zawierają nowe tagi tam, gdzie jest to stosowne.

Przykład 1: Tryb monitorowania (zacznij od tego)

v=DMARC1; p=none; rua=mailto:[email protected]

Przykład zastosowania: Pierwsza konfiguracja DMARC. Brak egzekwowania. Codzienne wysyłanie raportów zbiorczych w celu śledzenia wyników uwierzytelniania.

Funkcja poszczególnych tagów:

  • v=DMARC1 Oznacza, że jest to rekord DMARC
  • p=none Nie podejmować żadnych działań; jedynie monitorować
  • rua= mailto:[email protected] Proszę wysyłać codzienne raporty na ten adres e-mail

Przykład 2: Częściowe egzekwowanie (przepisy przejściowe)

v=DMARC1; p=kwarantanna; sp=kwarantanna; np=odrzucenie; rua=mailto:[email protected]

Przykład zastosowania: Przejście do etapu egzekwowania zasad. Kwarantanna wiadomości e-mail, których wysłanie nie powiodło się. Bardziej rygorystyczne zasady dotyczące nieistniejących subdomen.

Co nowego:

  • sp=kwarantanna Poddomeny dziedziczą zasady dotyczące kwarantanny
  • np=reject Nieistniejące subdomeny są odrzucane (zabezpieczenie zgodne z RFC 9989)

Przykład 3: Pełne egzekwowanie

v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:[email protected]

Przypadek użycia: Pełne egzekwowanie zasad w środowisku produkcyjnym. Odrzucanie wszystkich wiadomości e-mail, które nie spełniają wymagań. Domena nie obsługuje list mailingowych.

Przykład 4: Domena nieprzesyłająca / zaparkowana

v=DMARC1; p=odrzuc; sp=odrzuc; np=odrzuc; adkim=s; aspf=s

Przykład zastosowania: Domena, która nie wysyła wiadomości e-mail, ale wymaga ochrony przed spoofingiem.

Czym się wyróżnia:

  • adkim=s; aspf=s Ścisłe wyrównanie (nie jest wymagany tryb swobodny)
  • No rua = Brak raportów monitorujących (domena nie wysyła raportów)
  • np=odrzucić Nawet nieistniejące subdomeny odrzucają sfałszowane wiadomości e-mail

Nawet nieaktywne domeny powinny być chronione, ponieważ osoby atakujące mogą podszywać się pod nieużywane domeny w kampaniach phishingowych.

Przykład 5: Poddomena z bardziej rygorystycznymi zasadami

Domena nadrzędna: v=DMARC1; p=quarantine; rua=mailto:[email protected]
Subdomena (marketing.yourdomain.com): v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:[email protected]

Przykład zastosowania: Domena nadrzędna zezwala na kwarantannę (poczta jest przekierowywana). Subdomena marketingowa jest dedykowanym nadawcą; należy zastosować regułę „p=reject”.

Przykład 6: Microsoft 365 / Google Workspace

v=DMARC1; p=reject; rua=mailto:[email protected]

Uwaga: Usługi Microsoft 365 i Google Workspace nie wymagają stosowania specjalnej składni DMARC. Rekord ten jest publikowany w systemie DNS tak samo jak w przypadku każdego innego wdrożenia DMARC. Przed rozpoczęciem egzekwowania należy sprawdzić konfigurację SPF i DKIM dla wszystkich źródeł wysyłających.

Szczegółowe instrukcje znajdziesz w naszych przewodnikach dotyczących konfiguracji DMARC w usługach Microsoft 365 i Google Workspace.

Jak utworzyć rekord DMARC

Metoda 1: Korzystanie z bezpłatnego generatora PowerDMARC

1. Przejdź do generatora rekordów DMARC

Generator rekordów DMARC 1

2. Wybierz żądany poziom egzekwowania (Brak / Monitorowanie, Kwarantanna, Odrzucenie)

poziom egzekwowania 2

3. Wprowadź nazwę domeny oraz adres e-mail do celów sprawozdawczych

Wpisz swoją domenę 3

4. Włącz zasady dotyczące subdomen i, jeśli chcesz, zabezpiecz nieistniejące subdomeny (opcjonalnie)

Włącz zasadę dotyczącą subdomen nr 4

5. Kliknij „Generuj”

6. Utworzono rekord DMARC

Utworzono rekord DMARC 6

Metoda 2: Utwórz ręcznie

Otwórz edytor tekstu i wpisz rekord ręcznie:

v=DMARC1; p=none; rua=mailto:[email protected]

Zacznij od ustawienia p=none (monitorowanie). Politykę dostosujesz później, gdy już zapoznasz się z ruchem poczty elektronicznej.

Wymagane:

  • v=DMARC1 (zawsze)
  • p = (Twoja polityka: brak, kwarantanna lub odrzucenie)
  • rua= (Twój adres e-mail do celów sprawozdawczych)

Jak opublikować rekord DMARC – instrukcja krok po kroku od dostawcy usług DNS

Ustawieniami DNS Twojej domeny zarządza rejestrator domen (GoDaddy, Namecheap itp.), dostawca usług hostingowych (cPanel) lub dostawca sieci CDN (Cloudflare). Zaloguj się do jednego z tych serwisów i postępuj zgodnie z poniższymi instrukcjami dla danego dostawcy.

Ogólne kroki (jeśli Twojego dostawcy nie ma na liście):

1. Znajdź konsolę zarządzania DNS

Znajdź konsolę zarządzania DNS 7

2. Kliknij domenę, dla której chcesz skonfigurować DMARC

Skonfiguruj DMARC 8

3. Utwórz nowy rekord TXT

Utwórz nowy rekord TXT 9

4. Nazwa rekordu: _dmarc (lub _dmarc.twojadomena.com, jeśli formularz wymaga podania pełnej nazwy hosta)

5. Wartość rekordu: wklej ciąg znaków rekordu DMARC

Wartość rekordu 10

6. Zapisz zmiany i poczekaj na ich propagację (24–48 godzin)

Zapisz i poczekaj na propagację 11

7. Skorzystaj z narzędzia do sprawdzania zgodności z DMARC, aby zweryfikować

Opublikuj rekord DMARC w serwisie GoDaddy

1. Zaloguj się do swojego portfolio domen GoDaddy

2. Kliknij opcję „DNS” obok swojej domeny

3. Przewiń do sekcji „Wpisy DNS”

4. Kliknij „Dodaj nowy wpis”

5. Typ: TXT

6. Nazwa: _dmarc

7. Wartość: wklej swój rekord DMARC

8. Kliknij „Zapisz”

Opublikuj rekord DMARC w usłudze Cloudflare

1. Zaloguj się do panelu administracyjnego Cloudflare

2. Wybierz swoją domenę

3. Przejdź do sekcji DNS > Rekordy

4. Kliknij „Dodaj rekord”

5. Typ: TXT

6. Nazwa: _dmarc

7. Treść: wklej swój rekord DMARC

8. TTL: Auto (lub 3600)

9. Status serwera proxy: Tylko DNS (bez serwera proxy)

10. Kliknij „Zapisz”

Uwaga: Ustaw status serwera proxy na „Tylko DNS” (szara chmurka), a nie na pomarańczowy. Zapytania DMARC muszą być kierowane bezpośrednio do serwera DNS, a nie przekazywane przez Cloudflare.

Opublikuj rekord DMARC w cPanel / WHM

1. Zaloguj się na swoje konto cPanel

2. Przejdź do edytora stref (w sekcji „Domeny”)

3. Kliknij opcję „Zarządzaj” obok swojej domeny

4. Kliknij „+ Dodaj nowy wpis”

5. Typ: TXT

6. Nazwa: _dmarc.twojadomena.com

7. Wartość (dane tekstowe): wklej swój rekord DMARC

8. Kliknij „Dodaj rekord”

Opublikuj rekord DMARC w serwisie Namecheap

1. Zaloguj się na swoje konto w serwisie Namecheap

2. Przejdź do sekcji Pulpit nawigacyjny > Lista domen

3. Kliknij opcję „Zarządzaj” obok swojej domeny

4. Przejdź do sekcji „Zaawansowane ustawienia DNS”

5. Kliknij „Dodaj nowy wpis”

6. Typ: rekord TXT

7. Gospodarz: _dmarc

8. Wartość: wklej swój rekord DMARC

9. TTL: Automatyczny (3600)

10. Kliknij znacznik wyboru, aby zapisać

Opublikuj rekord DMARC w usłudze Amazon Route 53

1. Zaloguj się do konsoli zarządzania AWS > Route 53

2. Przejdź do sekcji „Strefy hostowane” i wybierz swoją domenę

3. Kliknij „Utwórz rekord”

4. Nazwa rekordu: _dmarc

5. Typ rekordu: TXT

6. Wartość: wklej swój rekord DMARC ujęty w podwójne cudzysłowy

  • Przykład: „v=DMARC1; p=none; rua=mailto:[email protected]
  • W Route 53 wymagane są znaki cudzysłowu; bez nich rekord nie zostanie zapisany

7. TTL: 300 (lub 3600)

8. Kliknij „Utwórz rekordy”

Uwaga: Trasa 53 wymaga, aby wartości rekordów TXT były ujęte w podwójne cudzysłowy. Skopiuj i wklej swój rekord bez zmian, a następnie ujmij go w znaki „…”.

Opublikuj rekord DMARC w usłudze Microsoft 365 / Azure DNS

Jeśli Twoja usługa DNS jest zarządzana w ramach Azure DNS:

1. Zaloguj się do portalu Azure > Strefy DNS

2. Wybierz swoją domenę

3. Kliknij „+ Zestaw rekordów”

4. Nazwa: _dmarc

5. Typ: TXT

6. TTL: 3600

7. Wartość: wklej swój rekord DMARC

8. Kliknij „OK”

Jeśli Twoja usługa DNS znajduje się u rejestratora (GoDaddy, Namecheap itp.):

  • Postępuj zgodnie z instrukcjami rejestratora podanymi powyżej

Jak długo trwa propagacja rekordu DMARC?

Zmiany w systemie DNS są kontrolowane przez parametr o nazwie TTL (Time To Live), który określa, jak długo serwery mają przechowywać rekord DNS w pamięci podręcznej przed sprawdzeniem dostępności aktualizacji. Większość dostawców usług DNS domyślnie ustawia wartość TTL na 3600 sekund (1 godzinę).

Typowy harmonogram:

  • W większości lokalizacji propagacja DNS następuje w ciągu 1–2 godzin
  • W rzadkich przypadkach pełne rozprzestrzenienie się na całym świecie może potrwać do 48 godzin
  • Nie panikuj, jeśli narzędzie do sprawdzania zgodności z DMARC wyświetla komunikat „brak wpisu” w ciągu pierwszej godziny – odczekaj co najmniej 30–60 minut i spróbuj ponownie

Sprawdź propagację w skali globalnej: skorzystaj z naszego narzędzia do sprawdzania propagacji DNS, aby upewnić się, że Twój wpis jest już aktywny na wielu serwerach DNS na całym świecie.

Jak sprawdzić, czy rekord DMARC działa prawidłowo

Metoda 1: Narzędzie PowerDMARC do sprawdzania zgodności z protokołem DMARC

1. Przejdź do narzędzia DMARC Record Checker

2. Wpisz nazwę swojej domeny

3. Kliknij „Sprawdź”

Narzędzie do sprawdzania DMARC 12

4. Wyniki pokazują, że:

  • Prawidłowość: Rekord ma poprawny format i został opublikowany
  • Nieprawidłowe: Błąd składniowy; sprawdź swój wpis
  • Nie znaleziono wpisu: Sprawdź, czy nastąpiła propagacja DNS, lub upewnij się, że wpis został zapisany w DNS

Metoda 2: Wiersz poleceń (nslookup lub dig)

W systemie Windows (wiersz poleceń):

nslookup -type=TXT _dmarc.twojadomena.com

Na komputerach Mac/Linux (w terminalu):

dig TXT _dmarc.twojadomena.com

Prawidłowy wynik:

_dmarc.twojadomena.com. 3600 IN TXT „v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:[email protected]

Jeśli nie widzisz żadnych wyników, oznacza to, że zmiany w DNS nie zostały jeszcze zaktualizowane lub rekord nie został poprawnie zapisany.

Metoda 3: Sprawdź nagłówek wiadomości e-mail (Authentication-Results)

Wyślij e-mail testowy i sprawdź nagłówki.

Kroki:

1. Wyślij sobie próbną wiadomość e-mail z własnej domeny (lub poproś kogoś z innej firmy, aby wysłał Ci wiadomość e-mail)

e-mail

2. W Gmailu:

  • Otwórz wiadomość e-mail
  • Kliknij menu z trzema kropkami (⋮) > Pokaż oryginał

Gmail

  • Wyszukaj wyniki uwierzytelniania

3. W programie Outlook:

  • Otwórz wiadomość e-mail
  • Kliknij „Plik” > „Właściwości” > „Nagłówki internetowe”
  • Wyszukaj wyniki uwierzytelniania

Na co należy zwrócić uwagę:

Wynik pozytywny testu DMARC:

Wyniki uwierzytelniania: mx.google.com;
dmarc=pass (p=REJECT sp=REJECT np=REJECT dis=NONE) header.from=yourdomain.com

Błąd DMARC:

Wyniki uwierzytelniania: mx.google.com;
dmarc=fail (p=REJECT sp=REJECT) header.from=yourdomain.com reason=”SPF nie jest zgodny”

Co oznacza wynik „pass”: Twój podpis SPF lub DKIM jest zgodny z domeną podaną w nagłówku „From”, a Twoja polityka DMARC została zastosowana.

Co oznacza komunikat „fail”: wystąpił błąd w rekordzie SPF lub konfiguracji DKIM albo nie są one ze sobą zgodne. Sprawdź swój rekord SPF i konfigurację DKIM.

Kiedy można spodziewać się pierwszego raportu DMARC

Raporty zbiorcze są wysyłane w ciągu 24–72 godzin od opublikowania Twojego wpisu.

Co zawiera raport:

  • Codzienne podsumowanie wszystkich wiadomości e-mail wysłanych z Twojej domeny
  • Wyniki uwierzytelniania (SPF – pozytywny/negatywny, DKIM – pozytywny/negatywny, DMARC – pozytywny/negatywny)
  • Przesyłanie adresów IP i ich liczby
  • Kraje pochodzenia
  • Działania związane z egzekwowaniem zasad podejmowane przez syndyków

Co zmieniło się w RFC 9989 w odniesieniu do rekordów DMARC

W maju 2026 r. RFC 9989 zastąpił RFC 7489 jako oficjalny standard DMARC. Twój dotychczasowy rekord nadal działa. Oto najważniejsze zmiany dotyczące nowych rekordów:

Dodano trzy nowe tagi:

  1. np= (polityka dotycząca nieistniejących subdomen): Dodaj np=reject lub np=quarantine, aby zabezpieczyć się przed nieistniejącymi subdomenami. Przed wprowadzeniem standardu RFC 9989 osoby atakujące mogły podszywać się pod losowe subdomeny pozbawione rekordów DMARC. Teraz można ustawić odpowiednią politykę na poziomie domeny nadrzędnej. Większość właścicieli domen powinna to zrobić.
  2. t= (flaga trybu testowego): Użyj t=y, aby zasygnalizować, że Twoja polityka działa w trybie testowym. Odbiorniki traktują p=reject; t=y jako p=quarantine (o jeden stopień mniej rygorystyczne), co pozwala na bezpieczne, stopniowe wdrażanie. Zastępuje stary tag pct=.
  3. psd= (flaga domeny z sufiksem publicznym): Określa, czy dana domena jest domeną z sufiksem publicznym (np. .gov.uk lub .bank). Ma to znaczenie wyłącznie dla operatorów domen z sufiksem publicznym oraz w przypadku złożonych hierarchii domen. Większość właścicieli domen może to zignorować.

Zastarzałe/usunięte tagi:

  • pct= jest przestarzałe. Odbiorcy zaimplementowali tę funkcję w sposób niejednolity. W przypadku stopniowego wdrażania należy zamiast tego używać t=y.
  • Wartości rf= i ri= zostały usunięte. Jeśli pojawiają się one w istniejących rekordach, należy je usunąć. Odbiorniki i tak je ignorują.

Aby uzyskać bardziej szczegółowe informacje na temat zmian wprowadzonych w RFC 9989, zapoznaj się z naszym przewodnikiem po standardzie DMARC RFC 9989.

Obowiązujące obecnie wymogi dotyczące zgodności

WymógStatusTerminDziałanie
Trwałe odrzucenie przez GmailaAktywneLuty 2024 r.Wymagane jest opublikowanie polityki DMARC; wartość „p=none” jest dopuszczalna jako punkt wyjścia, przy czym oczekuje się przejścia na wartość „p=quarantine” lub „p=reject” w przypadku nadawców masowych (5 000+ wiadomości dziennie)
Ostateczna odmowa ze strony YahooAktywneLuty 2024 r.Wymagane jest opublikowanie polityki DMARC; wartość „p=none” jest dopuszczalna jako punkt wyjścia, przy czym oczekuje się przejścia na wartość „p=quarantine” lub „p=reject” w przypadku nadawców masowych (5 000+ wiadomości dziennie)
Egzekwowanie zasad w programie Microsoft OutlookAktywneMay 2025Wymagane jest stosowanie standardu DMARC wraz z SPF i DKIM przez nadawców masowych wysyłających wiadomości do serwisów Outlook.com, Hotmail.com i Live.com
PCI-DSS w wersji 4.0AktywneMarzec 2025 r.Środki zabezpieczające przed phishingiem wymagane od wszystkich podmiotów przetwarzających dane posiadaczy kart.

Zapoznaj się z lokalnymi i globalnymi wymaganiami w naszym kompletnym przewodniku po wymaganiach DMARC.

Typowe błędy rekordów DMARC

1. Nie znaleziono rekordu DMARC

Przyczyna: Nie opublikowano rekordu DMARC w domenie, jest on nieprawidłowo skonfigurowany lub proces propagacji DNS nie został jeszcze zakończony

Rozwiązanie: Po upewnieniu się, że w Twoim systemie DNS nie ma żadnego wpisu, zaloguj się do konsoli zarządzania DNS, aby opublikować nowy wpis. Jeśli wpis już istnieje, edytuj go, aby usunąć błędy lub nieprawidłowe ustawienia. Jeśli nie minął jeszcze 48-godzinny okres propagacji, odczekaj chwilę, zanim sprawdzisz ponownie.

2. Błędy składniowe

Typowe błędy:

  • Brakujące średniki: Po każdym tagu musi znajdować się średnik.
  • Dodatkowe spacje: Należy unikać spacji po średnikach lub wokół
  • Nieprawidłowa wersja: Musi to być v=DMARC1, a nie v=DMARC2 ani version=1
  • Nieprawidłowe nazwy tagów: błędy ortograficzne, np. „po=reject” zamiast „p=reject”

Zduplikowane rekordy DMARC

Przyczyna: W każdej domenie może istnieć tylko jeden rekord TXT DMARC. Jeśli w domenie znajduje się więcej niż jeden rekord, odbiorcy odczytują tylko pierwszy znaleziony rekord. Może to spowodować nieoczekiwane zachowanie zasad.

Rozwiązanie: Należy usunąć zduplikowane wpisy w ramach tej samej domeny lub, w razie potrzeby, połączyć je.

Wpisz polecenie: nslookup -type=TXT _dmarc.twojadomena.com lub skorzystaj z narzędzia do sprawdzania DMARC. Jeśli zauważysz dwa lub więcej rekordów DMARC, natychmiast usuń duplikaty.

Nieprawidłowa nazwa lub typ rekordu DNS

Przyczyna: Nazwa lub typ rekordu DNS jest nieprawidłowa, na przykład skonfigurowano rekord MX zamiast rekordu TXT dla DMARC.

Rozwiązanie:

  • Typ rekordu: TXT (nie A, CNAME, MX itp.)
  • Nazwa rekordu: _dmarc (niektórzy dostawcy usług DNS automatycznie dodają nazwę domeny; inni wymagają podania adresu w formacie _dmarc.twojadomena.com)

Typowe błędy:

  • Dodanie rekordu DMARC jako rekordu typu A lub CNAME
  • Publikowanie w domenie głównej (yourdomain.com) zamiast w domenie _dmarc.yourdomain.com
  • Błędy ortograficzne, takie jak _dmrc lub dmarc (brak podkreślenia)

Sprawdź w menedżerze DNS, aby zweryfikować dokładną nazwę i typ.

Potrzebujesz dodatkowej pomocy? Pełny przewodnik dotyczący rozwiązywania problemów

W przypadku problemów związanych z nieprawidłowościami w zgodności SPF/DKIM, błędami nadawców zewnętrznych lub trafianiem prawidłowych wiadomości do folderu spam, zapoznaj się z pełnym przewodnikiem dotyczącym rozwiązywania problemów z DMARC.

Rekordy DMARC dla domen niebędących źródłem wysyłki oraz domen zaparkowanych

Nawet jeśli Twoja domena nie wysyła wiadomości e-mail, osoby atakujące mogą ją sfałszować w celu wysyłania wiadomości phishingowych do Twoich klientów. Chroń nieaktywne i zaparkowane domeny za pomocą restrykcyjnego rekordu DMARC.

v=DMARC1; p=odrzuc; sp=odrzuc; np=odrzuc; adkim=s; aspf=s

Co to robi:

  • p=odrzucić; sp=odrzucić; np=odrzucić: Odrzucić wszystkie nieautoryzowane wiadomości e-mail
  • adkim=s; aspf=s: Wymagane ścisłe dopasowanie (bez dopuszczenia niedokładnego dopasowania)
  • No rua=: Brak raportów monitorujących (domena nie wysyła raportów)

Dlaczego ataki są kierowane na domeny, z których nie wysyłano wiadomości

Osoby atakujące mogą rejestrować domeny o podobnych nazwach lub przejąć kontrolę nad nieaktywnymi domenami w Twoim portfolio. Zaparkowana domena bez rekordu DMARC stanowi łatwy cel dla ataków typu spoofing. Ogólne ustawienie parametru p=reject zapobiega:

  • E-maile phishingowe wysyłane z domen „firma.old” lub „firma.test”
  • Szkody dla reputacji
  • Niewykryte nadużycie (gdyby nikt tego nie zgłosił, nikt by się o tym nie dowiedział)

Kolejne kroki po wdrożeniu DMARC

Tryb publikacji p=none (tryb monitorowania) nie zapewnia żadnej ochrony, a służy wyłącznie do gromadzenia danych. Aby zabezpieczyć swoją domenę przed spoofingiem i phishingiem, należy stopniowo przechodzić do trybu egzekwowania.

Podejście trójfazowe:

  1. Monitorowanie (p=brak): Przejrzyj raporty DMARC z okresu 1–2 tygodni. Zidentyfikuj wszystkich legalnych nadawców oraz podmioty zewnętrzne wysyłające wiadomości w Twoim imieniu (narzędzia SaaS, platformy marketingowe, systemy obsługi zgłoszeń).
  2. Faza przejściowa (p = kwarantanna): Przekieruj podejrzany ruch do folderu spamu. Utrzymuj tę fazę przez 1–4 tygodnie, monitorując liczbę zgłoszeń. Jeśli do kwarantanny trafiają prawidłowe wiadomości, oznacza to, że natrafiłeś na nadawcę, który musi skonfigurować SPF lub DKIM.
  3. Wymuś (p=odrzucenie): Całkowicie odrzucaj nieautoryzowane wiadomości e-mail. Przejdź do tego trybu dopiero po upewnieniu się, że wszyscy legalni nadawcy zostali uwzględnieni.

Zarządzanie DMARC na dużą skalę dla wielu domen

Jeśli zarządzasz wieloma domenami, ręczna edycja rekordów DNS jest czasochłonna i narażona na błędy. Rozwiązanie Hosted DMARC firmy PowerDMARC automatyzuje zarządzanie rekordami w całym Twoim portfolio.

Korzyści:

  • Zarządzaj nieograniczoną liczbą domen z poziomu jednego panelu sterowania
  • Zbiorcze aktualizacje zasad (jednoczesne wdrożenie opcji „zaakceptuj” lub „odrzuć” w 50 domenach)
  • Informacje o zagrożeniach oparte na sztucznej inteligencji pozwalają wykrywać próby spoofingu
  • Kompleksowa obsługa na najwyższym poziomie i profesjonalne wsparcie

Dowiedz się więcej o usłudze Hosted DMARC.

Najczęściej zadawane pytania

1. Czy potrzebuję DMARC, skoro mam już SPF i DKIM?

Tak. SPF i DKIM to mechanizmy służące do uwierzytelniania poszczególnych wiadomości, ale bez DMARC nie ma zasad określających, jak odbiorcy powinni postąpić w przypadku niepowodzenia tych kontroli. DMARC umożliwia również generowanie zbiorczych raportów, bez których nie ma możliwości sprawdzenia, kto wysyła wiadomości e-mail z danej domeny.

2. Co się stanie, jeśli nie mam rekordu DMARC?

Bez DMARC serwery odbiorcze samodzielnie podejmują decyzje dotyczące nieautoryzowanych wiadomości e-mail, a Twoja domena jest bardziej narażona na ataki typu spoofing i phishing. Wielu dostawców usług e-mailowych (ESP) wymaga stosowania DMARC od nadawców wysyłających masowe wiadomości, a brak tego protokołu może znacząco pogorszyć dostarczalność wiadomości.

3. Czy protokół DMARC ma automatycznie zastosowanie do subdomen?

Poddomeny dziedziczą politykę DMARC domeny nadrzędnej, o ile nie zostanie ona nadpisana. Aby ustawić inną politykę dla istniejących poddomen, należy użyć tagu sp=, a aby ustawić politykę dla nieistniejących poddomen — tagu np= (nowość w RFC 9989). Ustawienie sp=reject przy zachowaniu p=quarantine jest powszechną praktyką służącą zapewnieniu ściślejszej ochrony poddomen.

4. Czy protokół DMARC jest wymagany do zapewnienia zgodności z normą PCI DSS w wersji 4.0?

Standard PCI DSS w wersji 4.0, który wszedł w życie w 2025 roku, nakłada na organizacje przetwarzające dane kart płatniczych obowiązek stosowania zabezpieczeń przeciwko phishingowi. Chociaż protokół DMARC nie jest wyraźnie wymagany do zapewnienia zgodności z tym standardem, jego wdrożenie może pomóc w spełnieniu tych wymagań.