Jak utworzyć i opublikować rekord DMARC
Ostatnia aktualizacja:
9 czas czytania: 9 minut
Kluczowe wnioski
- Rekord DMARC to wpis DNS TXT, który pomaga uwierzytelniać wychodzące wiadomości e-mail i zapobiegać atakom typu spoofing i phishing.
- Wybór właściwej polityki DMARC jest niezbędny do kontrolowania obsługi nieautoryzowanych wiadomości e-mail.
- Aby wdrożyć DMARC, rekord musi zostać opublikowany w systemie nazw domen (DNS) za pomocą narzędzi takich jak cPanel, GoDaddy lub Cloudflare.
- Nawet domeny, które nie wysyłają aktywnie wiadomości e-mail, powinny mieć restrykcyjny rekord DMARC, w szczególności "p=reject", aby zapobiec potencjalnym nadużyciom.
- Aby uzyskać optymalne wyniki, zaleca się utrzymywanie pojedynczego rekordu DMARC na domenę i stopniowe wdrażanie egzekwowania, aby uniknąć problemów z dostarczaniem wiadomości e-mail.
- Rozwiązania takie jak PowerDMARC automatyzują zarządzanie rekordami DMARC i upraszczają monitorowanie dzięki wykorzystaniu opartej na sztucznej inteligencji analizy zagrożeń.
DMARC, czyli Domain-based Message Authentication, Reporting and Conformance, to protokół techniczny służący do uwierzytelniania wiadomości wychodzących. DMARC stanowi pierwszą linię obrony przed różnorodnymi zagrożeniami związanymi z pocztą elektroniczną, w tym phishingiem i spoofingiem.
Aby Skonfigurować DMARC, musisz utworzyć rekord DMARC. Utworzony rekord DMARC jest rekordem TXT, który jest następnie publikowany w Twoim DNS. To rozpoczyna proces uwierzytelniania poczty elektronicznej.
Konfigurując rekord DMARC, umożliwia się właścicielom domen instruowanie odbiorców, w jaki sposób powinni reagować na wiadomości e-mail wysyłane z nieautoryzowanych lub nielegalnych źródeł.
Porada eksperta Maithama Al Lawati: „Dla organizacji z branży opieki zdrowotnej lub finansowej DMARC to nie tylko kwestia bezpieczeństwa — chodzi o spełnienie rygorystycznych wymogów zgodności. Zacznij od monitorowania, a następnie wprowadź odpowiednie środki”.
Ten przewodnik zawiera instrukcje dotyczące prawidłowego tworzenia i publikowania rekordu DMARC DNS TXT, a także weryfikacji i rozwiązywania typowych błędów.
Czym są rekordy DMARC?
Rekord DMARC to rekord DNS TXT , który określa, w jaki sposób serwery poczty elektronicznej powinny obsługiwać wiadomości, które nie przeszły kontroli uwierzytelniającej (SPF i DKIM).
Pomaga właścicielom domen zapobiegać fałszowaniu wiadomości e-mail i phishingu, instruując serwery odbiorcze, czy mają odrzucać, poddawać kwarantannie lub zezwalać na nieautoryzowane wiadomości e-mail.
Anatomia rekordu DMARC
Zrozumienie każdego tagu DMARC jest niezbędne do prawidłowej konfiguracji. Oto kompleksowy opis wszystkich elementów rekordu DMARC:
| Tag | Opis | Możliwe wartości | Przykład |
|---|---|---|---|
| v | Wersja (wymagane) | DMARC1 | v=DMARC1 |
| p | Polityka dotycząca domeny (wymagane) | brak, kwarantanna, odrzuć | p=kwarantanna |
| rua | E-mail z raportem zbiorczym | Adres e-mail | rua=mailto:[email protected] |
| ruf | Raport kryminalistyczny e-mail | Adres e-mail | ruf=mailto:[email protected] |
| sp | Polityka dotycząca subdomen | brak, kwarantanna, odrzuć | sp=odrzuć |
| adkim | Tryb wyrównywania DKIM | r (luźne), s (ścisłe) | adkim=r |
| aspf | Tryb wyrównywania SPF | r (luźne), s (ścisłe) | aspf=r |
| pct | Odsetek wiadomości e-mail, do których ma zastosowanie polityka | 0–100 | pct=25 |
| fo | Opcje kryminalistyczne | 0, 1, d, s | fo=1 |
| rf | Format raportu | afrf | rf=afrf |
| ri | Interwał raportowania (sekundy) | Numer | ri=86400 |
Przykłady rekordów DMARC
Oto rzeczywiste przykłady rekordów DMARC dla różnych przypadków użycia. Skopiuj je i dostosuj do swojej domeny:
Tryb podstawowego monitorowania (zalecany dla początkujących)
- v=DMARC1; p=none; rua=mailto:[email protected]
- Przykład zastosowania: Wstępne wdrożenie DMARC w celu monitorowania ruchu poczty elektronicznej bez egzekwowania.
Polityka kwarantanny wraz z raportowaniem
- v=DMARC1; p=kwarantanna; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=25
- Przykład zastosowania: Stopniowe egzekwowanie przepisów dotyczące 25% wiadomości e-mail, wraz z raportowaniem zbiorczym i kryminalistycznym.
Polityka ścisłego egzekwowania przepisów
- v=DMARC1; p=odrzuć; sp=odrzuć; rua=mailto:[email protected]; adkim=s; aspf=s
- Przykład zastosowania: Pełna ochrona z rygorystycznym dostosowaniem zarówno dla domeny, jak i subdomen.
Ochrona domen nie wysyłających wiadomości
- v=DMARC1; p=odrzuć; sp=odrzuć; adkim=s; aspf=s
- Przykład zastosowania: Domeny, które nie wysyłają wiadomości e-mail, ale wymagają ochrony przed spoofingiem.
Objaśnienie tagów rekordów DMARC
1. Tryby polityki DMARC
Polityka DMARC określa, w jaki sposób odbiorcy powinni obsługiwać wiadomości e-mail, które nie przeszły uwierzytelnienia DMARC. Jest ona oznaczona literą "p". Może mieć jedną z trzech następujących wartości:
- p=brak: Nie podejmować żadnych działań w przypadku nieautoryzowanych wiadomości e-mail.
- p=kwarantanna: Aby oznaczyć podejrzane wiadomości e-mail.
- p=odrzuć: Odrzucanie nieautoryzowanych wiadomości e-mail, zanim dotrą one do odbiorców.
2. Opcje raportowania DMARC
- Raporty zbiorcze (rua=): Są to raporty podsumowujące wysyłane na określony adres e-mail, zawierające wyniki uwierzytelniania wszystkich wiadomości e-mail z danej domeny.
- Raporty kryminalistyczne (ruf=): Są to szczegółowe raporty o błędach wysyłane, gdy wiadomość e-mail nie przechodzi uwierzytelnienia DMARC.
3. Tryby dostosowania DMARC
- Dopasowanie SPF (aspf=): Określa, czy domena nadawcy w nagłówku „From:” jest zgodna z rekordem SPF. Istnieje możliwość wyboru między ścisłym (s) dopasowaniem dla dokładnej zgodności lub luźnym (r) dopasowaniem dla zgodności organizacyjnej.
- Wyrównanie DKIM (adkim=): Określa, czy podpis DKIM jest zgodna z domeną w nagłówku From:. Istnieje opcja ścisłej (s) zgodności dla dokładnego dopasowania lub luźnej (r) zgodności dla dopasowania organizacyjnego.
Jak działa DMARC w przypadku subdomen
Tag „sp” (polityka subdomeny) kontroluje sposób stosowania polityk DMARC do subdomen. Jeśli nie zostanie określony, subdomeny dziedziczą politykę domeny głównej.
- Dziedziczenie: Subdomeny automatycznie dziedziczą politykę DMARC domeny nadrzędnej.
- Zastąp: Użyj tagu „sp=” aby ustawić różne zasady dla subdomen
- Najlepsza praktyka: Ustal bardziej rygorystyczne zasady dla subdomen, które nie wysyłają wiadomości e-mail.
Jak utworzyć rekord DMARC?
Aby utworzyć rekord DNS DMARC dla swojej domeny, upewnij się, że go posiadasz:
- a) niezawodne narzędzie do generowania rekordów
- b) dostęp do konsoli zarządzania DNS w celu opublikowania rekordu
Wykonaj kroki podane poniżej, aby utworzyć rekord:
1. Wygeneruj swój rekord DMARC
Zarejestruj się , aby uzyskać dostęp do naszego portalu za pomocą adresu e-mail lub zarejestruj się za pomocą Gmail/Office 365. Przejdź do Narzędzia analityczne > PowerToolbox > Bezpłatne narzędzie do generowania rekordów DMARC , aby rozpocząć tworzenie rekordu DMARC.
2. Zdefiniuj politykę DMARC dla swojego rekordu DMARC.
Zdecyduj się na politykę DMARC w zależności od pożądanego poziomu egzekwowania (brak, kwarantanna lub odrzucenie). Oto jak wybrać politykę rekordów DMARC:
- Jeśli nie chcesz podejmować żadnych działań przeciwko niechcianym wiadomościom e-mail wysyłanym z Twojej domeny, wybierz "none".
- Jeśli chcesz poddać kwarantannie wiadomości e-mail, które nie przejdą DMARC, wybierz opcję "kwarantanna".
- Jeśli chcesz odrzucać lub odrzucać wiadomości e-mail, które nie przejdą uwierzytelnienia, co może zminimalizować ataki typu spoofing i phishing, wybierz opcję "odrzuć".
3. Skonfiguruj zalecane opcjonalne pola rekordu DMARC
Chociaż nie wszystkie pola są obowiązkowe, zalecamy skonfigurowanie kilku przydatnych pól opcjonalnych w rekordzie DMARC. Dowiedzmy się, czym one są:
- Pole raportowania zbiorczego (rua): Jeśli skonfigurujesz pole rua, będziesz otrzymywać dane uwierzytelniające DMARC bezpośrednio na swój adres e-mail.
- Pole raportowania Forensic (ruf): Uzyskaj wgląd w incydenty kryminalistyczne, takie jak cyberataki, konfigurując pole ruf w rekordzie DMARC.
- Tryby wyrównania DKIM/SPF" Wybierz, czy chcesz wybrać luźne czy ścisłe wyrównanie dla SPF i/lub DKIM.
Jak opublikować rekord DMARC?
Aby opublikować rekord DMARC, należy spełnić kilka warunków wstępnych:
- Musisz mieć dostęp do konsoli zarządzania DNS
- Musisz mieć uprawnienia do edycji i dodawania nowych rekordów DNS dla swojej domeny
Publikowanie rekordu DMARC za pomocą cPanel
1. Uzyskaj dostęp do konsoli zarządzania DNS cPanel
2. W sekcji Domeny kliknij Edytor stref DNS lub Zaawansowany edytor stref.
3. Dodaj rekord DMARC typu TXT (tex), wypełniając dane zgodnie z poniższym przykładem. W polu „Dane TXT” lub „Wartość” należy wkleić utworzony wcześniej rekord DMARC.
Publikowanie rekordu DMARC w usłudze Godaddy
- Zaloguj się do portfela domen GoDaddy, aby uzyskać dostęp do strefy DNS.
- W sekcji Nazwa domeny znajdź i wybierz domenę wysyłającą e-maile.
- Pod nazwą domeny kliknij DNS
- Teraz wybierz Dodaj nowy rekord i rozpocznij publikację rekordu z następującymi szczegółami:
- Typ: TXT
- Imię i nazwisko: _dmarc
- Wartość: wklej wartość swojego rekordu DMARC
Publikowanie rekordu DMARC za pomocą Cloudflare
- Zaloguj się na swoje konto Cloudflare.
- Wybierz żądane konto i domenę.
- Przejdź do DNS i kliknij Dodaj rekord.
- Wklej wygenerowany rekord DMARC do sekcji Dodaj rekord, jak w poniższym przykładzie:
Oto dlaczego ponad 10 000 klientów ufa PowerDMARC
- Znaczne ograniczenie prób spoofingu i nieautoryzowanych wiadomości e-mail
- Szybsze wdrażanie nowych pracowników + automatyczne zarządzanie uwierzytelnianiem
- Informacje o zagrożeniach i raportowanie w czasie rzeczywistym w różnych domenach
- Lepsze wskaźniki dostarczalności wiadomości e-mail dzięki rygorystycznemu egzekwowaniu protokołu DMARC
Weryfikacja rekordu DMARC
Aby zweryfikować swój rekord DMARC i uniknąć częstego błędu „Nie znaleziono rekordu DMARC” , możesz skorzystać z naszego bezpłatnego narzędzia weryfikacyjnego.
1. Zarejestruj się bezpłatnie i przejdź do sekcji Narzędzia analityczne > PowerToolbox > Narzędzie do sprawdzania rekordów DMARC.
2. Przejrzyj status, składnię i tagi rekordu DMARC, aby wykryć ewentualne błędy.
Chcesz zweryfikować swój rekord DMARC? Skorzystaj z bezpłatnego narzędzia DMARC Checker firmy PowerDMARC.
Rozwiązywanie typowych błędów rekordów DMARC
Skorzystaj z poniższej listy kontrolnej, aby rozwiązać typowe problemy związane z rekordami DMARC:
| Problem | Objawy | Rozwiązanie |
|---|---|---|
| Nie znaleziono rekordu | Wyszukiwanie DNS nie zwraca żadnych wyników. | Sprawdź, czy rekord został opublikowany jako typ TXT o nazwie „_dmarc”. |
| Błędy składni | Weryfikacja rekordu nie powiodła się | Sprawdź, czy nie brakuje średników, dodatkowych spacji lub literówek. |
| Wiele rekordów | Niespójne egzekwowanie zasad | Usuń zduplikowane rekordy, zachowaj tylko jeden na domenę |
| Opóźnienia propagacji | Zmiany niewidoczne globalnie | Odczekaj 24–48 godzin na pełną propagację DNS. |
| Nieprawidłowe adresy e-mail | Nie otrzymano raportów | Sprawdź, czy adresy e-mail rua/ruf są prawidłowe i dostępne. |
Szybka lista kontrolna rozwiązywania problemów
|
Typowe błędy rekordów DMARC
| Status | Co to oznacza | Co można zrobić |
|---|---|---|
| Ważny | Twój rekord DMARC jest poprawny i wolny od błędów. | Nic nie robić |
| Nieprawidłowy | Twój rekord DMARC zawiera błędy. Może to być spowodowane niekompletną lub błędną składnią. | Przejrzyj swoją składnię, zapoznaj się z naszym kompletnym przewodnikiem po tagach DMARC lub skontaktuj się z nami, aby uzyskać pomoc eksperta. |
| Nie znaleziono rekordu | Brak rekordu DMARC w systemie DNS. | Utwórz rekord DMARC dla swojej domeny i opublikuj go w DNS. |
Po wykryciu błędów w rekordzie należy wprowadzić niezbędne zmiany w systemie DNS i zapisać je. Możesz ponownie sprawdzić swój rekord po przetworzeniu zmian.
Rekord DMARC dla domen niewysyłających
Większość osób ogranicza się do zabezpieczenia swoich aktywnych domen, ale osoby atakujące mogą podszyć się nawet pod domeny, z których nie wysyłają wiadomości, aby wysyłać fałszywe wiadomości e-mail w Twoim imieniu! Aby temu zapobiec, oto kroki, które należy wykonać DMARC dla domen, które nie wysyłają wiadomości:
- Opublikuj restrykcyjny rekord DMARC: zacznij od opublikowania rekordu DMARC dla nieaktywnej domeny z wymuszoną polityką, taką jak p=reject.
- Włącz raportowanie (zalecane): Nawet jeśli Twoja domena nie wysyła wiadomości e-mail, osoby atakujące mogą ją sfałszować, aby wysyłać wiadomości phishingowe. Raporty DMARC ostrzegają Cię, gdy tak się stanie.
- Opublikuj restrykcyjny rekord SPF: Ustaw v=spf1 -all, aby uniemożliwić wysyłanie wiadomości e-mail.
- Wyłącz zintegrowane usługi poczty elektronicznej: Jeśli domena jest nadal połączona z zewnętrznymi serwerami poczty e-mail, dobrym rozwiązaniem może być ograniczenie ich dostępu, jeśli domena nie jest już używana.
Konsekwencje niezabezpieczenia nieaktywnych domen
Niewdrożenie DMARC dla domen niewysyłających może prowadzić do różnych konsekwencji, takich jak:
- Zwiększone ryzyko ataków typu spoofing i phishing
- Uszkodzenie reputacji marki i domeny
- Nadużywanie domen pozostające niezauważone przez długi czas
Pojedynczy rekord DMARC na domenę
Podczas konfigurowania rekordu DMARC ważne jest, aby opublikować jeden wpis rekordu dla każdej domeny. Wiele rekordów DMARC dla jednej domeny mogą powodować konflikty i nieuzasadnione błędy uwierzytelniania!
Dlaczego wiele rekordów DMARC stanowi problem?
- Błędy uwierzytelniania wiadomości e-mail: Odbiorcy wiadomości e-mail mogą nie wiedzieć, który rekord DMARC należy zastosować.
- Błędne konfiguracje i niespójności: Sprzeczne zasady (np. jeden rekord używa p=none, a inny p=reject) prowadzą do nieprzewidywalnego egzekwowania.
- Niedokładne raportowanie: Raporty DMARC mogą być niekompletne lub niewiarygodne.
Najlepsze praktyki dla prawidłowego wdrożenia DMARC
Aby zapewnić prawidłową konfigurację rekordów DMARC, poniżej przedstawiono najlepsze praktyki dotyczące wdrażania:
- Opublikuj pojedynczy rekord dla DMARC na domenę.
- Należy unikać konfigurowania DMARC sp chyba że chcesz, aby subdomeny miały inną politykę.
- Użyj narzędzia Narzędzie do sprawdzania DMARC aby zweryfikować rekord po jego opublikowaniu.
- Regularnie monitoruj raporty DMARC, aby upewnić się, że podejrzane działania nie pozostaną niezauważone.
Następne kroki po opublikowaniu rekordu DMARC
Po opublikowaniu rekordu DMARC, następnym krokiem powinno być skupienie się na ochronie domeny przed oszustami i podszywającymi się. Jest to główny cel podczas wdrażania protokołów bezpieczeństwa i usług uwierzytelniania poczty elektronicznej.
Samo opublikowanie rekordu DMARC z polityką p=none nie zapewnia żadnej ochrony przed atakami typu spoofing domeny i oszustwami e-mailowymi. W tym celu należy przejść na egzekwowanie DMARC.
Aby przejść na egzekwowanie DMARC, stopniowe podejście jest najlepszym rozwiązaniem, aby uzyskać idealne wyniki bez negatywnego wpływu na dostarczalność. Oto proces, który można wykonać krok po kroku:
- Zacznij od polityki p=none, która jest trybem monitorowania.
- Włącz raportowanie DMARC dla swojej domeny, aby analizy ruchu e-mailowego i dostarczalności.
- Przejdź do kwarantanny, utrzymując pct (procent) na poziomie 10 i stopniowo zwiększaj go do 100% w ciągu kilku tygodni.
- Gdy będziesz już pewny swojej konfiguracji, przejdź do p=reject, utrzymując pct na najniższym ustawieniu procentowym, a następnie stopniowo zwiększając do pełnego wymuszenia dla 100% wolumenu poczty.
Jak PowerDMARC upraszcza zarządzanie rekordami DMARC
Dla organizacji obsługujących wiele domen lub po prostu tych, które nie chcą zajmować się ręczną konfiguracją i utrzymywaniem rekordów DMARC, istnieje PowerDMARC. Proste i przyjazne dla klienta rozwiązanie, które automatyzuje zarządzanie rekordami DMARC w jednym miejscu. Dzięki technologii analizy zagrożeń opartej na sztucznej inteligencji i szczegółowym raportom, PowerDMARC pomaga ponad 2000 klientów na całym świecie uprościć proces wdrażania DMARC.
Oferuje:
- Zarządzanie wieloma domenami i wieloma klientami z poziomu jednego pulpitu nawigacyjnego
- Wysokiej jakości wdrożenie i wsparcie
- Certyfikowany zgodnie z SOC2, ISO27001 i RODO
Aby rozpocząć, skorzystaj z bezpłatnej Rozpocznij bezpłatny 15-dniowy okres próbny ochrony DMARC platformy już dziś!
Najczęściej zadawane pytania
1. Jak dodać rekord DMARC?
Aby dodać rekord DMARC: 1) Wygeneruj rekord DMARC za pomocą narzędzia takiego jak generator PowerDMARC, 2) Uzyskaj dostęp do konsoli zarządzania DNS, 3) Utwórz nowy rekord TXT o nazwie „_dmarc” i wklej rekord DMARC jako wartość, 4) Zapisz zmiany i poczekaj na propagację DNS (do 48 godzin).
2. Co się stanie, jeśli nie mam rekordu DMARC?
Bez rekordu DMARC Twoja domena jest narażona na ataki typu spoofing i phishing. Dostawcy poczty elektronicznej, tacy jak Gmail i Yahoo, mogą odrzucać wiadomości e-mail od nadawców masowych bez DMARC. Nieautoryzowane użycie może zaszkodzić reputacji Twojej domeny, a Ty nie będziesz mieć wglądu w niepowodzenia uwierzytelniania wiadomości e-mail.
3. Jak wygląda typowy rekord DMARC?
Podstawowy rekord DMARC jest publikowany jako rekord DNS TXT pod adresem _dmarc.twojadomena.com i zazwyczaj rozpoczyna działanie w trybie monitorowania. Typowy przykład wygląda następująco:
v=DMARC1; p=none; rua=mailto:[email protected]
Co to robi:
- v=DMARC1 identyfikuje rekord jako politykę DMARC.
- p=none umożliwia monitorowanie bez blokowania wiadomości e-mail.
- rua określa miejsce wysyłania zbiorczych raportów DMARC.
Ta konfiguracja pozwala obserwować wyniki uwierzytelniania i wykrywać próby spoofingu bez wpływu na dostarczanie wiadomości e-mail. Po przejrzeniu raportów i potwierdzeniu, że wszyscy legalni nadawcy są zgodni, można stopniowo przejść do p=kwarantanna lub p=reject w celu egzekwowania.
Ekspert ds. cyberbezpieczeństwa, CEO w PowerDMARC
Maitham jest przedsiębiorcą technologicznym, ekspertem ds. cyberbezpieczeństwa, dyrektorem generalnym i założycielem PowerDMARC z ponad 15-letnim doświadczeniem w branży. Maitham posiada tytuł Global MBA Uniwersytetu w Manchesterze oraz różne certyfikaty zawodowe, w tym CISSP, CISM, CRISC i ISC2 CCSP.
Najnowsze posty autorstwa Maitham Al Lawati (zobacz wszystkie)
- Statystyki dotyczące phishingu e-mailowego i DMARC: trendy w zakresie bezpieczeństwa poczty elektronicznej w 2026 r. – 6 stycznia 2026 r.
- Jak naprawić błąd „Nie znaleziono rekordu SPF” w 2026 r. – 3 stycznia 2026 r.
- SPF Permerror: Jak naprawić zbyt dużą liczbę wyszukiwań DNS – 24 grudnia 2025 r.
