Jak czytać raporty DMARC: Rodzaje, narzędzia i wskazówki

Phishing jest przyczyną 90% cyberataków, dlatego tak ważne jest, aby zrozumienie przez Ciebie i Twój zespół, jak interpretować raporty DMARC, aby chronić swoje dane i reputację.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) zapewniają szczegółowy wgląd w sposób uwierzytelniania wiadomości e-mail, pomagając w utrzymaniu ścisłego nadzoru nad bezpieczeństwem poczty e-mail. Potwierdzając, że wiadomości e-mail naprawdę pochodzą z zaufanych źródeł, DMARC odgrywa kluczową rolę w blokowaniu phishingu i spoofingu które mogą zaszkodzić Twojej marce i narazić Twoich klientów na ryzyko.

Ten blog pokaże Ci, jak czytać raporty DMARC i wyjaśni, w jaki sposób użycie odpowiednich narzędzi może ułatwić ten proces, pomagając zabezpieczyć domenę i wzmocnić bezpieczeństwo poczty elektronicznej.

Co to jest raport DMARC?

Raporty DMARC to raporty diagnostyczne generowane przez serwery pocztowe odbiorców, które pokazują, w jaki sposób Twoje wiadomości e-mail są uwierzytelniane w Internecie. Zapewniają one przejrzysty wgląd w zachowanie wiadomości e-mail i przepływ poczty, w tym wyniki uwierzytelniania SPF i DKIM dla wiadomości wysyłanych z domeny obsługującej DMARC.

Raporty te opierają się na dwóch kluczowych technologiach:

• SPF (Sender Policy Framework) weryfikuje, czy wiadomość e-mail została wysłana z autoryzowanego serwera.
• DKIM (DomainKeys Identified Mail) sprawdza, czy treść wiadomości e-mail została zmieniona podczas przesyłania.

Łącznie kontrole te pokazują, czy wiadomości e-mail są autentyczne, czy potencjalnie fałszywe.

Jak włączyć raporty DMARC (krok po kroku)

Zanim będziesz mógł czytać raporty DMARC, musisz skonfigurować rekord DMARC, który informuje dostawców skrzynek pocztowych , gdzie mają wysyłać raporty.

Krok 1: Opublikuj rekord DMARC

Utwórz rekord DNS TXT dla: _dmarc.twojadomena.com

Rozpocznij od trybu monitorowania: v=DMARC1; p=none; rua=mailto:[email protected];

Krok 2: Dodaj miejsca docelowe raportów (najpierw rua)

• rua (raporty zbiorcze): Jest to główny kanał raportowania DMARC, z którego korzysta większość organizacji.
• ruf (raporty kryminalistyczne): Opcjonalne. Obsługa tej funkcji różni się w zależności od dostawcy i może budzić obawy dotyczące prywatności, dlatego wiele organizacji pomija ją lub korzysta z niej ostrożnie.

Przykład z obydwoma (tylko jeśli zamierzasz korzystać z raportów kryminalistycznych):

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected];

Krok 3: Zdecyduj, w jaki sposób chcesz otrzymywać raporty

Masz dwie praktyczne opcje:

• Dedykowana skrzynka pocztowa: Przydatna do testowania, ale surowe raporty są dostarczane jako załączniki XML i stają się trudne do zarządzania na dużą skalę.
• Narzędzie do raportowania DMARC: Zalecane do bieżącego monitorowania, filtrowania i tworzenia pulpitów nawigacyjnych umożliwiających podejmowanie działań.

Krok 4: Potwierdź, że raporty są dostarczane

Raporty zbiorcze często pojawiają się w ciągu 24–48 godzin, w zależności od propagacji DNS i cykli raportowania dostawców poczty elektronicznej. Jeśli nic nie dotarło, sprawdź:

• rekord DMARC jest opublikowany poprawnie,
• skrzynka pocztowa/usługa docelowa może odbierać wiadomości,
• a Twoja domena aktywnie wysyła wiadomości e-mail.

Po włączeniu raportów możesz je przeczytać. 

Jak czytać raporty DMARC

Raporty DMARC są zazwyczaj dostarczane w formacie XML jako załączniki do wiadomości e-mail o temacie „Raport DMARC”. Chociaż surowe raporty nie są łatwe do bezpośredniego odczytania, zrozumienie ich struktury pomaga wydobyć z nich cenne informacje. 

Pomocne w nauce konfigurowania i interpretowania raportów mogą być również zasoby takie jak baza wiedzy PowerDMARC. 

Oto jak czytać raporty DMARC:

Zrozumienie formatu XML DMARC

Typowy raport DMARC XML zawiera następujące kluczowe sekcje:

• Source IP: adres IP serwera wysyłającego.
• Ocena polityki: Działanie podjęte na podstawie polityki DMARC.
• Wyniki SPF i DKIM: Czy każde sprawdzenie zakończyło się pomyślnie czy niepomyślnie
• Szczegóły domeny: Nazwy domen zaangażowane w wysyłanie i uwierzytelnianie

Dekodowanie kluczowych elementów raportu surowego

Podczas przeglądania raportu należy skupić się na następujących kluczowych obszarach:

• źródłowy_adres_IP: Miejsce pochodzenia wiadomości e-mail
• ocena_polityki: Decyzja podjęta przez politykę DMARC (np. brak działania, kwarantanna, odrzucenie)
• spf i dkim: Wyniki pokazujące pozytywny lub negatywny wynik. Wynik pozytywny oznacza, że wiadomość e-mail spełniła standardy uwierzytelniania, natomiast wynik negatywny wskazuje na problemy, które mogą sugerować fałszerstwo lub nieprawidłową konfigurację.

Spodziewaj się praktycznych wyzwań związanych z surowymi raportami

Podczas pracy bezpośrednio z plikami XML często napotyka się kilka przeszkód:

• Raporty mogą być dostarczane w postaci skompresowanej (.zip lub .gz).
• Domeny o dużej objętości mogą generować bardzo duże pliki.
• Często otrzymujesz wiele raportów od różnych dostawców dotyczących tego samego dnia.

Dlatego większość zespołów rezygnuje z ręcznej kontroli, gdy wzrasta liczba zgłoszeń.

Identyfikacja problemów na podstawie danych (SPF, DKIM, wyrównanie)

Zwróć uwagę na te błędytylko dlatego, że SPF lub DKIM nie zostały poprawnie skonfigurowane. Narzędzia marketingowe, systemy CRM, platformy newsletterowe i narzędzia pomocy technicznej muszą zostać dodane do rekordu SPF lub skonfigurowane z kluczami DKIM, aby konsekwentnie przechodzić weryfikację DMARC. Błędy te są szczególnie częste po wdrożeniu nowego narzędzia, zmianie domeny lub aktualizacji wysyłania po stronie dostawcy.

Ostrzegawcze znaki:

• Błędy w kontroli SPF lub DKIM kontroli
• Problemy z wyrównaniem, gdy domena wysyłająca nie pasuje do uwierzytelnionej domeny
• Podejrzane adresy IP nadawców, które nie należą do znanych Ci źródłach poczty

Te flagi mogą sygnalizować próby podszywania się pod Twojej domeny.

Przeczytaj, jak Jordi Altimira (kierownik ds. wdrożeń technicznych i sukcesu klienta w Pablo Herreros) osiągnął 100% wynik bezpieczeństwa domenydzięki PowerDMARC.

Przeczytaj studium przypadku Rozpocznij 15-dniowy okres próbny

Rodzaje raportów DMARC

Raportowanie DMARC odbywa się głównie za pomocą dwóch rodzajów raportów: zbiorczych (RUA) i szczegółowych (RUF). Oba służą różnym celom, a większość organizacji opiera się głównie na raportach zbiorczych w celu ciągłego monitorowania.

1. Raporty zbiorcze DMARC (RUA)

Raporty zbiorcze DMARC zawierają przegląd analiz i aktywności DMARC dla danej domeny. Obejmują one:

• Informacje dotyczące liczby wiadomości, które przeszły lub nie przeszły uwierzytelniania DMARC.
• Adresy IP serwerów wysyłających pocztę
• Statusy uwierzytelniania mechanizmów używanych do weryfikacji wiadomości e-mail

Te informacje pomagają wam zyskać świadomość na temat spamerów i nieautoryzowanych usług stron trzecich, które niewłaściwie wykorzystują nazwę waszej domeny.

Aby jeszcze bardziej ułatwić interpretację tych raportów, widoki raportów zbiorczych PowerDMARC są bardziej czytelne i zrozumiałe, ponieważ są uproszczone i uporządkowane w postaci wykresów i tabel z zaawansowanymi opcjami przeglądania i filtrowania. Aby włączyć nasze czytelne dla człowieka raporty zbiorcze, skontaktuj się z nami już dziś!

2. Raporty kryminalistyczne DMARC (RUF)

Raporty kryminalistyczne DMARC, znane również jako raporty o niepowodzeniach, dostarczają szczegółowych informacji o poszczególnych wiadomościach e-mail, które nie przeszły uwierzytelnienia DMARC. W niektórych przypadkach raporty Forensic DMARC mogą zawierać:

• Cała wiadomość e-mail
• Status uwierzytelniania
• Przyczyna niepowodzenia nieautoryzowanej wiadomości

Raporty o niepowodzeniach w DMARC są szczególnie przydatne podczas badania konkretnych incydentów kryminalistycznych, takich jak potencjalne oszustwa e-mailowe, nadużycia nazwy domeny i podszywanie się pod inne osoby.

Raporty o awariach mogą czasami zawierać poufne informacje, co budzi obawy dotyczące prywatności, jeśli osoba atakująca uzyska do nich dostęp. To skłoniło PowerDMARC do ułatwienia szyfrowania PGP w tych raportach, zapewniając, że tylko Ty masz dostęp do poufnych treści.

Objaśnienie pól raportu DMARC

Raporty zbiorcze DMARC (RUA) są zazwyczaj dostarczane w formacie XML i zawierają wiele „rekordów”. Każdy rekord przedstawia aktywność poczty elektronicznej z określonego źródła wysyłającego (zazwyczaj adresu IP) i pokazuje, jak źródło to działało w odniesieniu do polityki DMARC. Gdy już wiesz, co oznaczają kluczowe pola, znacznie łatwiej jest zidentyfikować legalnych nadawców, wykryć nieautoryzowane użycie i naprawić problemy z dostosowaniem SPF/DKIM.

Najważniejsze pola DMARC, które zobaczysz w raportach zbiorczych (RUA)

Jak te pola współpracują ze sobą

Częstym błędem jest traktowanie DMARC jako zwykłej kontroli „SPF pass/DKIM pass”. DMARC weryfikuje również, czy SPF lub DKIM są zgodne z domeną w header_from. Dlatego może się zdarzyć, że SPF lub DKIM wyświetlają „pass”, ale DMARC nadal nie przechodzi dla tego rekordu.

Użyj tych kombinacji, aby szybko zinterpretować rekordy:

• DMARC pass: SPF lub DKIM przechodzi i jest zgodny z header_from
• Błąd DMARC: Ani SPF, ani DKIM nie osiągają zgodności z header_from
• SPF pozytywny, ale DMARC negatywny: SPF może przejść, ale envelope_from nie jest zgodna nie jest zgodna z header_from
• DKIM pozytywny, ale DMARC negatywny: DKIM może przejść, ale dkim_domain nie jest zgodny z header_from
• Duża ilość danych z nieznanego źródła_ip: Często wskazuje na nieautoryzowanego nadawcę, przeoczony system lub nieprawidłowo skonfigurowaną usługę zewnętrzną.

Po zrozumieniu tych pól czytanie raportów DMARC staje się znacznie bardziej praktyczne. Następnym krokiem jest przeglądanie rekordów w kolejności priorytetowej, zaczynając od źródeł generujących największą liczbę lub najwyższy wskaźnik niepowodzeń.

Najczęstsze błędy w raportach DMARC

Raporty zbiorcze DMARC często ujawniają problemy, które mają wpływ na uwierzytelnianie, bezpieczeństwo domeny i dostarczalność wiadomości e-mail. Są to kwestie, , z którymi najprawdopodobniej się spotkasz, oraz ich znaczenie.

• Brak zgodności SPF lub DKIM: Dzieje się tak, gdy wiadomości e-mail przechodzą weryfikację SPF lub DKIM, ale użyte domeny nie są zgodne z domeną widoczną dla odbiorców w nagłówku „Od”. Brak zgodności powoduje niepowodzenie DMARC, nawet jeśli podstawowe kontrole uwierzytelniające zakończą się powodzeniem. W większości przypadków rozwiązaniem jest skonfigurowanie usług wysyłania wiadomości tak, aby ścieżka zwrotna (tożsamość SPF) i/lub domena podpisująca DKIM były zgodne z domeną nadawcy, a następnie potwierdzenie zmiany w kolejnej serii raportów zbiorczych.
• Nieautoryzowane źródła wysyłania: Raporty DMARC mogą wykazywać serwery wysyłające wiadomości e-mail w bez Twojej zgody. Mogą to być stare systemy, źle skonfigurowane usługi stron trzecich lub złośliwe podmioty. Identyfikacja i usuwanie nieautoryzowanych nadawców ma kluczowe znaczenie dla ochrony domeny przed spoofingiem.
• Nieprawidłowo skonfigurowane usługi poczty elektronicznej (platformy marketingowe, systemy CRM, narzędzia do obsługi zgłoszeń itp.): Często legalne usługi nie przechodzą uwierzytelniania tylko dlatego, że SPF lub DKIM nie zostały poprawnie skonfigurowane. Narzędzia marketingowe, systemy CRM, platformy newsletterowe i narzędzia pomocy technicznej muszą zostać dodane do rejestru SPF lub skonfigurowane z kluczami DKIM, aby konsekwentnie przechodziły weryfikację DMARC.
• Wysoki odsetek niepowodzeń i co on oznacza: Duży odsetek nieudanych wiadomości e-mail w raportach DMARC wskazuje na poważne problemy; może to wskazywać na próby podszywania się, niezgodność lub brak uwierzytelnienia ważnych nadawców. Wysoki wskaźnik niepowodzeń wymaga natychmiastowej uwagi, aby zapobiec utracie dostarczalności i potencjalnemu nadużyciu Twojej domeny.

Najlepsze praktyki zarządzania raportami DMARC

Profesjonalna wskazówka to automatyzację analizy raportów DMARC, aby zaoszczędzić czas i uniknąć błędów ręcznych. Poza tym postępuj zgodnie z poniższymi zalecanymi praktykami:

Zautomatyzuj parsowanie za pomocą narzędzi

Raporty zbiorcze DMARC są dostarczane w formacie XML, który może być trudny do odczytania ręcznie. Korzystanie z narzędzia do analizy DMARC automatyzuje parsowanie, konwertuje raporty na pulpity nawigacyjne lub podsumowania oraz pomaga wykryciu niezgodności, nieautoryzowanych nadawców lub wzorców, które mogły zostać przeoczone.

Przeglądanie raportów co tydzień lub co miesiąc

Regularne przeglądy zapewniają wczesne wykrywanie nowych problemów. Cotygodniowe przeglądy sprawdzają się w przypadku domen o dużym natężeniu ruchu, natomiast w mniejszych środowiskach wystarczające są comiesięczne kontrole. Regularne monitorowanie zapewnia, że wszystkie źródła wysyłania pozostają uwierzytelnione i dostosowane do zmian w konfiguracji.

Śledzenie źródeł IP i nadawców zewnętrznych

Raporty DMARC ujawniają wszystkie serwery, które wysyłają pocztę w w Twoim imieniu, nawet te, o których połączeniu mogłeś zapomnieć. Śledzenie tych adresów IP pomaga w ustaleniu, którzy nadawcy są legalni, a którzy muszą zostać usunięci, uwierzytelnieni lub zbadani nieco dokładniej. Staje się to szczególnie ważne, gdy korzystasz z kilku narzędzi jednocześnie, takich jak platformy marketingowe, systemy CRM lub systemy biletowe, które wysyłają e-maile z Twojej domeny.

Utrzymanie zgodności we wszystkich usługach wysyłkowych

Każda usługa , z której korzystasz, musi przejść weryfikację SPF lub DKIM i być zgodna z Twoją domeną; w przeciwnym razie DMARC zakończy się niepowodzeniem, nawet jeśli wszystko inne wygląda dobrze. Łatwo przeoczyć jedną lub dwie platformy (zwłaszcza starsze integracje), dlatego warto dokładnie sprawdzić, czy każda z nich jest skonfigurowana z odpowiednimi instrukcjami SPF include lub kluczami DKIM. Gdy wszyscy nadawcy są poprawnie skonfigurowani, cały łańcuch uwierzytelniania staje się znacznie bardziej stabilny. Dzięki temu wskaźniki awaryjności są niskie, a Twoją domenę przed nadużyciami.

Kolejny krok

Zrozumienie raportów DMARC ma kluczowe znaczenie dla ochrony domeny poczty elektronicznej przed atakami typu spoofing i phishing. Postępując zgodnie z instrukcjami zawartymi w tym przewodniku, można skutecznie monitorować uwierzytelnianie poczty elektronicznej i podejmować działania przeciwko zagrożeniom.

Najważniejsze działania, które należy podjąć teraz:

1. Włącz raportowanie DMARC, konfigurując rekordy DNS z tagami rua/ruf.
2. Wykorzystaj zautomatyzowane narzędzia, aby uprościć analizę i interpretację raportów.
3. Ustal harmonogram regularnych przeglądów (tygodniowy lub miesięczny).
4. Prowadź wykaz wszystkich autoryzowanych źródeł wysyłania wiadomości e-mail.
5. W miarę poprawy uwierzytelniania stopniowo wprowadzaj bardziej rygorystyczne zasady DMARC.

Chcesz uprościć zabezpieczenia poczty elektronicznej? Narzędzia takie jak DMARC Report Reader firmy PowerDMARC przekształcają złożone dane XML w przejrzyste, przydatne informacje, które pomagają chronić domenę przed phishingiem i spoofingiem.

Często zadawane pytania (FAQ)

1. W jaki sposób raporty DMARC pomagają poprawić bezpieczeństwo poczty elektronicznej?

Pokazują one, które wiadomości e-mail przechodzą lub nie przechodzą proces uwierzytelniania, pomagając wykrywać i powstrzymywać próby spoofingu lub phishingu wymierzone w Twoją domenę.

2. Jak często generowane są raporty DMARC?

Na platformie PowerDMARC raporty DMARC są generowane i organizowane codziennie, co tydzień lub co miesiąc, w zależności od preferencji użytkownika.

3. Jak poprawić swój wynik DMARC?

Możesz poprawić swój wynik DMARC, naprawiając problemy z uwierzytelnianiem, dostosowując SPF i DKIM oraz stopniowo egzekwując bardziej rygorystyczne zasady DMARC.

4. Jakie działania mogę podjąć na podstawie raportów DMARC?

Możesz zidentyfikować nieautoryzowanych nadawców, dostosować ustawienia poczty e-mail i zablokować fałszywe wiadomości e-mail.

5. Co oznacza otrzymanie raportu DMARC?

Oznacza to, że odbiorca udostępnia informacje o tym, w jaki sposób Twoje wiadomości e-mail są uwierzytelniane i czy wystąpiły jakieś niepowodzenia w sprawdzaniu.

6. Dlaczego otrzymuję zbiorcze raporty DMARC?

Otrzymujesz zbiorcze raporty DMARC, ponieważ opublikowano rekord DMARC z tagiem rua. Raporty te są wysyłane przez dostawców poczty elektronicznej, aby pomóc Ci monitorować sposób wykorzystania Twojej domeny do uwierzytelniania wiadomości e-mail.

7. Jak sprawdzić raport DMARC?

Możesz sprawdzić swoje raporty DMARC, uzyskując dostęp do adresu e-mail podanego w tagu rua lub korzystając z narzędzia do analizy DMARC, które automatycznie przetwarza i wizualizuje dane XML, ułatwiając ich interpretację.

8. Kto generuje raporty DMARC?

Raporty DMARC są generowane i wysyłane przez serwery poczty elektronicznej oraz głównych dostawców skrzynek pocztowych, takich jak Gmail, Yahoo, Outlook i inne usługi pocztowe, które przetwarzają wiadomości e-mail z Twojej domeny.

9. Gdzie należy wysyłać raporty DMARC?

Raporty DMARC mogą być wysyłane na adres e-mail określony w tagu rua Twojego rekordu DMARC.

Dostępne są dwie opcje:

1. Specjalna skrzynka pocztowa , którą tworzysz (np. [email protected]).
2. Zewnętrzna usługa analizy DMARC. Jest to zalecana opcja, ponieważ przetwarzają one złożone raporty XML w przyjazne dla użytkownika pulpity nawigacyjne.

10. Kto wysyła raporty DMARC?

Raporty DMARC są wysyłane przez odbierające serwery pocztowe i dostawców skrzynek pocztowych.

• O
• Latest Posts

Maitham Al Lawati

Ekspert ds. cyberbezpieczeństwa, CEO w PowerDMARC

Maitham jest przedsiębiorcą technologicznym, ekspertem ds. cyberbezpieczeństwa, dyrektorem generalnym i założycielem PowerDMARC z ponad 15-letnim doświadczeniem w branży. Maitham posiada tytuł Global MBA Uniwersytetu w Manchesterze oraz różne certyfikaty zawodowe, w tym CISSP, CISM, CRISC i ISC2 CCSP.

Najnowsze posty autorstwa Maitham Al Lawati (zobacz wszystkie)

• Statystyki dotyczące phishingu e-mailowego i DMARC: trendy w zakresie bezpieczeństwa poczty elektronicznej w 2026 r. – 6 stycznia 2026 r.
• Jak naprawić błąd „Nie znaleziono rekordu SPF” w 2026 r. – 3 stycznia 2026 r.
• SPF Permerror: Jak naprawić zbyt dużą liczbę wyszukiwań DNS – 24 grudnia 2025 r.