Jak skonfigurować DMARC: Przewodnik konfiguracji krok po kroku

Tylko 53,8% firm na całym świecie ma skonfigurowany DMARC w swojej domenie, co oznacza, że prawie połowa z nich działa bez krytycznej warstwy ochrony przed atakami opartymi na poczcie elektronicznej. Wiele organizacji wciąż szuka sposobu na skonfigurowanie DMARC, nie zdając sobie sprawy, że brak tego protokołu tworzy łatwy punkt wejścia dla prób spoofingu i phishingu.

Uwierzytelnianie poczty elektronicznej stanowi rdzeń bezpieczeństwa domeny. SPF, DKIM i DMARC współpracują ze sobą, aby zweryfikować, kto może wysyłać pocztę z Twojej domeny i jak należy postępować z podejrzanymi wiadomościami. SPF autoryzuje określone wysyłające adresy IP, DKIM stosuje podpis kryptograficzny, który potwierdza integralność wiadomości, a DMARC wykorzystuje oba te elementy do egzekwowania polityki i wskazywania serwerom odbierającym, co należy zrobić, jeśli wiadomość nie przejdzie uwierzytelnienia. Nawet z SPF i DKIM na miejscu, domena bez DMARC pozostaje narażona, ponieważ nie ma instrukcji, jak należy traktować nieudane wiadomości.

Wymagania wstępne dla konfiguracji DMARC

Zanim przejdziemy do procesu konfiguracji DMARC, upewnij się, że posiadasz następujące elementy:

1. Dostęp do konsoli zarządzania DNS: Jest to niezbędne do tworzenia i publikowania rekordów DNS, zwłaszcza jeśli konfigurujesz uwierzytelnianie dla nazwy domeny dostępnej na Twoim koncie.
2. Lista autoryzowanych nadawców wiadomości e-mail: Zidentyfikuj wszystkie usługi i serwery, które wysyłają wiadomości e-mail w Twoim imieniu, aby uniknąć niezamierzonego blokowania.
3. Istniejący rekord SPF i/lub DKIM w DNS: Przynajmniej jeden z tych rekordów powinien być już skonfigurowany w DNS, ponieważ DMARC opiera się na nich przy uwierzytelnianiu wiadomości e-mail. SPF (Sender Policy Framework) mówi serwerowi odbierającemu, z jakiej domeny powinien spodziewać się wiadomości e-mail, podczas gdy DKIM (DomainKeys Identified Mail) to metoda cyfrowego podpisywania wiadomości e-mail w celu weryfikacji autentyczności nadawcy.

Ostrzeżenie: Jeśli pomijasz SPF/DKIM, DMARC nie będzie działać. Przed przejściem do kolejnych kroków upewnij się, że prawidłowo skonfigurowałeś jedno z nich lub najlepiej oba.

Jak skonfigurować DMARC krok po kroku

Aby wygenerować ten rekord za darmo, użyj naszego narzędzia generatora DMARC, jak pokazano na powyższym zrzucie ekranu. Po otwarciu narzędzia zobaczysz wymagane pola, które należy wypełnić przed utworzeniem rekordu.

Aby rozpocząć konfigurację DMARC DNS, wykonaj kroki opisane poniżej.

Krok 1: Utworzenie rekordu DMARC

Rozpoczynasz od utworzenia rekordu DNS TXT record który zawiera politykę DMARC i aktywuje protokół w domenie. Rekord DNS TXT jest prostym wpisem tekstowym w ustawieniach DNS domeny, który przechowuje ważne informacje dla serwerów zewnętrznych, takie jak instrukcje uwierzytelniania poczty elektronicznej. Po dodaniu do pliku strefy DNS domeny, informuje on odbierające serwery pocztowe, jak mają obsługiwać wiadomości, które twierdzą, że pochodzą z Twojej domeny.

Aby wygenerować ten rekord za darmo, skorzystaj z naszego narzędzia do generowania DMARC, jak pokazano na powyższym zrzucie ekranu. Po otwarciu narzędzia zobaczysz pola wymagane, które musisz wypełnić, aby rekord mógł zostać utworzony.

Przeczytaj, jak Jordi Altimira (kierownik ds. wdrożeń technicznych i sukcesu klienta w Pablo Herreros) osiągnął 100% wynik bezpieczeństwa domenydzięki PowerDMARC.

Przeczytaj studium przypadku Rozpocznij 15-dniowy okres próbny

Krok 2: Wybierz odpowiednią politykę DMARC dla swoich wiadomości e-mail

Znacznik p= policy jest wymaganą częścią każdego rekordu DMARC. Informuje on odbierające serwery pocztowe, co mają zrobić z wiadomościami e-mail, które nie przejdą kontroli SPF i DKIM. Jeśli brakuje tego znacznika, Twój rekord DMARC staje się nieważny i nie będzie egzekwowany.

Krok 3: Włącz raportowanie i kliknij "Generuj". 

Aby śledzić przepływ poczty i wyniki uwierzytelniania, włącz raporty zbiorcze DMARC (rua), określając adres e-mail, na który chcesz je otrzymywać. Zbiorcze raporty DMARC to codzienne podsumowania XML wysyłane przez dostawców skrzynek odbiorczych, które pokazują, które serwery wysyłają pocztę w Twoim imieniu, jak te wiadomości wypadły pod względem SPF i DKIM oraz czy jakiekolwiek nieautoryzowane źródła próbowały użyć Twojej domeny. Po wprowadzeniu adresu raportowania kliknij "Generuj", aby utworzyć rekord.

Krok 4: Opublikowanie i zatwierdzenie konfiguracji rekordu

Po utworzeniu rekordu TXT kliknij przycisk „Kopiuj”, aby skopiować pełną składnię, a następnie otwórz konsolę zarządzania DNS.

Utwórz nowy rekord TXT.

-W polu Host/Name wpisz _dmarc (lub _dmarc.yourdomain.com, w zależności od dostawcy DNS).

-W polu Wartość/Dane wklej wygenerowaną składnię rekordu DMARC.

-Zapisz rekord, aby go opublikować i zakończyć konfigurację DMARC.

Aby uzyskać więcej informacji, przeczytaj nasz pełny przewodnik na temat publikowania rekordu rekordu DMARC w DNS. Należy pamiętać, że pełna propagacja aktualizacji DNS może potrwać do 48 godzin.

Weryfikacja konfiguracji DMARC

Po skonfigurowaniu protokołu DMARC należy zweryfikować konfigurację, aby mieć pewność, że nie wystąpi częsty błąd „Nie znaleziono rekordu DMARC” .

Aby zweryfikować konfigurację, możesz użyć bezpłatnego narzędzia PowerDMARC's DMARC checker . Aby z niego skorzystać:

1. Wpisz nazwę swojej domeny w polu docelowym (np. jeśli adres URL Twojej witryny to https://company.com, nazwa Twojej domeny będzie brzmiała company.com )
2. Kliknij przycisk "Wyszukaj"
3. Wyniki wyświetlane na ekranie

Polecamy tę metodę weryfikacji jako alternatywę dla weryfikacji ręcznej, ponieważ zapewnia ona szybszą, dokładniejszą i bezproblemową obsługę.

Zaawansowane wskazówki dotyczące konfiguracji DAMRC

Gdy ukończysz podstawową konfigurację, możesz skorzystać z poniższych zaawansowanych wskazówek, które pomogą Ci usprawnić implementację:

Wyjaśnienie zasad DMARC (które wybrać?)

Aby zapobiec podszywaniu się pod Twoje e-maile, musisz skonfigurować politykę DMARC . Możesz wybierać spośród trzech głównych polityk:

• None (p=none): Nie jest podejmowana żadna akcja w przypadku wiadomości e-mail, które nie przeszły uwierzytelnienia DMARC. Jest to idealne rozwiązanie do monitorowania ruchu e-mail podczas początkowej konfiguracji.
• Kwarantanna(p=quarantine): Niepomyślne wiadomości e-mail są oznaczane jako podejrzane i wysyłane do folderów spamu/śmieci.
• Odrzuć (p=reject): Nieudane wiadomości e-mail są blokowane i nie są dostarczane.

Uwaga: Wybierz politykę "brak", aby monitorować wiadomości e-mail przed przejściem do pełnego egzekwowania (p=kwarantanna lub p=odrzucenie).

Tryby wyrównania (ścisły vs rozluźniony)

Zrelaksowane wyrównanie

• SPF relaxed alignment (aspf=r):
  Wyrównanie przechodzi, jeśli domena w ścieżce zwrotnej (domena uwierzytelniona SPF) ma tę samą domenę organizacyjną, co domena w adresie From.
  Domena organizacyjna to zazwyczaj domena podstawowa (np. example.com), z wyłączeniem subdomen.

  Przykład:
  From: [email protected]
  Return-Path: [email protected]
  ✔ Przechodzi złagodzone wyrównanie SPF, ponieważ obie domeny mają tę samą domenę organizacyjną (example.com).

• Złagodzone wyrównanie DKIM (adkim=r):
  Wyrównanie przechodzi, jeśli domena d= w podpisie DKIM ma tę samą domenę organizacyjną co domena w adresie From.

  Przykład:
  From: [email protected]
  DKIM-Signature: d=alerts.example.com
  ✔ Przechodzi złagodzone wyrównanie DKIM, ponieważ oba mają tę samą domenę organizacyjną (example.com).

Ścisłe wyrównanie

• Ścisłe wyrównanie SPF (aspf=s):
  Wyrównanie przechodzi tylko wtedy, gdy domena ścieżki zwrotnej dokładnie odpowiada domenie w adresie od.

  Przykład:
  From: [email protected]
  Return-Path: [email protected]
  ✔ Przechodzi ścisłe wyrównanie.

  ❌ Jeśli Return-Path to [email protected] lub bounce.mail.example.com, ścisłe wyrównanie nie powiedzie się.

• Ścisłe wyrównanie DKIM (adkim=s):
  Wyrównanie przechodzi tylko wtedy, gdy domena d= w podpisie DKIM dokładnie odpowiada domenie w adresie From.

  Przykład:
  Od: [email protected]
  Podpis DKIM:[email protected]
  ✔ Przechodzi ścisłe wyrównanie.

  Jeśli d=alerts.example.com lub bounce.mail.example.com, ścisłe wyrównanie nie powiedzie się.

Przykład konfiguracji DMARC

Oto przykład prostej konfiguracji DMARC:

v=DMARC1; p=odrzuć; rua=mailto:[email protected];

Uwaga : Rozpoczynając korzystanie z uwierzytelniania poczty e-mail, możesz ustawić politykę DMARC (p) na „brak” zamiast „odrzuć”, aby monitorować przepływ wiadomości e-mail i rozwiązywać problemy przed przejściem na politykę rygorystyczną.

Składnia rekordów DMARC i opcjonalne znaczniki

Składnia konfiguracji DMARC określa sposób uwierzytelniania wiadomości e-mail i działania, które należy podjąć po weryfikacji. Przyjrzyjmy się niektórym podstawowym mechanizmom:

• v (obowiązkowe): Określa wersję DMARC. Musi być DMARC1 i pojawiać się jako pierwsza w rekordzie.
• p (obowiązkowe): Określa politykę dla niepowodzeń DMARC (brak, kwarantanna lub odrzucenie).
• rua (opcjonalnie): Określa adresy e-mail do otrzymywania raportów zbiorczych w formacie mailto:.
• ruf (opcjonalnie):Określa adresy e-mail, na które mają być wysyłane raporty o błędach kryminalistycznych w formacie mailto:.
• adkim (opcjonalnie): Ustawia tryb wyrównania DKIM na r (zrelaksowany) lub s (ścisły). Domyślnym trybem jest zrelaksowany, jeśli nie został zdefiniowany. 
• aspf (opcjonalnie): Ustawia tryb wyrównania SPF na r (zrelaksowany) lub s (ścisły). Tryb domyślny to relaxed, jeśli nie został zdefiniowany. 
• pct (opcjonalnie): Określa procent nieudanych wiadomości e-mail podlegających polityce DMARC (domyślnie 100).
• fo (opcjonalnie): Określa, kiedy wysyłane są raporty kryminalistyczne. Dostępne opcje to 0, 1, d i s.

Możesz dowiedzieć się więcej w naszym szczegółowym blogu na temat tagów DMARC . Upewnij się, że tagi są rozdzielone średnikami i nie ma w nich zbędnych spacji, aby zachować poprawne formatowanie.

Najczęstsze błędy konfiguracji DMARC, których należy unikać

Błędne konfiguracje w DMARC często sprowadzają się do problemów z wyrównaniem, błędów składni lub luk w bieżącym monitorowaniu. Jednym z częstych problemów jest nieprawidłowe SPF lub DKIM. DMARC wymaga, aby co najmniej jedna z nich była zgodna z domeną "From". Jeśli domeny nie są zgodne, legalne wiadomości e-mail mogą nie zostać uwierzytelnione, mimo że rekordy istnieją. Jest to szczególnie powszechne, gdy usługi innych firm wysyłają wiadomości w imieniu użytkownika bez odpowiedniej konfiguracji.

Innym źródłem problemów jest nieprawidłowa składnia w tagach DMARC. Nawet niewielki błąd formatowania, taki jak brakujący średnik, nieobsługiwany znacznik lub nieprawidłowa wartość, może sprawić, że cały rekord stanie się bezużyteczny. Ponieważ rekordy DMARC są odczytywane przez maszyny, precyzja ma znaczenie.

Osobny problem pojawia się, gdy organizacje zbyt wcześnie egzekwują surowe zasady. Przejście od razu do p=kwarantanny lub p=odrzucenia bez uprzedniego przestudiowania zagregowanych raportów może spowodować zablokowanie legalnej poczty. Raporty zapewniają widok wszystkich nadawców korzystających z domeny, więc przejrzenie ich przed zaostrzeniem egzekwowania pomaga uniknąć przypadkowych zakłóceń.

Ponadto wiele konfiguracji kończy się niepowodzeniem, ponieważ adresy e-mail RUA i RUF są nieaktualne. Te adresy raportowania muszą pozostać aktywne i dostępne, w przeciwnym razie utracisz wgląd w wyniki uwierzytelniania. Gdy skrzynka odbiorcza używana do raportów jest wyłączona lub zmieniona bez aktualizacji rekordu DMARC, monitorowanie zostaje przerwane, a problemy pozostają niezauważone.

Podsumowanie

DMARC jest niezbędny do zapewnienia bezpieczeństwa domeny, klientów i reputacji marki. Dzięki odpowiedniej konfiguracji i regularnemu monitorowaniu, zapobiega on podszywaniu się pod inne osoby, zmniejsza ryzyko phishingu i zapewnia, że wiadomości e-mail pozostają godne zaufania.

A w krajobrazie, w którym oszustwa są wszędzie, silna polityka DMARC nie tylko blokuje zagrożenia. Wysyła ona jasny sygnał, że Twoja domena traktuje bezpieczeństwo poważnie, że nie zostawiasz otwartych drzwi dla atakujących, którzy mogą się przez nie prześlizgnąć.

Jeśli chcesz szybszego, łatwiejszego i dokładniejszego sposobu zarządzania DMARC, poznaj PowerDMARC. Nasza platforma upraszcza konfigurację, zapewnia przejrzyste raporty i pomaga utrzymać silną ochronę we wszystkich źródłach wysyłania. Rozpocznij bezpłatny okres próbny lub zarezerwuj demo, aby zabezpieczyć swoją domenę już dziś.

Często zadawane pytania (FAQ)

Jak długo trwa uruchomienie DMARC po konfiguracji?

DMARC zaczyna działać natychmiast po propagacji zmian DNS. Może to zająć od kilku minut do 48 godzin, w zależności od dostawcy.

Czy mogę skonfigurować DMARC bez DKIM lub SPF?

Musisz skonfigurować co najmniej jeden z nich (SPF lub DKIM), aby DMARC działał. Bez żadnego z nich, DMARC nie ma nic do walidacji Twoich wiadomości e-mail.

Co się stanie, jeśli ustawię politykę DMARC na "odrzuć" zbyt wcześnie?

Legalne wiadomości e-mail mogą zostać zablokowane. Przejście do polityki odrzucania przed sprawdzeniem raportów DMARC może spowodować, że autoryzowani nadawcy nie przejdą uwierzytelnienia.

• O
• Latest Posts

Maitham Al Lawati

Ekspert ds. cyberbezpieczeństwa, CEO w PowerDMARC

Maitham jest przedsiębiorcą technologicznym, ekspertem ds. cyberbezpieczeństwa, dyrektorem generalnym i założycielem PowerDMARC z ponad 15-letnim doświadczeniem w branży. Maitham posiada tytuł Global MBA Uniwersytetu w Manchesterze oraz różne certyfikaty zawodowe, w tym CISSP, CISM, CRISC i ISC2 CCSP.

Najnowsze posty autorstwa Maitham Al Lawati (zobacz wszystkie)

• Statystyki dotyczące phishingu e-mailowego i DMARC: trendy w zakresie bezpieczeństwa poczty elektronicznej w 2026 r. – 6 stycznia 2026 r.
• Jak naprawić błąd „Nie znaleziono rekordu SPF” w 2026 r. – 3 stycznia 2026 r.
• SPF Permerror: Jak naprawić zbyt dużą liczbę wyszukiwań DNS – 24 grudnia 2025 r.