Przewodnik konfiguracji DMARC: Jak skonfigurować DMARC w 2025 roku (bez przerywania poczty e-mail)
Czas odczytu: 8 min
Tylko 53,8% firm na świecie skonfigurowało protokół DMARC w swojej domenie, co sprawia, że pozostałe są narażone na zagrożenia rozsyłane pocztą e-mail.
Uwierzytelnianie poczty e-mail to pierwsza linia obrony. DMARC, SPF i DKIM to protokoły uwierzytelniania poczty e-mail, które pomagają zapobiegać atakom typu spoofing i phishing. SPF zapewnia, że tylko autoryzowane adresy IP mogą wysyłać w Twoim imieniu, DKIM dodaje podpis cyfrowy w celu weryfikacji integralności wiadomości, a DMARC opiera się na obu, aby poinstruować serwery odbiorcze, jak obsługiwać wiadomości e-mail, które nie przejdą tych kontroli. Bez DMARC nawet domeny z SPF i DKIM nadal mogą zostać podrobione.
Omiń kłopoty, skonfiguruj DMARC w kilka minut za pomocą PowerDMARC i chroń swoją domenę już dziś!
Kluczowe wnioski
- Konfiguracja DMARC, oparta na SPF/DKIM, chroni przed spoofingiem e-maili, phishingiem i zabezpiecza reputację domeny.
- Rekord DMARC w DNS definiuje zasady obsługi (`none`, `quarantine`, `reject`) dla nieautoryzowanych wiadomości e-mail.
- Prawidłowy format rekordu DMARC (np. obowiązkowe tagi `v=DMARC1`, `p=policy`) jest kluczowy dla skutecznego działania i uniknięcia problemów z dostarczaniem.
- Włączenie raportowania DMARC (`rua`, `ruf`) zapewnia cenny wgląd w przepływy wiadomości e-mail i wyniki uwierzytelniania w celu monitorowania.
- Regularna weryfikacja przy użyciu narzędzi zapewnia poprawną konfigurację, podczas gdy `p=reject` oferuje maksymalną ochronę.
Wymagania wstępne dla konfiguracji DMARC
Zanim przejdziemy do procesu konfiguracji DMARC, upewnij się, że posiadasz następujące elementy:
- Dostęp do konsoli zarządzania DNS : Jest ona niezbędna do tworzenia i publikowania rekordów DNS.
- Lista autoryzowanych nadawców wiadomości e-mail : Zidentyfikuj wszystkie usługi i serwery, które wysyłają wiadomości e-mail w Twoim imieniu, aby uniknąć przypadkowego blokowania.
- Istniejący rekord SPF i/lub DKIM w Twoim DNS: Przynajmniej jeden z tych rekordów powinien być już skonfigurowany w Twoim DNS, ponieważ DMARC opiera się na nich w celu uwierzytelnienia poczty e-mail. SPF (Sender Policy Framework) informuje serwer odbierający, z jakiej domeny powinien oczekiwać wiadomości e-mail, podczas gdy DKIM (DomainKeys Identified Mail) to metoda cyfrowego podpisywania wiadomości e-mail w celu weryfikacji autentyczności nadawcy.
Ostrzeżenie : Jeśli pomijasz SPF/DKIM, DMARC nie zadziała. Upewnij się, że poprawnie skonfigurowałeś jedno lub najlepiej oba, zanim przejdziesz do następnych kroków.
Konfiguracja DMARC krok po kroku
Aby rozpocząć konfigurację DNS DMARC, wykonaj kroki konfiguracji podane poniżej:
Krok 1: Utworzenie rekordu DMARC
Zaczynasz od utworzenia rekordu DNS TXT, który definiuje Twoją politykę i ustanawia implementację. Rekord ten jest dodawany do pliku strefy DNS domeny.
Aby utworzyć bezpłatny rekord, użyj naszego narzędzia generatora DMARC, jak pokazano na zrzucie ekranu powyżej. Po otwarciu ekranu narzędzia, pojawi się kilka obowiązkowych kryteriów, które musisz wypełnić.
Uprość konfigurację DMARC dzięki PowerDMARC!
Krok 2: Wybierz odpowiednią politykę DMARC dla swoich wiadomości e-mail
Znacznik p= policy jest obowiązkowym znacznikiem, który musi być skonfigurowany w konfiguracji DMARC. Jeśli go pominiesz, Twój rekord będzie nieważny.
Krok 3: Włącz raportowanie i kliknij "Generuj"
Aby monitorować przepływ poczty i wyniki uwierzytelniania, skonfiguruj raporty zbiorcze DMARC (rua), definiując adres e-mail, na który chcesz otrzymywać raporty. Na koniec naciśnij przycisk „Generuj”.
Krok 4: Opublikowanie i zatwierdzenie konfiguracji rekordu
Po utworzeniu rekordu TXT użyj przycisku „Kopiuj”, aby bezpośrednio skopiować składnię, a następnie przejdź do konsoli zarządzania DNS.
- Utwórz nowy rekord TXT.
- W polu Host/Nazwa wpisz `_dmarc` (lub `_dmarc.twojadomena.com`, w zależności od dostawcy DNS).
- W polu Wartość/Dane wklej wygenerowaną składnię rekordu DMARC.
- Zapisz rekord, aby opublikować go w swoim systemie DNS i zakończ konfigurację DMARC.
Przeczytaj nasz szczegółowy przewodnik na temat publikowania rekordu DMARC w swoim DNS, aby dowiedzieć się więcej. Propagacja zmian DNS może potrwać do 48 godzin, w zależności od dostawcy.
Weryfikacja konfiguracji DMARC
Po skonfigurowaniu protokołu DMARC należy zweryfikować konfigurację, aby mieć pewność, że nie wystąpi częsty błąd „Nie znaleziono rekordu DMARC” .
Aby zweryfikować konfigurację, możesz użyć bezpłatnego narzędzia PowerDMARC's DMARC checker . Aby z niego skorzystać:
- Wpisz nazwę swojej domeny w polu docelowym (np. jeśli adres URL Twojej witryny to https://company.com, nazwa Twojej domeny będzie brzmiała company.com )
- Kliknij przycisk "Wyszukaj"
- Wyniki wyświetlane na ekranie
Polecamy tę metodę weryfikacji jako alternatywę dla weryfikacji ręcznej, ponieważ zapewnia ona szybszą, dokładniejszą i bezproblemową obsługę.
Zaawansowane wskazówki dotyczące konfiguracji DAMRC
Gdy ukończysz podstawową konfigurację, możesz skorzystać z poniższych zaawansowanych wskazówek, które pomogą Ci usprawnić implementację:
Wyjaśnienie zasad DMARC (które wybrać?)
Aby zapobiec podszywaniu się pod Twoje e-maile, musisz skonfigurować politykę DMARC . Możesz wybierać spośród trzech głównych polityk:
- None (p=none): Nie jest podejmowana żadna akcja w przypadku wiadomości e-mail, które nie przeszły uwierzytelnienia DMARC. Jest to idealne rozwiązanie do monitorowania ruchu e-mail podczas początkowej konfiguracji.
- Kwarantanna (p=kwarantanna): Nieudane wiadomości e-mail są oznaczane jako podejrzane i przenoszone do folderu ze spamem/wiadomościami-śmieciami.
- Odrzuć (p=reject): Nieudane wiadomości e-mail są blokowane i nie są dostarczane.
Uwaga : Wybierz opcję „brak” w celu monitorowania wiadomości e-mail przed włączeniem pełnego egzekwowania (p=kwarantanna lub p=odrzucenie).
Tryby wyrównania (ścisły i rozluźniony)
- Zrelaksowane wyrównanie
SPF Relaxed Alignment: przechodzi, jeśli domena w Return-Path (domena uwierzytelniona przy użyciu SPF) dzieli tę samą domenę organizacyjną, co domena w adresie From.
Przykład:
aspf=r;
Ścieżka powrotna: [email protected]
Przechodzi złagodzone dopasowanie SPF, ponieważ oba współdzielą domenę organizacyjną example.com.
Zrelaksowane dopasowanie DKIM: Zalicza się do udanych, jeśli domena d= w podpisie DKIM dzieli tę samą domenę organizacyjną, co domena w adresie Od.
Przykład:
adkim=r;
Podpis DKIM: d=alerts.example.com
Przechodzi przez rozluźniony protokół DKIM (ta sama domena organizacyjna: example.com ).
- Ścisłe dopasowanie
SPF Relaxed Alignment: przechodzi, jeśli domena w Return-Path (domena uwierzytelniona przez SPF) dokładnie odpowiada domenie w adresie „Od” (a nie tylko odpowiada organizacji).
Przykład:
aspf=s;
Ścieżka powrotna: [email protected]
Przechodzi ścisłe dopasowanie SPF, ponieważ oba współdzielą domenę example.com. Gdyby Return-Path było bounce.mail.example.com, ścisłe dopasowanie nie powiodło by się.
Relaksujące dopasowanie DKIM: Zalicza się do udanych, jeśli domena d= w podpisie DKIM dokładnie odpowiada domenie w adresie Od.
Przykład:
adkim=s;
Podpis DKIM: d=alerts.example.com
Przechodzi ścisłe dopasowanie DKIM (ta sama domena: example.com ). Gdyby d=domena była bounce.mail.example.com, ścisłe dopasowanie by się nie powiodło.
Przykład konfiguracji DMARC
Oto przykład prostej konfiguracji DMARC:
v=DMARC1; p=odrzuć; rua=mailto:[email protected];
Uwaga : Rozpoczynając korzystanie z uwierzytelniania poczty e-mail, możesz ustawić politykę DMARC (p) na „brak” zamiast „odrzuć”, aby monitorować przepływ wiadomości e-mail i rozwiązywać problemy przed przejściem na politykę rygorystyczną.
Składnia rekordu DMARC i opcjonalne tagi
Składnia konfiguracji DMARC określa sposób uwierzytelniania wiadomości e-mail i działania, które należy podjąć po weryfikacji. Przyjrzyjmy się niektórym podstawowym mechanizmom:
- v (obowiązkowe): Określa wersję DMARC. Musi być DMARC1 i musi być pierwsza w rekordzie.
- p (obowiązkowe): Definiuje zasady dotyczące błędów DMARC (brak, kwarantanna lub odrzucenie).
- rua (opcjonalnie): Określa adres(y) e-mail, na które mają być wysyłane zbiorcze raporty w formacie mailto:.
- ruf (opcjonalnie): Określa adres(y) e-mail, na które mają być wysyłane raporty o błędach w formacie mailto:.
- adkim (opcjonalny): Ustawia tryb dopasowania DKIM na r (zrelaksowany) lub s (ścisły). Domyślny tryb jest zrelaksowany, jeśli nie zdefiniowano.
- aspf (opcjonalny): Ustawia tryb wyrównania SPF na r (zrelaksowany) lub s (ścisły). Domyślny tryb jest zrelaksowany, jeśli nie zdefiniowano.
- pct (opcjonalnie): Określa procent nieudanych wiadomości e-mail podlegających zasadom DMARC (wartość domyślna to 100).
- fo (opcjonalnie): Kontroluje, kiedy wysyłane są raporty kryminalistyczne. Opcje obejmują 0, 1, d i s.
Możesz dowiedzieć się więcej w naszym szczegółowym blogu na temat tagów DMARC . Upewnij się, że tagi są rozdzielone średnikami i nie ma w nich zbędnych spacji, aby zachować poprawne formatowanie.
Po skonfigurowaniu protokołu DMARC: co robić dalej?
Po pomyślnym skonfigurowaniu protokołu DMARC ważne jest ciągłe monitorowanie raportów, stopniowe przechodzenie do etapu egzekwowania zasad oraz rozwiązywanie problemów.
Jak czytać raporty DMARC?
Powyżej podano mały fragment raportu DMARC RUA. Aby przeanalizować go ręcznie:
- Examine the <domain> and <source_ip> fields to verify your sending sources
- Check the <adkim> and <aspf> fields to confirm the alignment mode configured for your domain.
- Check your DMARC policy in the <p> field
- Check your email authentication results (pass/fail) by checking the <policy_evaluated> sections of the report.
Użyj analizatora raportów DMARC
Aby łatwo przeglądać i analizować raporty DMARC bez konieczności czytania złożonych plików XML, zarejestruj się w PowerDMARC. Nasz analizator raportów DMARC pomaga wizualizować raporty w formacie czytelnym dla człowieka, zapewniając szczegółową widoczność.
Przejście do p=reject Safely
Podczas konfigurowania DMARC ważne jest bezpieczne przejście na politykę ap=reject, aby zapobiec problemom z dostarczalnością. Aby to zrobić:
- Zacznij od p=none i włącz raportowanie DMARC, aby monitorować ruch e-mail.
- Po kilku tygodniach przejdź do trybu p=quarantine, stosując go do 50% wolumenu wiadomości e-mail (używając znacznika pct=50).
- Powoli wprowadź tę wartość dla 100% wolumenu poczty, konfigurując pct=100 (lub pozostaw wartość domyślną).
- Dopiero gdy będziesz pewien swoich ustawień, przełącz się na p=reject dla 50% wolumenu poczty (pct=50).
- Jeśli konfiguracja jest satysfakcjonująca, wymuś p=reject dla 100% wolumenu poczty (pct=100).
Porada : Skorzystaj z naszego hostowanego rozwiązania DMARC , aby bezpiecznie przejść na egzekwowane zasady i liczyć na wsparcie ekspertów.
Rozwiązywanie typowych problemów w konfiguracjach DMARC
| Problemy | Powoduje | Poprawki |
|---|---|---|
| Wiadomości e-mail, które nie spełniają wymagań DMARC | - Niezgodność SPF/DKIM - Przekierowanie poczty elektronicznej - Próby podszywania się - Błędy składniowe | - Korzystaj z zarządzanych rozwiązań DMARC - Skonfiguruj zarówno SPF, jak i DKIM za pomocą konfiguracji DMARC - Sprawdź swoje rekordy DNS za pomocą narzędzi do sprawdzania rekordów DNS - Monitoruj swoje raporty |
| Nie otrzymano żadnych raportów | - Nieprawidłowy adres e-mail RUA - Dostawca poczty e-mail odbiorcy nie obsługuje raportowania RUF | - Upewnij się, że Twój adres e-mail RUA jest prawidłowy i aktywny |
| Błąd SPF | - Przekroczenie limitu 10 wyszukiwań DNS - Przekroczono limit długości znaku w rekordzie SPF - Składnia SPF i inne błędy konfiguracji | - Używane rozwiązania SPF Hosted - Wykorzystaj usługi optymalizacji SPF, takie jak spłaszczanie lub, najlepiej, makra. |
W jaki sposób PowerDMARC upraszcza konfigurację protokołu DMARC
| Cecha | PowerDMARC | Instalacja DIY |
|---|---|---|
| Raporty automatyczne | ✅ Tak | ❌ Ręczne parsowanie |
| Monitorowanie MTA-STS | ✅ W zestawie | ❌ Dodatkowe ustawienia |
| Hostowane SPF, DKIM i DMARC | ✅ W pełni hostowane | ❌ Samodzielnie zarządzany |
| Pomoc dotycząca konfiguracji DNS | ✅ Wbudowany kreator | ❌ Konfiguracja ręczna |
| Przeglądarka raportów zbiorczych | ✅ Wizualny panel | ❌ Surowe raporty XML |
| Obsługa raportów kryminalistycznych | ✅ Szyfrowanie PGP | ❌ Wymaga niestandardowego parsera |
| Wpisy | ✅ Alerty w czasie rzeczywistym | ❌ Brak rodzimych alertów |
| Wsparcie BIMI | ✅ Dostępne | ❌ Skomplikowana konfiguracja ręczna |
| Grupowanie domen | ✅ Łatwe grupowanie | ❌ Nieobsługiwane |
| Zarządzanie dostępem użytkowników | ✅ Kontrola oparta na rolach | ❌ Koordynacja manualna |
Studium przypadku: Jak fundacja Fatty Liver Foundation uprościła konfigurację Enterprise DMARC za pomocą PowerDMARC
„Zestaw narzędzi oferowany przez PowerDMARC był przyjazny dla użytkownika i przejął zadania konfiguracyjne dla funkcji takich jak DMARC i DKIM w bardzo intuicyjny sposób.” – Wayne Eskridge, CEO, Fatty Liver Foundation
Aby przeczytać całą historię tego, jak amerykańska organizacja non-profit uprościła konfigurację i zarządzanie protokołem DMARC , zapoznaj się z naszym studium przypadku .
Często zadawane pytania dotyczące konfiguracji DMARC
- Czy mogę skonfigurować DMARC bez DKIM lub SPF?
Nie. DMARC opiera się na wynikach kontroli uwierzytelniania SPF lub DKIM (lub obu). Musisz skonfigurować co najmniej jeden z tych protokołów (SPF lub DKIM) dla swojej domeny przed wdrożeniem DMARC.
- Jak często powinienem sprawdzać raporty DMARC?
Częstotliwość monitorowania zależy od kilku czynników:
- Jeśli jesteś przedstawicielem dużego przedsiębiorstwa, dostawcą usług MSSP zarządzającym bezpieczeństwem poczty e-mail dla swoich klientów, jesteś na początkowym etapie wdrażania lub niedawno wdrożyłeś politykę DMARC, zalecamy regularne sprawdzanie raportów.
- Gdy sytuacja się ustabilizuje, możesz przeglądać raporty co tydzień, zwracając szczególną uwagę na dodawanie nowych źródeł wysyłki.
Ekspert ds. cyberbezpieczeństwa, CEO w PowerDMARC
Maitham jest przedsiębiorcą technologicznym, ekspertem ds. cyberbezpieczeństwa, dyrektorem generalnym i założycielem PowerDMARC z ponad 15-letnim doświadczeniem w branży. Maitham posiada tytuł Global MBA Uniwersytetu w Manchesterze oraz różne certyfikaty zawodowe, w tym CISSP, CISM, CRISC i ISC2 CCSP.
Najnowsze posty autorstwa Maitham Al Lawati (zobacz wszystkie)
- Jak utworzyć i opublikować rekord DMARC - 3 marca 2025 r.
- Jak naprawić "Nie znaleziono rekordu SPF" w 2025 roku - 21 stycznia 2025 r.
- Jak czytać raport DMARC - 19 stycznia 2025 r.
