Kluczowe wnioski
- DMARC chroni domeny przed phishingiem i spoofingiem poprzez wykorzystanie uwierzytelniania SPF i DKIM w połączeniu z egzekwowaniem zasad i generowaniem raportów.
- Standard DMARC jest obecnie regulowany przez RFC 9989 (2026), który zastąpił RFC 7489, jednak istniejące, prawidłowe rekordy DMARC nie wymagają migracji.
- Opublikowanie rekordu DMARC już nie wystarcza. Gmail, Yahoo, Microsoft, PCI DSS i inne systemy zapewniania zgodności coraz częściej wymagają wdrożenia zasad egzekwowania (kwarantanna lub odrzucanie).
- Raporty DMARC zapewniają wgląd we wszystkie źródła wiadomości e-mail korzystające z Twojej domeny, pomagając zidentyfikować nieautoryzowanych nadawców i bezpiecznie przejść do etapu egzekwowania zasad.
- Wskaźnik wdrożenia na całym świecie jest wysoki, jednak egzekwowanie tych standardów nadal pozostaje w tyle, co sprawia, że wiele organizacji jest narażonych na ataki polegające na podszywaniu się pod domeny, mimo że posiadają one wdrożone rekordy DMARC.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) to protokół uwierzytelniania wiadomości e-mail, który pozwala właścicielom domen kontrolować, co dzieje się z wiadomościami, które nie przejdą kontroli SPF i DKIM. Chroni on domenę przed phishingiem, spoofingiem i przejęciem firmowej poczty elektronicznej (BEC), nakazując serwerom pocztowym monitorowanie, poddawanie kwarantannie lub odrzucanie nieuwierzytelnionych wiadomości e-mail.
Standard DMARC jest obecnie regulowany przez dokument RFC 9989 (maj 2026 r.), który zastąpił pierwotny dokument RFC 7489. Należy pamiętać, że istniejące rekordy, które zostały poprawnie skonfigurowane przed aktualizacją RFC, pozostają nadal ważne, więc nie ma potrzeby przeprowadzania migracji.
Co oznacza skrót DMARC? Pełna nazwa
Skrót DMARC oznacza „Domain-based Message Authentication, Reporting, and Conformance”(Uwierzytelnianie wiadomości oparte na domenie, raportowanie i zgodność). Każda część tej nazwy odnosi się do konkretnej funkcji protokołu:
- Oparte na domenie: DMARC działa na poziomie domeny, a nie poszczególnych wiadomości. Publikujesz jedną politykę DNS, która reguluje obsługę wszystkich wiadomości e-mail rzekomo pochodzących z Twojej domeny.
- Uwierzytelnianie wiadomości: Sprawdza, czy wiadomość e-mail rzeczywiście pochodzi z Twojej domeny, analizując wyniki sprawdzania SPF i DKIM oraz porównując je z widocznym adresem w polu „Od:”.
- Raportowanie: Serwery odbiorcze przesyłają do Ciebie raporty pokazujące, kto wysyła wiadomości e-mail z wykorzystaniem Twojej domeny oraz jakie wyniki uzyskano w zakresie uwierzytelniania.
- Zgodność: Publikujesz zasady (brak, kwarantanna lub odrzucenie), określające odbiorcom, jak mają postępować z wiadomościami, które nie przeszły weryfikacji, a oni się do nich stosują.
Jak działa DMARC?
DMARC działa w ten sposób, że sprawdza, czy przychodząca wiadomość e-mail spełnia wymagania SPF lub DKIM, potwierdzając, że wynik jest zgodny z domeną podaną w polu „Od:”. Następnie stosuje zasady opublikowane przez użytkownika w systemie DNS. Opiera się na protokołach SPF i DKIM, uzupełniając je o dwa elementy, których im samym brakuje.
Gdy przychodzi wiadomość e-mail rzekomo pochodząca z Twojej domeny, serwer odbiorczy przeprowadza obie kontrole, sprawdza, czy którekolwiek z nich zgadza się z domeną podaną w polu „Od:”, a następnie stosuje zasady opublikowane przez Ciebie w systemie DNS. Na koniec wysyła Ci raport, dzięki czemu możesz dokładnie sprawdzić, co się wydarzyło.
Proces uwierzytelniania wiadomości e-mail: SPF, DKIM i DMARC
Oto pełny przebieg procesu — od momentu wysłania wiadomości e-mail aż po pojawienie się raportu w Twojej skrzynce odbiorczej:
- Wysłano wiadomość e-mail: serwer wysyła wiadomość, podając Twoją domenę w polu „Od:”.
- Sprawdzenie SPF: Serwer odbierający sprawdza, czy adres IP nadawcy jest autoryzowany w rekordzie SPF Twojej domeny.
- Sprawdzanie DKIM: Odbiorca weryfikuje podpis DKIM wiadomości na podstawie klucza publicznego opublikowanego w Twoim systemie DNS, potwierdzając, że treść wiadomości nie została zmieniona podczas przesyłania.
- Ocena i zgodność z DMARC: DMARC ocenia zarówno wyniki, jak i sprawdza, czy domena uwierzytelniona za pomocą SPF lub DKIM jest zgodna z domeną podaną w widocznym nagłówku „From:”. Co najmniej jeden z tych elementów musi przejść test i być zgodny.
- Zastosowano regułę: Zgodnie z opublikowaną przez Ciebie regułą odbiorca dostarcza wiadomość w zwykły sposób (brak), przekierowuje ją do folderu spam (kwarantanna) lub blokuje (odrzuca).
- Raport został wysłany: Odbiorca przesyła do Ciebie zbiorczy raport, zazwyczaj w ciągu 24 godzin, zawierający podsumowanie zebranych danych.
Czym jest zgodność z DMARC?
Dopasowanie to mechanizm, który łączy pozytywny wynik weryfikacji SPF lub DKIM z domeną, którą odbiorca faktycznie widzi w polu „Od:”. Wiadomość może przejść weryfikację SPF lub DKIM dla innej domeny, a mimo to w nagłówku „Od:” nadal wyświetlać Twoją domenę. Dopasowanie eliminuje tę rozbieżność, wymagając, aby uwierzytelniona domena była zgodna z domeną podaną w polu „Od:”.
Istnieją dwa tryby wyrównywania:
- W trybie swobodnego dopasowania (domyślnym) dopuszczalne jest dopasowanie na poziomie domeny organizacyjnej, więc adres mail.example.com jest dopasowywany do domeny example.com.
- Ścisłe dopasowanie wymaga dokładnej zgodności.
Bez zapewnienia zgodności osoba atakująca mogłaby przejść weryfikację SPF, korzystając z domeny, którą kontroluje, i mimo to sfałszować adres nadawcy (From:), co stanowi właśnie lukę, którą miał wyeliminować protokół DMARC.
Więcej informacji na temat dwóch rodzajów dostosowania, tego, co należy skonfigurować i kiedy, znajdziesz w naszym przewodniku po dostosowaniu DMARC.
DMARC, SPF i DKIM: jak ze sobą współdziałają
DMARC nie zastępuje protokołów SPF i DKIM; opiera się na nich. Każdy z tych trzech protokołów zajmuje się inną częścią problemu uwierzytelniania, a DMARC łączy je ze sobą.
Więcej informacji na temat poszczególnych protokołów znajdziesz w naszym przewodniku po DMARC, SPF i DKIM.
Jak działa SPF
SPF (Sender Policy Framework) określa, które adresy IP i serwery są uprawnione do wysyłania wiadomości e-mail w imieniu Twojej domeny. Serwer odbierający porównuje adres „envelope-from” (Return-Path) z opublikowanym rekordem SPF. Ograniczenie tego rozwiązania polega na tym, że SPF nie chroni widocznego nagłówka „From:”, który faktycznie widzą odbiorcy, więc wiadomość może przejść kontrolę SPF, a mimo to wyświetlać sfałszowaną domenę w polu „From:”.
Jak działa DKIM
DKIM (DomainKeys Identified Mail) dołącza podpis kryptograficzny do każdej wiadomości. Odbiorcy weryfikują ten podpis przy użyciu klucza publicznego z Twojego serwera DNS, potwierdzając, że wiadomość nie została zmodyfikowana podczas przesyłania, oraz identyfikując domenę, która ją podpisała. Ograniczenie tej metody: podobnie jak SPF, DKIM może zostać uznany za prawidłowy dla domeny innej niż ta podana w nagłówku „From:”, więc sam w sobie nie zapobiega sfałszowaniu pola „From:”.
Dlaczego DMARC jest niezbędny
SPF i DKIM to odrębne mechanizmy uwierzytelniające, ale żaden z nich nie określa, jak odbiorca ma postąpić w przypadku niepowodzenia weryfikacji, ani nie wiąże wyniku z widoczną domeną z pola „From:”. DMARC uzupełnia te braki: łączy SPF i DKIM, wymaga zgodności z domeną z pola „From:”, publikuje zasady egzekwowania oraz włącza raportowanie. Bez DMARC spoofing może się powieść nawet wtedy, gdy zarówno SPF, jak i DKIM są wdrożone.
Tabela porównawcza: SPF, DKIM i DMARC
| Protokół | Co sprawdza | Gdzie to widać | Co chroni | Czego nie potrafi zrobić samodzielnie |
|---|---|---|---|---|
| SPF | Czy adres IP nadawcy jest autoryzowany | Envelope-from / Return-Path | Zezwala na działanie legalnych serwerów wysyłających | Nie chroni widocznego nagłówka „From:” |
| DKIM | Podpis kryptograficzny na wiadomości | Nagłówek DKIM-Signature + klucz publiczny DNS | Integralność wiadomości i tożsamość domeny podpisującej | Może przejść nawet wtedy, gdy domena „From:” jest sfałszowana |
| DMARC | Wyniki SPF/DKIM + zgodność z polem „Od:” | Zasady DNS na stronie _dmarc.yourdomain.com | Łączy oba elementy, określa zasady i umożliwia generowanie raportów | Bez SPF i DKIM nie ma na czym oprzeć oceny |
Zasady DMARC: Brak, Kwarantanna i Odrzucenie
Twoja polityka DMARC określa, jak serwery odbierające mają postępować z wiadomościami, które nie przeszły uwierzytelnienia i weryfikacji zgodności. Istnieją trzy poziomy polityki DMARC, z których każdy charakteryzuje się wyższym poziomem egzekwowania niż poprzedni.
p=brak (Monitor)
Nie podejmuje się żadnych działań egzekucyjnych; niedostarczona poczta jest nadal dostarczana, a raporty są wysyłane, dzięki czemu można sprawdzić, kto wysyła wiadomości w Twoim imieniu. Jest to właściwy pierwszy krok przy każdym nowym wdrożeniu.
Uwaga dotycząca zgodności: opcja „p=none” nie spełnia wymagań serwisów Gmail i Yahoo dotyczących nadawców masowych ani wymagań normy PCI DSS v4.0 w zakresie ochrony przed phishingiem, których przestrzeganie jest obowiązkowe.
p = kwarantanna (miar łagodnych)
Wiadomości, których dostarczenie nie powiodło się, są kierowane do folderu spamu lub wiadomości niechcianych zamiast do skrzynki odbiorczej. Nie ma to wpływu na prawidłowe, uwierzytelnione wiadomości. Uwaga dotycząca zgodności: kwarantanna spełnia wymagania dotyczące egzekwowania przepisów stawiane przez serwisy Gmail, Yahoo i Microsoft oraz normę PCI DSS v4.0.
p = odrzucenie (pełne egzekwowanie)
Wiadomości, których dostarczenie nie powiodło się, są od razu odrzucane i nigdy nie trafiają ani do skrzynki odbiorczej, ani do folderu spamu. Jest to najwyższy poziom ochrony. Uwaga dotycząca zgodności: opcja „odrzucaj” spełnia wszystkie aktualne wymagania. Jedno zastrzeżenie wynikające z RFC 9989: w przypadku domen, których użytkownicy publikują posty na listach mailingowych, opcja „p=quarantine” może stanowić bezpieczniejsze, stałe rozwiązanie, ponieważ listy mailingowe często zakłócają proces uwierzytelniania w sposób powodujący odrzucanie prawidłowych wiadomości.
Czym są raporty DMARC?
DMARC to jedyny protokół uwierzytelniania poczty elektronicznej, który dostarcza dane dotyczące widoczności. Właśnie te raporty stanowią główny powód, dla którego warto opublikować ustawienie DMARC z parametrem p=none przed przejściem do etapu egzekwowania: pokazują one wszystkie źródła wysyłające wiadomości z Twojej domeny, dzięki czemu możesz upewnić się, że wszyscy legalni nadawcy przechodzą pomyślnie weryfikację, zanim zaczniesz blokować jakiekolwiek wiadomości.
Raporty zbiorcze (RUA)
Raporty zbiorcze to codzienne podsumowania w formacie XML wysyłane przez każdy serwer pocztowy, który przetworzył wiadomości e-mail pochodzące z Twojej domeny. Każdy raport zawiera listę adresów IP nadawców, liczbę wiadomości, wyniki weryfikacji SPF (pozytywne/negatywne), wyniki weryfikacji DKIM (pozytywne/negatywne), ogólny wynik DMARC oraz zastosowane działanie. Są one istotne, ponieważ bez nich nie można bezpiecznie rozwijać swojej polityki: przed przejściem do kwarantanny lub odrzucenia wiadomości należy potwierdzić, że każdy legalny nadawca przeszedł weryfikację. Ręczne przeglądanie surowego kodu XML jest zbyt pracochłonne, dlatego większość zespołów korzysta z naszego narzędzia DMARC Report Analyzer, które przekształca raporty w czytelne pulpity nawigacyjne.
Jeśli dopiero zaczynasz przygodę z raportowaniem, zapoznaj się z naszym przewodnikiem krok po kroku dotyczącym interpretacji raportów DMARC, który zawiera uproszczoną instrukcję.
Raporty o awariach (RUF)
Raporty o niepowodzeniach (wcześniej nazywane raportami kryminalistycznymi) to powiadomienia dotyczące poszczególnych wiadomości, wysyłane w przypadku, gdy konkretna wiadomość e-mail nie spełnia wymogów DMARC. Są one bardziej szczegółowe niż raporty zbiorcze. Uwaga dotycząca prywatności: firmy Google, Microsoft i Yahoo nie wysyłają już raportów o niepowodzeniach, więc jeśli Twoja domena je otrzymuje, pochodzą one od mniejszych dostawców. Dodaj tag ruf= do swojego rekordu tylko wtedy, gdy masz skonfigurowany moduł przetwarzający, który je obsługuje.
Przed czym chroni DMARC?
Głównym zadaniem protokołu DMARC jest uniemożliwienie atakującym wysyłania wiadomości e-mail, które sprawiają wrażenie, jakby pochodziły właśnie z Twojej domeny. Obejmuje to trzy najbardziej szkodliwe rodzaje ataków przeprowadzanych za pośrednictwem poczty elektronicznej.
Spoofing poczty elektronicznej
W przypadku ataku typu spoofing ktoś wysyła wiadomość e-mail, która wygląda, jakby pochodziła dokładnie z Twojej domeny, na przykład [email protected]. DMARC z ustawieniem p=reject blokuje takie wiadomości, zanim dotrą one do jakiejkolwiek skrzynki odbiorczej, ponieważ nie przechodzą one procesu uwierzytelniania i weryfikacji zgodności z Twoją domeną.
Ataki phishingowe
W wiadomościach phishingowych oszuści podszywają się pod Twoją markę, aby nakłonić klientów lub pracowników do podania danych uwierzytelniających lub przekazania pieniędzy. Dzięki wdrożeniu protokołu DMARC atakujący nie mogą wykorzystywać Twojej domeny jako nadawcy, co eliminuje najbardziej przekonującą wersję wiadomości phishingowej: taką, która rzeczywiście wygląda, jakby pochodziła od Ciebie.
Kompromitacja poczty elektronicznej (BEC)
W atakach typu BEC sprawcy podszywają się pod dyrektora generalnego, dyrektora finansowego lub zaufanego dostawcę, aby uzyskać przelewy bankowe lub poufne dane. Protokół DMARC zapobiega atakom BEC z wykorzystaniem dokładnej domeny, w których atakujący podszywa się pod prawdziwą domenę ofiary. Należy pamiętać, że protokół DMARC nie zapobiega fałszowaniu nazwy wyświetlanej — gdy widoczna nazwa brzmi „Nazwisko dyrektora generalnego”, ale rzeczywista domena nie ma z nią żadnego związku — ponieważ atakujący w ogóle nie korzysta z domeny ofiary.
Korzyści wynikające z wdrożenia protokołu DMARC
- Zapobiega phishingowi i spoofingowi w domenie dokładnej: podszywanie się pod domenę jest blokowane, zanim dotrze do odbiorców, co eliminuje najbardziej przekonujące ataki skierowane przeciwko Twoim klientom i pracownikom.
- Chroni reputację marki: klienci przestają otrzymywać fałszywe wiadomości e-mail, które sprawiają wrażenie, jakby pochodziły od Ciebie, co pozwala zachować zaufanie do Twojej marki.
- Poprawia dostarczalność wiadomości e-mail: wiadomości uwierzytelnione cieszą się zaufaniem odbiorców i mają większe szanse na trafienie do skrzynki odbiorczej, podczas gdy wiadomości nieuwierzytelnione są oznaczane jako podejrzane.
- Zapewnia pełną przejrzystość: raporty zbiorcze pokazują wszystkie źródła wysyłające wiadomości e-mail z Twojej domeny, w tym zapomniane usługi i nieautoryzowanych nadawców.
- Włącza BIMI: Warunkiem wyświetlania logo marki BIMI obok wiadomości w obsługiwanych skrzynkach odbiorczych jest zastosowanie polityki p=quarantine lub p=reject.
- Spełnia wymogi zgodności: DMARC na poziomie egzekwowania pomaga spełnić wymagania standardu PCI DSS v4.0, zasad dotyczących nadawców masowych obowiązujących w serwisach Google, Yahoo i Microsoft oraz wytycznych CISA BOD 18-01.
Wymogi dotyczące zgodności z DMARC w 2026 r.
Zgodność z przepisami stała się głównym powodem, dla którego organizacje wdrażają protokół DMARC. W ciągu ostatnich dwóch lat najwięksi dostawcy usług pocztowych oraz kilka organów regulacyjnych sprawiły, że protokół DMARC przestał być jedynie najlepszą praktyką, a stał się wymogiem. Co istotne, ustawienie p=none nie spełnia żadnego z poniższych wymogów, a organy regulacyjne oczekują zastosowania odpowiednich środków egzekwujących (kwarantanna lub odrzucenie wiadomości).
Gmail i Yahoo (od lutego 2024 r.)
Od lutego 2024 r. serwisy Gmail i Yahoo wymagają od nadawców masowych — wysyłających co najmniej 5 000 wiadomości dziennie — stosowania protokołów SPF i DKIM oraz opublikowania rekordu DMARC. W listopadzie 2025 r. serwis Gmail zaczął na stałe odrzucać wiadomości niezgodne z tymi wymogami. Rekord o wartości „p=none” spełnia minimalne wymagania dotyczące opublikowania rekordu DMARC, jednak to właśnie egzekwowanie tych zasad (kwarantanna lub odrzucenie) zapewnia rzeczywistą ochronę.
Microsoft Outlook (od maja 2025 r.)
5 maja 2025 r. firma Microsoft rozpoczęła egzekwowanie wymogów dotyczących uwierzytelniania nadawców wysyłających masowo wiadomości, odrzucając wiadomości o dużej objętości, które nie przeszły uwierzytelnienia, bezpośrednio na poziomie protokołu SMTP, zamiast kierować je do folderu ze spamem. Protokół DMARC stanowi część wymogów firmy Microsoft dotyczących uwierzytelniania nadawców wysyłających ponad 5 000 wiadomości dziennie.
PCI DSS w wersji 4.0 (od marca 2025 r.)
Wymóg 5.4.1 standardu PCI DSS w wersji 4.0.1 nakłada na organizacje przetwarzające dane kart płatniczych obowiązek stosowania zautomatyzowanych mechanizmów przeciwdziałania phishingowi, w tym protokołu DMARC wraz z protokołami SPF i DKIM. Wymóg ten stał się obowiązkowy z dniem 31 marca 2025 r. Rekord p=none służący wyłącznie do monitorowania nie spełnia tego wymogu; audytorzy oczekują wdrożenia polityki egzekwowania.
CISA BOD 18-01 (domeny federalne USA)
Wiążąca dyrektywa operacyjna nr 18-01 amerykańskiej Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA BOD 18-01) nakłada na wszystkie domeny federalnej władzy wykonawczej obowiązek wdrożenia protokołu DMARC z ustawieniem p=reject. Był to pierwszy rządowy nakaz wymagający stosowania polityki na poziomie egzekwowania, a nie jedynie jej przyjęcia.
Aby zapoznać się z globalnymi wymogami i zaleceniami dotyczącymi zgodności, zapoznaj się z naszym pełnym przewodnikiem po wymogach zgodności z protokołem DMARC.
Wdrożenie standardu DMARC w 2026 r.: kluczowe dane statystyczne
Statystyki PowerDMARC dotyczące phishingu e-mailowego i standardu DMARC za rok 2026 wskazują na wyraźną globalną tendencję: liczba przypadków phishingu wciąż rośnie, wdrażanie standardu DMARC zyskuje na popularności, ale nadal jest dalekie od powszechności, a większość domen, które go wdrażają, nigdy nie osiąga poziomu egzekwowania, który faktycznie blokowałby podszywanie się pod nadawców.
- Tylko około 18% spośród 10 milionów najczęściej odwiedzanych domen na świecie publikuje prawidłowy rekord DMARC, a zaledwie około 4% w pełni stosuje politykę odrzucania wiadomości (analiza z II kwartału 2025 r.), co sprawia, że zdecydowana większość domen jest narażona na spoofing i podszywanie się pod markę.
- Wśród domen, które publikują politykę DMARC, większość nie stosuje jej w praktyce: 68,2% stosuje ustawienie p=none, 12,1% – p=quarantine, a jedynie 19,6% stosuje rygorystyczną politykę p=reject.
- Również determinacja w zakresie egzekwowania przepisów jest niewielka: zaledwie 25,5% nadawców z grupy „p=none” planuje zaostrzyć swoje zasady w ciągu roku, podczas gdy 61% twierdzi, że wprowadzi zmiany tylko wtedy, gdy zmusi ich do tego regulacja prawna lub potrzeby biznesowe.
- Wymogi dotyczące uwierzytelniania przynoszą efekty tam, gdzie są najskuteczniejsze: po tym, jak Google i Yahoo wprowadziły wymagania dotyczące nadawców masowych wiadomości, firma Google odnotowała 65-procentowy spadek liczby nieuwierzytelnionych wiadomości docierających do serwisu Gmail, a tylko w 2024 roku liczba takich wiadomości zmniejszyła się o 265 miliardów.
- Stawka jest wysoka: średni koszt naruszenia bezpieczeństwa związanego z phishingiem wynosi około 4,88 mln dolarów, a ataki typu „business email compromise” spowodowały zgłoszone straty w wysokości około 2,9 mld dolarów.
RFC 9989: Aktualizacja standardu DMARC z 2026 r.
W maju 2026 r. RFC 9989 zastąpił RFC 7489 jako standard DMARC – była to pierwsza znacząca aktualizacja od czasu opublikowania pierwotnej specyfikacji w 2015 r. Ponieważ istniejące rekordy pozostają ważne, migracja nie jest wymagana. Właściciele domen korzystający z tagów, które zostały wycofane, mogą jednak rozważyć aktualizację swoich rekordów w celu uwzględnienia nowych udoskonaleń.
Zmiany dotyczą niewielkiego zestawu praktycznych udoskonaleń dotyczących tagów, które można publikować w rekordzie. Oto niektóre z najważniejszych zmian:
- Funkcja „pct=” została wycofana. Stary tag procentowy, który nakazywał odbiorcom stosowanie określonej polityki tylko do części wiadomości, których dostarczenie nie powiodło się, został usunięty, ponieważ działał w nieprzewidywalny sposób u różnych dostawców usług pocztowych.
- Funkcja „np=” została dodana w celu ustalenia odrębnych zasad dla nieistniejących subdomen, które w ogóle nie wysyłają legalnej poczty. Pozwala to na odrzucanie wiadomości z subdomen, które mogą wymyślić osoby atakujące, bez wpływu na aktywne subdomeny wysyłające pocztę.
- Dodano atrybut „t=”, aby sygnalizować fazę testową lub stopniowe wdrażanie, co zapewnia bardziej przejrzysty i znormalizowany sposób przechodzenia do etapu egzekwowania niż przestarzały atrybut „pct=”.
Aby zapoznać się ze szczegółowym opisem zmian, zapraszamy do zapoznania się z naszym przewodnikiem dotyczącym standardu DMARC RFC 9989.
Ograniczenia protokołu DMARC: przed czym nie zapewnia on ochrony
DMARC jest bardzo skuteczny w walce z fałszowaniem adresów w ramach tej samej domeny, ale nie stanowi kompletnego rozwiązania zapobiegającego oszustwom i warto jasno określić, czego nie obejmuje:
- Nie chroni to przed atakami z wykorzystaniem domen o podobnej nazwie, w których osoba atakująca rejestruje domenę o podobnej nazwie, np. paypa1.com lub paypal-secure.com, ponieważ DMARC w Twojej domenie nie ma uprawnień w odniesieniu do innej domeny.
- Nie zapobiega to nadużyciom związanym z nazwą wyświetlaną, w których widoczna nazwa nadawcy brzmi jak nazwa Twojej marki, ale faktyczna domena e-mailowa nie ma z nią żadnego związku.
- Nie pomaga to w przypadku przejętych, legalnych kont, ponieważ wiadomości wysyłane z prawdziwego, przejętego konta są poprawnie uwierzytelniane.
W przypadku zagrożeń wykraczających poza zakres działania protokołu DMARC możesz skorzystać z naszego narzędzia Lookalike Domain Checker, aby rozpocząć badanie mające na celu wykrycie domen podobnych, typosquattingu oraz ataków opartych na homoglifach.
Jak zacząć korzystać z DMARC
Aby zacząć, nie musisz konfigurować niczego skomplikowanego. Poniższe kroki pomogą Ci rozpocząć pracę:
1. Sprawdź swoje rekordy SPF, DKIM i DMARC: Jak wyjaśniono wcześniej, aby DMARC działał, konieczne jest skonfigurowanie albo SPF, albo DKIM (najlepiej obu). Zanim więc zaczniesz, musisz sprawdzić, czy te rekordy istnieją. Przeanalizuj swoją domenę za pomocą naszego narzędzia Domain Analyzer, aby jednym ruchem sprawdzić, czy posiadasz rekordy SPF, DKIM i DMARC oraz poznać aktualną politykę dotyczącą tych rekordów.
2. Jeśli nie masz jeszcze rekordu, utwórz go: skorzystaj z naszego narzędzia DMARC Generator, aby wygenerować rekord o poprawnej składni, a następnie opublikuj go w swoim systemie DNS, aby aktywować protokół. Na początek zawsze ustawiaj politykę na „none”, a dopiero gdy nabierzesz pewności co do skuteczności dostarczania wiadomości, stopniowo przechodź do trybu egzekwowania.
3. Dodaj wpis do serwera DNS: Otwórz konsolę zarządzania DNS i opublikuj wpis DMARC pod adresem _dmarc.twojadomena.com jako wpis typu TXT.
4. Sprawdź za pomocą narzędzia do sprawdzania DMARC: Na koniec, po upływie 24 godzin, sprawdź swoją domenę za pomocą naszego narzędzia do sprawdzania DMARC, aby upewnić się, że opublikowany rekord jest prawidłowy i nie zawiera błędów.
Aby zapoznać się z kompletnym przewodnikiem dotyczącym konfiguracji DMARC, zajrzyj na podany blog, gdzie znajdziesz szczegółową instrukcję krok po kroku.
Słowa końcowe
DMARC przestał być jedynie zaleceniem dotyczącym bezpieczeństwa, a stał się podstawowym wymogiem. To właśnie ten protokół potwierdza, że wiadomości e-mail wysyłane z Twojej domeny rzeczywiście pochodzą od Ciebie, a jego stosowanie jest coraz częściej wymagane przez dostawców usług pocztowych oraz organy regulacyjne, przed którymi Twoja firma już teraz odpowiada. Sam protokół nie jest skomplikowany: wystarczy opublikować rekord, przeglądać raporty i zaostrzać zasady w miarę jak Twoi legalni nadawcy będą się do nich dostosowywać. Prawdziwym wyzwaniem jest przejście od monitorowania do egzekwowania zasad.
PowerDMARC to kompleksowa platforma do zarządzania DMARC, która przejmuje za Ciebie proces monitorowania i egzekwowania zasad, przekształcając surowe raporty w przystępne informacje i pomagając osiągnąć status „p=reject” bez blokowania legalnych wiadomości.
Najczęściej zadawane pytania
Co to jest DMARC?
Rekord DMARC to rekord DNS typu TXT opublikowany pod adresem _dmarc.twojadomena.com. Zawiera on politykę DMARC oraz adresy e-mail, na które powinny być wysyłane raporty. Utworzenie i opublikowanie rekordu DMARC stanowi pierwszy krok we wdrażaniu protokołu DMARC dla danej domeny.
Czy w 2026 r. stosowanie protokołu DMARC będzie obowiązkowe?
Tak, w przypadku nadawców masowych. Serwisy Gmail i Yahoo wymagają stosowania protokołu DMARC od lutego 2024 r. w przypadku domen wysyłających co najmniej 5 000 wiadomości e-mail dziennie, a firma Microsoft zaczęła egzekwować ten wymóg w maju 2025 r. Standard PCI DSS w wersji 4.0 wymaga stosowania protokołu DMARC przez podmioty przetwarzające dane kart płatniczych od marca 2025 r. Nawet w przypadku nadawców niebędących nadawcami masowymi zdecydowanie zaleca się stosowanie protokołu DMARC w celu ochrony domeny przed spoofingiem.
Jaka jest różnica między DMARC, SPF i DKIM?
SPF weryfikuje, które adresy IP mogą wysyłać wiadomości e-mail w imieniu danej domeny. DKIM weryfikuje integralność wiadomości za pomocą podpisu kryptograficznego. DMARC łączy oba te mechanizmy, dopasowuje je do widocznej domeny w polu „Od:”, wprowadza zasady egzekwowania oraz umożliwia generowanie raportów. Wszystkie trzy mechanizmy są niezbędne do pełnego uwierzytelnienia wiadomości e-mail.
Czego zapobiega protokół DMARC?
DMARC zapobiega fałszowaniu adresów e-mail w ramach tej samej domeny, polegającemu na wysyłaniu przez atakującego wiadomości, które sprawiają wrażenie, jakby pochodziły z Twojej domeny. Obejmuje to wiadomości phishingowe, podszywanie się pod markę oraz ataki typu „business email compromise”. Nie zapobiega natomiast atakom z wykorzystaniem domen podobnych ani fałszowaniu nazwy wyświetlanej, w których wykorzystywana jest inna domena.
Co się stanie, jeśli nie mam DMARC?
Bez DMARC serwery odbiorcze nie mają żadnych wytycznych dotyczących wiadomości e-mail z Twojej domeny, które nie przechodzą weryfikacji SPF i DKIM, więc Twoja domena może być swobodnie podszywana w atakach phishingowych. Od 2024 r. brak DMARC wpływa również na dostarczalność wiadomości wysyłanych masowo, ponieważ Gmail i Yahoo mogą odrzucać lub obniżać priorytet Twoich legalnych wiadomości e-mail.
Czy DMARC zapobiega wszystkim atakom phishingowym?
Nie. DMARC zapobiega atakom phishingowym, w których podszywa się pod konkretną domenę użytkownika, ale nie jest w stanie powstrzymać ataków wykorzystujących domeny podobne, nadużyć związanych z nazwą wyświetlaną ani ataków przeprowadzanych z przejętych, legalnych kont. DMARC powinien stanowić jeden z elementów szerszej strategii bezpieczeństwa poczty elektronicznej, a nie jedyny środek ochrony.
- Jak skonfigurować DMARC: Kompletny przewodnik konfiguracji krok po kroku (2026) - 20 czerwca 2026 r.
- Jak interpretować raporty DMARC: Kompletny przewodnik po wskaźnikach RUA i RUF – 10 czerwca 2026 r.
- Czym jest DMARC? Definicja, zasada działania i znaczenie – 28 kwietnia 2026 r.

