Czym jest polityka DMARC? Brak, Kwarantanna i Odrzucenie

Na początku 2024 r. Google i Yahoo jasno stwierdziły, że wszyscy nadawcy masowi muszą mieć wdrożoną politykę DMARC na miejscu. Wymóg ten zmienił konfigurację polityki DMARC z rutynowego kroku technicznego w pilny priorytet dla organizacji każdej wielkości. Po ogłoszeniu, zespoły zaczęły przeglądać, aktualizować i egzekwować swoje polityki DMARC, aby spełnić nowe standardy, zapobiec problemom z dostarczalnością i zmniejszyć ryzyko niewłaściwego wykorzystania domeny w miarę wzrostu zagrożeń związanych z pocztą elektroniczną.

Ustanowienie właściwej polityki pomaga organizacjom chronić ich markę, pracowników i klientów przed próbami podszywania się. I choć sama polityka DMARC nie jest w stanie rozwiązać każdego wyzwania związanego z bezpieczeństwem poczty elektronicznej, pozostaje ona jedną z najskuteczniejszych metod obrony przed phishingiem i atakami typu spoofing.

W tym artykule zbadamy politykę DMARC, jak ją wdrożyć, wyzwania i korzyści oraz dlaczego warto wybrać nasze hostowane rozwiązanie DMARC do wdrożenia polityki.

Co to jest polityka DMARC?

Polityka DMARC jest systemem walidacji poczty elektronicznej, który wykorzystuje system nazw domen (DNS) do instruowania odbierających serwerów pocztowych, w jaki sposób mają obsługiwać wiadomości e-mail twierdzące, że pochodzą z własnej domeny, ale nie przeszły pomyślnie kontroli uwierzytelniania. Jest on oznaczony znacznikiem "p" w rekordzie DMARC, który określa działanie, jakie serwery pocztowe powinny podjąć, jeśli wiadomość e-mail nie przejdzie pomyślnie walidacji DMARC.

Prawidłowo wdrożona polityka pozwala zdecydować, jak rygorystycznie dostawcy poczty e-mail powinni traktować wiadomości, które nie przechodzą uwierzytelniania. Mówiąc prościej, wybierasz poziom egzekwowania, który chcesz zastosować do podejrzanych lub nieautoryzowanych wiadomości e-mail.

Politykę można ustawić na:

• Przepuść mimo wszystko (p=none)
• Oznacz jako podejrzany(p=kwarantanna)
• Całkowite zablokowanie (p=odrzuć)

Znacznik p= w rekordzie DMARC jest tym, co kontroluje to zachowanie. Mówi on serwerom odbierającym, który poziom egzekwowania ma być zastosowany, co czyni go jedną z najważniejszych części konfiguracji DMARC. Bardziej rygorystyczna polityka, taka jak p=reject, zapewnia najsilniejszą ochronę, zapobiegając dostarczaniu fałszywych lub nieautoryzowanych wiadomości e-mail.

3 opcje polityki DMARC

Przed wyborem polisy warto zrozumieć, co robi każda z opcji i jak wpływa na sposób ochrony domeny.

Trzy typy zasad DMARC obejmują:

1. Polityka DMARC: Brak (p=none)

Polityka DMARC none (p=none) jest trybem zrelaksowanym, który nie wywołuje żadnych działań po stronie odbiorcy. Polityka ta może być używana do monitorowania aktywności poczty elektronicznej i jest zazwyczaj używana podczas początkowej fazy wdrażania DMARC do monitorowania i gromadzenia danych.

Nie zapewnia ona żadnego poziomu ochrony przed cyberatakami i pozwala na dostarczanie wszystkich wiadomości, niezależnie od wyników uwierzytelniania. Opcja ta jest określana w rekordzie DMARC za pomocą znacznika "p=none".

Przykład: v=DMARC1; p=none; rua= mailto:(adres e-mail);

Kiedy używać p=none

• Użyj tej polityki, jeśli chcesz monitorować ruch e-mail przed wymuszeniem DMARC.
• Idealny dla domen, które wciąż identyfikują wszystkie legalne źródła wysyłania.
• Serwery pocztowe odbierające wiadomości nie podejmują żadnych działań w przypadku niepowodzenia; wiadomości e-mail są nadal dostarczane.
• Nadal będziesz otrzymywać zbiorcze raporty DMARC, które pomogą Ci zrozumieć problemy z uwierzytelnianiem przed przejściem na bardziej rygorystyczne zasady.

2. Polityka DMARC: Kwarantanna (p=kwarantanna)

Opcja ta jest określona w rekordzie DMARC za pomocą znacznika "p=quarantine". p=quarantine zapewnia pewien poziom ochrony, ponieważ właściciel domeny może poprosić odbiorcę o wycofanie wiadomości e-mail do folderu spamu lub kwarantanny w celu późniejszego sprawdzenia w przypadkuniepowodzenia DMARC.

Ta polityka nakazuje serwerowi pocztowemu odbierającemu pocztę traktować wiadomości, które nie przeszły uwierzytelnienia DMARC z podejrzliwością. Jest ona często implementowana jako krok pośredni pomiędzy "brak" i "odrzuć".

Przykład: v=DMARC1; p=kwarantanna; rua=mailto:(adres e-mail);

Kiedy używać p=kwarantanna

• Użyj tej polityki, jeśli chcesz silniejszej ochrony, ale nadal musisz sprawdzić podejrzane wiadomości e-mail przed ich pełnym zablokowaniem.
• Niepomyślne wiadomości są wysyłane do folderu spam/śmieci, co daje szansę na ich sprawdzenie bez utraty legalnej poczty.
• Działa jako pośredni poziom egzekwowania, pomagając w płynnym przejściu do p=reject.
• Pozwala ocenić wpływ DMARC i zdecydować, czy oflagowane wiadomości e-mail są legalne, czy też powinny zostać odrzucone.
• Pomaga zmniejszyć bałagan w skrzynce odbiorczej, utrzymując wątpliwe wiadomości e-mail poza główną skrzynką odbiorczą, jednocześnie zapewniając ich widoczność.

3. Polityka DMARC: Odrzuć (p=reject)

Opcja ta jest określona w rekordzie DMARC za pomocą "p=reject". Jest to najbardziej rygorystyczna polityka, nakazująca odbiorcom odrzucanie nieuwierzytelnionych wiadomości.

Polityka odrzucania DMARC zapewnia maksymalne egzekwowanie, zapewniając, że wiadomości, które nie przejdą kontroli DMARC, nie zostaną w ogóle dostarczone. Polityka ta jest wdrażana, gdy właściciele domen są pewni swojej konfiguracji uwierzytelniania poczty e-mail.

Przykład: v=DMARC1; p=reject; rua= mailto:(adres e-mail);

Kiedy używać p=reject

• Wybierz tę politykę, jeśli chcesz uzyskać najwyższy poziom ochrony przed phishingiem, spoofingiem i nieautoryzowanym użyciem domeny.
• Wiadomości e-mail, które nie przejdą uwierzytelnienia, są w pełni blokowane, dzięki czemu podejrzane wiadomości nigdy nie docierają do odbiorców.
• Najlepsze dla domen, które są już w pełni uwierzytelnione we wszystkich usługach wysyłania i nie muszą już poddawać kwarantannie przypadków granicznych.

Powinieneś:

• Dokładnie przetestuj i potwierdź, że wszyscy legalni nadawcy przeszli SPF i DKIM przed przejściem na p=reject.
• Utrzymuj włączone raportowanie DMARC, abyś mógł monitorować wszelkie pozostałe awarie i upewnić się, że wszystko nadal działa płynnie.
• Aby bezpiecznie wdrożyć, zacznij od p=none, przejdź do p=kwarantanna, a następnie przejdź do p=odrzuć, gdy raporty wykażą spójne wyrównanie.

Inne zasady DMARC

DMARC oferuje dodatkowe parametry polityki w celu precyzyjnego dostrojenia implementacji.

• Parametr procentowy (pct=) umożliwia stopniowe wdrażanie polityki poprzez określenie części wiadomości podlegających DMARC. Na przykład: pct=50 stosuje politykę do 50% wiadomości.
  • Kiedy używać:
    • Użyj pct=, gdy przechodzisz z p=none → p=quarantine → p=reject i chcesz przetestować egzekwowanie etapami bez wpływu na całą pocztę wychodzącą.
  • Wskazówki dotyczące osi czasu:
    • Zacznij od pct=20 podczas wczesnych testów.
    • Zwiększ do pct=50-70, gdy większość legalnych nadawców przechodzi uwierzytelnianie.
    • Przejdź do pct=100, gdy upewnisz się, że konfiguracja jest stabilna.
• Polityka subdomen (sp=) to rekord zasad, który ustawia oddzielne reguły dla subdomen. Jest to przydatne, gdy subdomeny wymagają innej obsługi. Na przykład: v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected].
  • Kiedy używać:
    • Użyj sp=, gdy twoje subdomeny mają różne zachowania wysyłania lub gdy chcesz bardziej rygorystycznego lub łagodniejszego egzekwowania w porównaniu do domeny głównej.
  • Wskazówki dotyczące osi czasu:
    • Zastosuj sp=none podczas oceny nadawców subdomen.
    • Przełącz na sp=kwarantanna po zweryfikowaniu ich uwierzytelnienia.
    • Przejdź na sp=reject, gdy nie chcesz już nadużywać subdomen do spoofingu.

Skonfiguruj politykę DMARC we właściwy sposób dzięki PowerDMARC!

Dlaczego DMARC ma znaczenie

Wiadomości e-mail mogą być łatwo sfałszowane, co utrudnia odróżnienie prawdziwej wiadomości od niebezpiecznej podróbki. W tym miejscu pojawia się DMARC. DMARC jest jak punkt kontrolny bezpieczeństwa poczty elektronicznej, który weryfikuje tożsamość nadawcy przed przepuszczeniem wiadomości i odgrywa kluczową rolę w osiąganiu zgodności z przepisami takimi jak RODO, HIPAA i PCI-DSS.

Przewiduje się, że globalne straty związane z cyberprzestępczością przekroczą 10,5 bln USD w 2025 r.co podkreśla skalę zagrożenia. Tymczasem raport Verizon 2025 Data Breach Investigations Report pokazuje, że ataki phishingowe i ataki oparte na danych uwierzytelniających pozostają dominujące, a około 15% wszystkich naruszeń zaczyna się od phishingu.

Zgodnie z RFC 7489 IETF, DMARC ma unikalną zdolność pozwalania nadawcom wiadomości e-mail na ustawianie preferencji uwierzytelniania. Włączając go, można również otrzymywać raporty dotyczące obsługi poczty elektronicznej i potencjalnych nadużyć domeny. To sprawia, że DMARC wyróżnia się pod względem walidacji domen.

Zgodnie z naszymi najnowszymi statystykami DMARC, znaczna liczba domen jest nadal podatna na ataki phishingowe z powodu braku wdrożenia DMARC.

Aby rozpocząć proces konfiguracji DMARC, należy wprowadzić odpowiednie zmiany w DNS i dołączyć rekordy DNS TXT dla protokołów. Jednak ręczne wdrożenie protokołu DMARC może być dość skomplikowane dla użytkowników nietechnicznych. Może to być nawet dość kosztowne, jeśli zatrudnisz zewnętrznego CISO do zarządzania nim w Twojej firmie. Dlatego korzystanie z rozwiązania takiego jak analizator DMARC firmy PowerDMARC ma sens: automatyzuje konfigurację, usprawnia ją i oszczędza zarówno czas, jak i pieniądze. Pozwól nam poprowadzić Cię przez konfigurację i pomóc chronić Twoją markę już dziś.

Opcje raportowania DMARC

Opcje raportowania dla DMARC obejmują:

• Raporty zbiorcze (rua=): Wysyłane codziennie i dostarczają wysokopoziomowych podsumowań wyników uwierzytelniania poczty e-mail, w tym tego, które adresy IP wysyłają pocztę w Twoim imieniu i ile wiadomości przeszło pomyślnie lub nie.
• Raporty kryminalistyczne (ruf=): Wysyłane w czasie rzeczywistym i zawierające bardziej szczegółowe informacje o niepowodzeniu dla poszczególnych wiadomości, które nie zostały uwierzytelnione.

Parametry te umożliwiają organizacjom gromadzenie cennych informacji na temat wyników uwierzytelniania DMARC, dając wgląd w liczbę wiadomości e-mail, które nie przeszły lub przeszły uwierzytelnianie DMARC. Pomocny jest również raport DMARC:

1. Identyfikacja potencjalnych problemów i wzorców nadużyć
2. Wykrywanie błędnych konfiguracji w ustawieniach poczty e-mail.
3. Uzyskanie wglądu w zachowanie i przepływ poczty elektronicznej
4. Przegląd wyników uwierzytelniania dla protokołów SPF i DKIM

Wspólne korzyści i wyzwania

DMARC oferuje silną ochronę i cenną widoczność, ale jego prawidłowe wdrożenie wiąże się również z kwestiami operacyjnymi i technicznymi. Zrozumienie zarówno korzyści, jak i wyzwań pomaga określić realistyczne oczekiwania dotyczące wdrożenia.

Korzyści

• Zapobieganiespoofingowi domen i ochrona przed phishingiem: Blokuje nieautoryzowanych nadawców i zmniejsza ryzyko ataków podszywania się.
• Poprawa dostarczalności wiadomości e-mail (10-15%): Uwierzytelnione domeny cieszą się większym zaufaniem dostawców skrzynek odbiorczych, co poprawia ich pozycję w skrzynkach odbiorczych.
• Widoczność dzięki raportowaniu źródeł wysyłania: Raporty DMARC ujawniają, kto wysyła pocztę w Twoim imieniu i jak uwierzytelnia wiadomości.
• Zgodność z wymogami RODO, HIPAA i Google/Yahoo 2024: Pomaga spełnić wymogi bezpieczeństwa i uwierzytelniania określone przez organy regulacyjne i głównych dostawców skrzynek pocztowych.

Wyzwania

• Harmonogram wdrożenia (3-6 miesięcy na bezpieczne wdrożenie): Przejście od monitorowania do pełnego egzekwowania wymaga czasu i dokładnej analizy.
• Wymóg wykrywania wszystkich legalnych źródeł wiadomości e-mail: Każdy system wysyłający musi zostać zidentyfikowany i uwierzytelniony przed zastosowaniem rygorystycznych zasad.
• Potrzeby w zakresie wiedzy technicznej (DNS, SPF, DKIM): Prawidłowa konfiguracja wymaga znajomości uwierzytelniania poczty e-mail i zarządzania DNS.
• Ograniczenia uwierzytelniania usług innych firm: Niektóre narzędzia lub platformy mają ograniczoną obsługę SPF/DKIM, co czyni konfigurację bardziej złożoną.

Rozwiązywanie problemów z błędami polityki DMARC

Podczas korzystania z DMARC może pojawić się komunikat o błędzie. Poniżej przedstawiono niektóre typowe błędy polityki DMARC:

• Błędy składni: Należy uważać na wszelkie błędy składni podczas konfigurowania rekordu, aby upewnić się, że protokół działa poprawnie.
• Błędy konfiguracji: Błędy podczas konfigurowania polityki DMARC są powszechne i można ich uniknąć, korzystając z narzędzia do sprawdzania DMARC.
• Polityka DMARC sp: Jeśli skonfigurujesz politykę odrzucania DMARC, ale ustawisz politykę subdomeny na brak, nie będziesz w stanie osiągnąć zgodności. Jest to spowodowane nadpisaniem polityki w wychodzących wiadomościach e-mail.
• Błąd "Polityka DMARC nie jest włączona": Jeśli raporty domeny podświetlają ten błąd, wskazuje to na brakującą politykę domeny DMARC w DNS lub taką, która jest ustawiona na "brak". Edytuj swój rekord, aby włączyć p=reject/quarantine i to powinno naprawić problem.

Egzekwowanie polityki DMARC za pomocą PowerDMARC

DMARC pozostaje jednym z najskuteczniejszych sposobów ochrony domeny przed spoofingiem, phishingiem i nieautoryzowanym użyciem poczty elektronicznej. Wybierając odpowiedni tryb polityki (brak, kwarantanna lub odrzucenie), kontrolujesz sposób, w jaki serwery odbiorcze radzą sobie z podejrzanymi wiadomościami i jak silnie chroniona jest Twoja domena. Dodatkowe parametry, takie jak pct= i sp=, pomagają dostroić wdrożenie, podczas gdy opcje raportowania, takie jak rua i ruf, zapewniają przejrzysty wgląd w wyniki uwierzytelniania, źródła wysyłania, błędne konfiguracje i potencjalne nadużycia.

Chociaż konfiguracja DMARC może być złożona, szczególnie w przypadku pracy z wieloma usługami stron trzecich lub zarządzania pełnym harmonogramem egzekwowania, długoterminowe korzyści są znaczące: lepsza dostarczalność, lepsza zgodność i silniejsza ochrona marki.

Analizator DMARC firmy PowerDMARC upraszcza ten proces poprzez automatyzację konfiguracji, usprawnienie zarządzania polityką i przekształcenie surowych raportów XML w użyteczne informacje. Jeśli chcesz łatwiejszej i bezpieczniejszej drogi do egzekwowania DMARC, nasza platforma została zaprojektowana tak, aby wspierać Cię na każdym kroku.

Skontaktuj się z nami już dziś, aby wdrożyć politykę DMARC i łatwo monitorować wyniki!

Często zadawane pytania (FAQ)

Jaka jest domyślna polityka DMARC?

Zgodność z DMARC można sprawdzić przeglądając raporty DMARC i potwierdzając, że wiadomości e-mail przechodzą wyrównanie SPF i DKIM. Jeśli korzystasz z platformy z pulpitem raportowania, takiej jak PowerDMARC, możesz wyświetlić status uwierzytelnienia swojej domeny i sprawdzić, czy Twoje wiadomości spełniają wymagania DMARC.

Która polityka DMARC jest najlepsza?

Najlepszą polityką dla maksymalnego bezpieczeństwa jest p=reject, ponieważ blokuje ona wszystkie nieautoryzowane wiadomości e-mail.

Najlepszą strategią jest jednak wdrażanie jej etapami:

1. Zacznij od p=none, aby monitorować raporty bez wpływu na dostarczalność.
2. Przenieś do p=kwarantanna, aby wysyłać do spamu wiadomości e-mail, które nie powiodły się.
3. Zakończ z p=reject tylko wtedy, gdy jesteś gotowy (tj. tylko wtedy, gdy masz pewność, że wszystkie legalne wiadomości e-mail są poprawnie skonfigurowane).

Jak naprawić politykę DMARC?

Możesz ręcznie naprawić swoją politykę, wchodząc do zarządzania DNS. Po wejściu należy edytować rekord DMARC TXT. Prostszym rozwiązaniem jest skorzystanie z naszego hostowanego rozwiązania, aby wprowadzić zmiany w polityce za pomocą jednego kliknięcia.

Której polityki DMARC można użyć, aby nie akceptować wiadomości e-mail, jeśli wiadomość nie przejdzie pomyślnie kontroli DMARC?

Aby odrzucić wiadomość e-mail, która nie przejdzie kontroli DMARC, należy użyć polityki p=reject.

Polityka ta wyraźnie nakazuje serwerom odbierającym pocztę e-mail całkowite zablokowanie i całkowitą odmowę dostarczenia jakiejkolwiek wiadomości, która nie przejdzie uwierzytelnienia DMARC. Wiadomość e-mail nie pojawi się w skrzynce odbiorczej odbiorcy, ani nawet w jego folderze spamu. Jeśli nadal chcesz wysłać wiadomość e-mail do folderu spamu lub śmieci, możesz użyć p=kwarantanna.

• O
• Latest Posts

Maitham Al Lawati

Ekspert ds. cyberbezpieczeństwa, CEO w PowerDMARC

Maitham jest przedsiębiorcą technologicznym, ekspertem ds. cyberbezpieczeństwa, dyrektorem generalnym i założycielem PowerDMARC z ponad 15-letnim doświadczeniem w branży. Maitham posiada tytuł Global MBA Uniwersytetu w Manchesterze oraz różne certyfikaty zawodowe, w tym CISSP, CISM, CRISC i ISC2 CCSP.

Najnowsze posty autorstwa Maitham Al Lawati (zobacz wszystkie)

• Statystyki dotyczące phishingu e-mailowego i DMARC: trendy w zakresie bezpieczeństwa poczty elektronicznej w 2026 r. – 6 stycznia 2026 r.
• Jak naprawić błąd „Nie znaleziono rekordu SPF” w 2026 r. – 3 stycznia 2026 r.
• Błąd SPF Permerror: co oznacza i jak go naprawić – 24 grudnia 2025 r.