Każdego dnia miliony e-maili są wysyłane w imieniu firm, które nigdy ich nie autoryzowały — to phishing i spoofing domeny. Mechanizm DMARC (Domain-based Message Authentication, Reporting & Conformance) pozwala właścicielowi domeny powiedzieć serwerom odbiorczym: „Jeśli wiadomość nie przeszła weryfikacji SPF lub DKIM — zrób z nią to i to." Problem w tym, że zbyt agresywne wdrożenie od razu polityki dmarc reject potrafi zablokować własną pocztę. Ten poradnik pokazuje, jak przejść przez wszystkie trzy etapy bezpiecznie, z głową i bez przestojów.
Czym jest polityka DMARC i dlaczego liczy się kolejność
DMARC to standard opisany w RFC 7489, który łączy wyniki weryfikacji SPF i DKIM z instrukcją dla serwera odbiorczego. Polityka (pole p= w rekordzie TXT) może przyjąć jedną z trzech wartości: none, quarantine lub reject. Każda kolejna jest bardziej restrykcyjna.
Przeskoczenie od razu do p=reject bez wcześniejszego monitorowania raportów to klasyczny błąd. Skutek? Legalne wiadomości — np. wysyłane przez zewnętrzny system CRM, platformę mailingową lub forwarding skrzynek — lądują w koszu albo są odrzucane w ogóle. Progresywne wdrożenie DMARC eliminuje to ryzyko, bo najpierw zbierasz dane, a dopiero potem działasz.
Etap 1 — Polityka none: obserwuj, nie blokuj
Rekord z p=none nakazuje serwerom odbiorczym: „Nie rób nic z wiadomościami, które nie przeszły weryfikacji — ale wyślij mi raport." To tryb czysto diagnostyczny. Twoja poczta działa dokładnie tak samo jak przed wdrożeniem DMARC.
Jak wygląda rekord DNS na tym etapie
Dodaj rekord TXT do swojej domeny (np. w panelu rejestratora lub serwera DNS). Nazwa rekordu to zawsze _dmarc.twojadomena.pl.
Przykład rekordu — etap none:
v=DMARC1; p=none; rua=mailto:dmarc-raporty@twojadomena.pl; ruf=mailto:dmarc-forensic@twojadomena.pl; fo=1; adkim=r; aspf=r;
- rua — adres, na który trafiają zagregowane raporty XML (codziennie od każdego dużego dostawcy).
- ruf — adres raportów forensycznych (szczegółowych, dla pojedynczych wiadomości); nie wszyscy dostawcy je wysyłają.
- fo=1 — generuj raport forensyczny, gdy SPF lub DKIM nie przejdzie (najbardziej szczegółowy tryb).
- adkim=r / aspf=r — tryb relaxed dla dopasowania DKIM i SPF (zalecany na start).
Co robić przez pierwsze 2–4 tygodnie
Zbieraj i analizuj raporty rua. Surowe pliki XML są mało czytelne — warto użyć narzędzia do ich parsowania (np. DMARC Analyzer, dmarcian lub otwartoźródłowego parsera). Szukasz odpowiedzi na trzy pytania:
- Które źródła IP wysyłają maile w imieniu Twojej domeny?
- Które z nich przechodzą weryfikację SPF i DKIM, a które nie?
- Czy są systemy (CRM, helpdesk, platforma mailingowa), których jeszcze nie skonfigurowałeś pod kątem SPF/DKIM?
Dopóki raporty pokazują nieautoryzowane lub nieskonfigurowane źródła — zostań na p=none i poprawiaj SPF oraz DKIM dla każdego z nich. Przejście dalej bez czystych raportów to przepis na kłopoty.
Checklist przed przejściem do etapu 2
- ☑ Rekord SPF zawiera wszystkie serwery i usługi wysyłające maile w Twojej domenie.
- ☑ Każda usługa (własny SMTP, platforma mailingowa, CRM) ma skonfigurowany DKIM.
- ☑ Raporty DMARC przez co najmniej 14 dni pokazują >95% wiadomości z wynikiem pass.
- ☑ Zidentyfikowałeś i wykluczyłeś lub naprawiłeś forwarding (aliasy skrzynek mogą łamać SPF).
Etap 2 — Polityka quarantine: wiadomości trafiają do spamu
Gdy raporty wyglądają czysto, czas na dmarc quarantine. Serwery odbiorcze zaczną kierować wiadomości, które nie przeszły weryfikacji, do folderu spam/kwarantanna zamiast do skrzynki odbiorczej. Legalne wiadomości, które poprawnie podpisałeś DKIM i uwzględniłeś w SPF, nie odczują żadnej różnicy.
Rekord DNS na etapie quarantine
v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc-raporty@twojadomena.pl; ruf=mailto:dmarc-forensic@twojadomena.pl; fo=1; adkim=r; aspf=r;
Zwróć uwagę na parametr pct=10. Oznacza on, że polityka quarantine dotyczy tylko 10% wiadomości niespełniających wymagań — reszta jest traktowana jak przy p=none. To świetny mechanizm stopniowego zwiększania zasięgu: zacznij od 10%, po tygodniu przejdź na 25%, potem 50%, 75% i wreszcie 100%. Każdy krok poprzedź analizą raportów.
Na co uważać w tym etapie
Główne ryzyko to forwarding e-maili. Gdy skrzynka A przekazuje wiadomość do skrzynki B, SPF dla domeny nadawcy często odpada (bo IP serwera przekazującego nie jest w SPF nadawcy). Rozwiązaniem jest upewnienie się, że DKIM jest poprawnie skonfigurowany — DKIM przeżywa forwarding, o ile treść wiadomości nie jest modyfikowana. Jeśli masz aliasy lub przekierowania, przetestuj je koniecznie przed podniesieniem pct do 100%.
Monitoruj raporty co kilka dni. Jeśli widzisz, że do kwarantanny trafiają wiadomości z Twoich własnych systemów — zatrzymaj się, znajdź źródło problemu i napraw je, zanim pójdziesz dalej.
Checklist przed przejściem do etapu 3
- ☑ Przez co najmniej 2 tygodnie przy
pct=100raporty nie pokazują fałszywych trafień (legalne maile w kwarantannie). - ☑ Wszystkie systemy wysyłające maile w imieniu domeny mają działający DKIM.
- ☑ Forwarding i aliasy są obsłużone (SRS lub wyłączony forwarding SPF-zależny).
- ☑ Masz skonfigurowany monitoring alertów na skrzynce
rua.
Etap 3 — Polityka reject: pełna ochrona domeny
Polityka dmarc reject to cel całego procesu. Serwery odbiorcze będą odrzucać (nie dostarczać w ogóle) wiadomości, które nie przeszły weryfikacji DMARC. Phisher podszywający się pod Twoją domenę dostanie twarde odrzucenie — jego mail nie dotrze do odbiorcy.
Rekord DNS na etapie reject
v=DMARC1; p=reject; rua=mailto:dmarc-raporty@twojadomena.pl; ruf=mailto:dmarc-forensic@twojadomena.pl; fo=1; adkim=r; aspf=r;
Możesz też tu zastosować pct= i dochodzić do 100% stopniowo, analogicznie jak przy quarantine. W praktyce, jeśli etap quarantine przeszedł bez problemów przy pełnych 100%, można od razu ustawić reject bez pct (domyślnie oznacza 100%).
Czy reject to koniec pracy?
Nie — to początek regularnego monitorowania. Raporty rua nadal będą przychodzić i nadal warto je czytać. Każda nowa usługa wysyłająca maile w imieniu Twojej domeny (nowy CRM, nowa platforma, nowy dostawca transakcyjny) musi być najpierw skonfigurowana pod kątem SPF i DKIM, zanim zaczniesz jej używać. Przy polityce reject błąd konfiguracji = zablokowane wiadomości.
Tabela porównawcza trzech polityk DMARC
| Polityka | Co się dzieje z nieautoryzowaną wiadomością | Raporty | Ryzyko blokady własnych maili |
|---|---|---|---|
| none | Dostarczana normalnie, brak akcji | Tak (rua + ruf) | Brak |
| quarantine | Trafia do folderu spam/kwarantanna | Tak (rua + ruf) | Niskie (przy poprawnej konfiguracji) |
| reject | Odrzucana przez serwer odbiorczy (bounce) | Tak (rua + ruf) | Wysokie przy błędnej konfiguracji SPF/DKIM |
Najczęstsze błędy przy wdrożeniu DMARC
1. Zbyt szybkie przejście do reject
Firmy, które pomijają etap none lub skracają go do kilku dni, często nie zdają sobie sprawy, że mają dziesiątki niezidentyfikowanych systemów wysyłających maile w ich imieniu. Efekt: tysiące zablokowanych wiadomości transakcyjnych lub sprzedażowych.
2. Niekompletny rekord SPF
SPF ma limit 10 zapytań DNS (mechanizmy include: też się liczą). Przekroczenie go powoduje błąd PermError, który DMARC traktuje jak niepowodzenie SPF. Regularnie audytuj swój rekord SPF — szczególnie po dodaniu nowych usług.
3. Ignorowanie raportów forensycznych
Raporty ruf zawierają szczegóły konkretnych wiadomości, które nie przeszły weryfikacji. To kopalnia wiedzy o próbach phishingu oraz — co ważniejsze — o własnych błędach konfiguracyjnych. Nie ignoruj ich.
4. Brak polityki dla subdomen
Parametr sp= (subdomain policy) pozwala osobno zdefiniować politykę dla subdomen. Jeśli go pominiesz, subdomeny dziedziczą politykę domeny głównej. Jeśli wysyłasz maile z subdomen (np. newsletter.twojadomena.pl), upewnij się, że mają własne rekordy DMARC lub świadomie zarządzasz dziedziczeniem.
5. Jeden rekord DMARC dla wielu domen
Każda domena wymaga własnego rekordu _dmarc.twojadomena.pl. Nie ma mechanizmu globalnego — jeśli obsługujesz kilka domen firmowych, każdą prowadź przez pełny cykl none → quarantine → reject osobno.
DMARC a RODO i bezpieczeństwo danych
Raporty forensyczne (ruf) mogą zawierać fragmenty treści wiadomości e-mail, w tym dane osobowe nadawców lub odbiorców. Zgodnie z art. 5 ust. 1 lit. f RODO (zasada integralności i poufności) oraz art. 32 RODO (bezpieczeństwo przetwarzania), adres skrzynki odbiorczej dla raportów forensycznych powinien być odpowiednio zabezpieczony — dostęp tylko dla upoważnionych osób, skrzynka na własnej, zaufanej infrastrukturze. Z tego powodu część organizacji decyduje się w ogóle nie konfigurować ruf i opierać się wyłącznie na zagregowanych raportach rua, które nie zawierają danych osobowych.
Jeśli korzystasz z narzędzia do wysyłki mailingów opartego na własnych skrzynkach SMTP — tak jak umożliwia to MailerPRO — masz pełną kontrolę nad konfiguracją DKIM i SPF dla każdej domeny nadawczej. To kluczowy element, bez którego wdrożenie DMARC na poziomie quarantine lub reject jest niemożliwe bez ryzyka blokady własnych kampanii.
Harmonogram wdrożenia DMARC — przykładowy plan 10 tygodni
| Tydzień | Działanie | Polityka / pct |
|---|---|---|
| 1–2 | Wdrożenie rekordu none, konfiguracja skrzynki rua/ruf, audyt SPF i DKIM | p=none |
| 3–4 | Analiza raportów, naprawa brakujących konfiguracji SPF/DKIM | p=none |
| 5 | Przejście na quarantine, start od 10% | p=quarantine; pct=10 |
| 6 | Zwiększenie do 50%, analiza raportów | p=quarantine; pct=50 |
| 7 | Pełna polityka quarantine | p=quarantine; pct=100 |
| 8 | Przejście na reject, start od 10% | p=reject; pct=10 |
| 9 | Zwiększenie do 50%, analiza raportów | p=reject; pct=50 |
| 10 | Pełna polityka reject, stały monitoring raportów | p=reject; pct=100 |
Progresywne wdrożenie DMARC to nie biurokracja — to jedyna metoda, która pozwala osiągnąć pełną ochronę domeny bez ryzyka zablokowania własnej korespondencji. Zacznij dziś od dodania rekordu p=none i skonfigurowania skrzynki na raporty. Dwa tygodnie obserwacji dadzą Ci więcej wiedzy o własnej infrastrukturze pocztowej niż jakikolwiek audyt z zewnątrz. Gdy raporty będą czyste — ruszaj dalej. Każdy krok ku dmarc reject to krok, po którym phisher podszywający się pod Twoją markę dostaje twarde „nie".
📨 Wypróbuj Mailer PRO
Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.
Zobacz cennik Jak to działa
