Co to jest DMARC i jak chroni Twoją domenę? Kompletny poradnik

Masz już skonfigurowane SPF i DKIM to świetnie, ale ani SPF, ani DKIM nie mówią serwerom pocztowym odbiorców, co zrobić z wiadomościami, które nie przeszły weryfikacji. Wysłać do spamu? Odrzucić? Dostarczyć mimo wszystko? Tę lukę wypełnia DMARC.

DMARC (Domain-based Message Authentication, Reporting and Conformance) to polityka, którą właściciel domeny publikuje w DNS, informując serwery pocztowe całego świata, jak postępować z wiadomościami podającymi się za nadawcę z tej domeny, ale niespełniającymi weryfikacji SPF lub DKIM. DMARC to też system raportowania, który daje wgląd w to, kto i skąd wysyła e-maile w imieniu Twojej domeny.

Jak DMARC uzupełnia SPF i DKIM?

SPF weryfikuje adres IP serwera wysyłającego. DKIM weryfikuje podpis kryptograficzny wiadomości. Oba mechanizmy działają niezależnie i oba mają swoje słabości.

Kluczowa słabość SPF i DKIM bez DMARC: nawet jeśli wiadomość nie przejdzie weryfikacji SPF lub DKIM, serwer pocztowy odbiorcy nie ma obowiązku jej odrzucić. Może ją dostarczyć do skrzynki, może przenieść do spamu, wówczas decyzja należy do serwera odbiorcy i jest nieprzewidywalna.

DMARC rozwiązuje ten problem w dwóch wymiarach:

  • Polityka — właściciel domeny deklaruje, co zrobić z wiadomościami niespełniającymi weryfikacji: nic, spam lub odrzucenie.
  • Wyrównanie (alignment) — DMARC wymaga, żeby domena w polu From: widocznym dla użytkownika zgadzała się z domeną weryfikowaną przez SPF lub DKIM. To zamyka lukę, przez którą atakujący mógł spełnić SPF/DKIM dla jednej domeny, ale pokazywać inną w polu From.

Jak wygląda rekord DMARC?

Rekord DMARC to wpis TXT w DNS pod adresem _dmarc.twojadomena.pl. Przykłady:

Minimalny rekord DMARC (tryb monitorowania):

_dmarc.twojadomena.pl.    IN    TXT    "v=DMARC1; p=none; rua=mailto:dmarc-raporty@twojadomena.pl"

Rekord z polityką kwarantanny:

_dmarc.twojadomena.pl.    IN    TXT    "v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc-raporty@twojadomena.pl; ruf=mailto:dmarc-forensic@twojadomena.pl"

Rekord z polityką odrzucenia (docelowa konfiguracja):

_dmarc.twojadomena.pl.    IN    TXT    "v=DMARC1; p=reject; rua=mailto:dmarc-raporty@twojadomena.pl"

Co oznaczają poszczególne tagi DMARC?

Wymagane tagi

  • v=DMARC1 — wersja protokołu. Zawsze DMARC1.
  • p= — polityka dla wiadomości niespełniających weryfikacji:
    • none — nie podejmuj żadnych działań, tylko raportuj. Tryb monitorowania.
    • quarantine — przenieś do spamu/kwarantanny.
    • reject — odrzuć wiadomość. Najsilniejsza ochrona.

Opcjonalne tagi

  • rua=mailto:adres@domena.pl — adres do wysyłania zbiorczych raportów DMARC (Aggregate Reports). Raporty przychodzą codziennie w formacie XML od każdego serwera pocztowego, który przetwarzał wiadomości z Twojej domeny.
  • ruf=mailto:adres@domena.pl — adres do raportów forensycznych (Failure Reports), szczegółowych danych o konkretnych wiadomościach, które nie przeszły weryfikacji. Nie wszyscy dostawcy je wysyłają.
  • pct= — procent wiadomości, do których stosowana jest polityka (1–100). Domyślnie 100. Wartość np. pct=25 stosuje politykę tylko do 25% wiadomości — przydatne przy stopniowym zaostrzaniu.
  • sp= — polityka dla subdomen (jeśli nie jest podana, subdomeny dziedziczą politykę p).
  • adkim= — tryb wyrównania DKIM: r (relaxed, domyślny) lub s (strict). W trybie relaxed subdomena domeny nadawcy jest akceptowana.
  • aspf= — tryb wyrównania SPF: r (relaxed, domyślny) lub s (strict).

Jak wdrożyć DMARC bezpiecznie — strategia etapowa

Wdrożenie DMARC z polityką reject od razu to ryzyko, że możesz zablokować legalne wiadomości z serwerów, których nie przewidziałeś w SPF lub DKIM. Rekomendowane podejście to trzystopniowy proces.

Etap 1 — monitorowanie (p=none)

Zacznij od polityki none z adresem raportowym:

"v=DMARC1; p=none; rua=mailto:dmarc@twojadomena.pl"

W tym trybie DMARC nie wpływa na dostarczalność żadnych wiadomości. Zbierasz raporty przez 2–4 tygodnie i analizujesz, skąd przychodzą e-maile podające Twoją domenę jako nadawcę. Raporty XML możesz analizować narzędziami takimi jak Dmarcian, Postmark DMARC, Valimail lub Google Postmaster Tools.

Etap 2 — kwarantanna (p=quarantine)

Gdy masz pewność, że SPF i DKIM pokrywają wszystkie legalne serwery wysyłające, przejdź na quarantine. Możesz zacząć od niskiego pct:

"v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc@twojadomena.pl"

Stopniowo zwiększaj pct (25 → 50 → 100), monitorując raporty pod kątem fałszywych pozytywnych. Na tym etapie wiadomości niespełniające weryfikacji trafiają do folderu spam.

Etap 3 — odrzucenie (p=reject)

Docelowa konfiguracja, czyli wiadomości niespełniające weryfikacji są odrzucane przez serwery pocztowe odbiorców:

"v=DMARC1; p=reject; rua=mailto:dmarc@twojadomena.pl"

Na tym etapie Twoja domena jest w pełni chroniona przed spoofingiem, a fałszywe wiadomości „od Ciebie" nie dotrą do odbiorców.

Jak analizować raporty DMARC?

Raporty DMARC (format XML) mogą wyglądać przytłaczająco. Na szczęście istnieją narzędzia, które przetwarzają je na czytelne dashboardy:

  • Dmarcian (dmarcian.com) — popularna platforma do analizy raportów DMARC z darmowym planem dla małych domen.
  • Postmark DMARC Digests — bezpłatna usługa wysyłająca cotygodniowy podsumowujący e-mail z najważniejszymi danymi z raportów.
  • Google Postmaster Tools (postmaster.google.com) — dashboard dla domen wysyłających dużo e-maili do Gmail. Pokazuje reputację IP, wyniki uwierzytelniania i dostarczalność.
  • MXToolbox DMARC Analyzer — bezpłatne podstawowe narzędzie do analizy rekordów i raportów DMARC.

W raportach szukaj przede wszystkim: wiadomości z autoryzowanych serwerów, które nie przeszły DMARC (oznacza błąd w SPF lub DKIM do naprawienia) oraz wiadomości z nieznanych serwerów podających Twoją domenę jako nadawcę (oznacza próby spoofingu lub zapomniane narzędzie marketingowe).

DMARC a wymagania Gmail i Yahoo

Od początku 2024 roku Google i Yahoo wymagają DMARC dla nadawców wysyłających ponad 5 000 wiadomości dziennie do ich użytkowników. Wymagana minimalna konfiguracja to p=none. Samo istnienie rekordu DMARC jest wymogiem, niezależnie od polityki.

Dla wszystkich nadawców (niezależnie od wolumenu) Google i Yahoo wymagają też SPF lub DKIM. W praktyce oznacza to, że brak DMARC może skutkować problemami z dostarczalnością do skrzynek Gmail i Yahoo, nawet jeśli wysyłasz mało wiadomości.

Kompletna konfiguracja uwierzytelniania poczty — SPF, DKIM i DMARC — to dziś standard dla każdej profesjonalnej poczty biznesowej. Bez tych trzech elementów e-maile z domeny firmowej są traktowane jako podejrzane przez coraz więcej serwerów pocztowych.

Typowe problemy po wdrożeniu DMARC

Legalne e-maile trafiają do spamu po zmianie na quarantine lub reject

Przyczyna: któreś narzędzie (system CRM, platforma mailingowa, aplikacja) wysyła e-maile w imieniu Twojej domeny i nie ma skonfigurowanego SPF ani DKIM dla tej domeny. Rozwiązanie: wróć do p=none, przeanalizuj raporty i zidentyfikuj źródło, a następnie skonfiguruj SPF i DKIM dla tego narzędzia.

Brak raportów DMARC

Sprawdź, czy adres e-mail w rua= jest poprawny i czy domena w tym adresie jest tą samą domeną lub ma opublikowany rekord DMARC autoryzujący przyjmowanie raportów dla innej domeny (wymagane przez standard, gdy adres raportowy jest w innej domenie niż monitorowana).

DMARC fail mimo poprawnego SPF i DKIM

Może to wynikać z braku wyrównania (alignment). Domena w polu From: różni się od domeny weryfikowanej przez SPF lub DKIM. Sprawdź tryb wyrównania (aspf i adkim) i upewnij się, że Twój serwer pocztowy używa właściwej domeny w podpisie DKIM.

Bezpieczny hosting z właściwie skonfigurowaną infrastrukturą pocztową ułatwia wdrożenie DMARC. Zwłaszcza gdy serwer pocztowy hostingu automatycznie konfiguruje SPF i DKIM dla obsługiwanych domen. W razie problemów z konfigurację poczty, profesjonalna opieka WordPress obejmuje audyt i poprawną konfigurację całego stosu uwierzytelniania poczty. Przed każdą zmianą polityki DMARC warto mieć aktualną kopię zapasową konfiguracji DNS.

Podsumowanie

DMARC to ostatni i najważniejszy element trójki SPF + DKIM + DMARC. Bez niego SPF i DKIM chronią przed spoofingiem tylko częściowo — DMARC zamienia te mechanizmy w egzekwowalną politykę. Wdrażaj DMARC etapami: zacznij od p=none i zbierz raporty, następnie przejdź przez quarantine do reject. Cały proces zajmuje 4–8 tygodni, ale efekt — pełna ochrona domeny przed phishingiem i spoofingiem — jest trwały i działa automatycznie.