Kontakt

DMARC – co to jest, jak skonfigurować i dlaczego Twoje maile lądują w spamie bez niego

DMARC (Domain-based Message Authentication, Reporting & Conformance) to mechanizm ochrony email, który mówi serwerom odbiorczym co robić z mailami, które nie przeszły weryfikacji SPF i DKIM. Bez DMARC: ktoś może wysyłać maile „z Twojej domeny” (spoofing) i serwer odbiorcy nie wie czy to prawdziwy mail czy fałszywy. Z DMARC: mówisz „jeśli mail z mojej domeny nie przejdzie SPF/DKIM – odrzuć go lub wrzuć do spamu”.

SPF + DKIM + DMARC – trójca bezpieczeństwa email

DMARC nie działa sam – jest nadbudówką nad SPF i DKIM. Trzy mechanizmy razem tworzą kompletną ochronę:

Mechanizm Co robi Rekord DNS
SPF Określa które serwery mogą wysyłać email z Twojej domeny TXT: v=spf1 include:_spf.google.com ~all
DKIM Podpis kryptograficzny – dowodzi, że mail nie został zmodyfikowany w drodze TXT: google._domainkey.firma.pl z kluczem publicznym
DMARC Polityka: co robić gdy SPF/DKIM nie przejdą + raporty TXT: _dmarc.firma.pl

Analogia: SPF to lista osób uprawnionych do wysyłania paczek w Twoim imieniu. DKIM to pieczęć lakowa potwierdzająca, że paczka nie była otwierana. DMARC to instrukcja: „jeśli paczka nie ma pieczęci lub nadawca nie jest na liście – odrzuć ją”.

Dlaczego DMARC jest ważny

Od lutego 2024 Gmail i Yahoo wymagają DMARC od nadawców masowych (5000+ maili dziennie). Od 2025 roku wymagania rozszerzyły się – nawet mali nadawcy bez DMARC mają problemy z dostarczalnością. Bez DMARC:

  • Twoje maile lądują w spamie – Gmail, Outlook, Yahoo obniżają reputację domen bez DMARC
  • Ktoś może spoofować Twoją domenę – wysyłać phishing „z Twojego adresu” (np. faktura@twojafirma.pl z fałszywego serwera)
  • Brak raportów – nie wiesz kto wysyła maile z Twojej domeny (legalnie i nielegalnie)

Jak skonfigurować DMARC – krok po kroku

Krok 1 – upewnij się że masz SPF i DKIM

DMARC wymaga działającego SPF i/lub DKIM. Sprawdź:

# Sprawdź SPF
dig firma.pl TXT | grep spf

# Sprawdź DKIM (przykład dla Google)
dig google._domainkey.firma.pl TXT

Jeśli nie masz: skonfiguruj najpierw SPF (dodaj rekord TXT z listą serwerów) i DKIM (wygeneruj klucz w panelu poczty → dodaj rekord TXT). Większość dostawców (Google Workspace, Microsoft 365, hosting) ma instrukcje krok po kroku.

Krok 2 – dodaj rekord DMARC w DNS

Dodaj rekord TXT w DNS domeny:

Pole Wartość
Typ TXT
Nazwa / Host _dmarc
Wartość v=DMARC1; p=none; rua=mailto:dmarc@firma.pl
TTL 3600

Zaczynaj od p=none (monitoring) – nie od p=reject. Polityka none nie blokuje żadnych maili – tylko zbiera raporty. Dzięki temu zobaczysz kto wysyła maile z Twojej domeny (legalnie: Twój serwer, Google, SendGrid; nielegalnie: spamerzy) zanim zaczniesz blokować.

Krok 3 – analizuj raporty (2–4 tygodnie)

DMARC wysyła raporty XML na adres z rua= (np. dmarc@firma.pl). Raporty są w formacie XML – nieczytelne dla człowieka. Użyj narzędzia do analizy:

  • DMARC Analyzer (dmarcanalyzer.com) – darmowy plan na 1 domenę
  • Postmark DMARC (dmarc.postmarkapp.com) – darmowy, cotygodniowy raport na email (czytelny!)
  • MXToolbox (mxtoolbox.com) – darmowa analiza DMARC
  • Google Postmaster Tools ��� reputacja domeny w Gmail

Raporty pokażą: ile maili wysłano z Twojej domeny, z jakich serwerów, czy przeszły SPF/DKIM, ile zostało odrzuconych. Po 2–4 tygodniach: wiesz kto legalnie wysyła z Twojej domeny.

Krok 4 – zaostrzaj politykę

Po analizie raportów (i upewnieniu się, że WSZYSTKIE legalne serwery przechodzą SPF+DKIM):

# Etap 2: quarantine (podejrzane → spam)
v=DMARC1; p=quarantine; rua=mailto:dmarc@firma.pl

# Etap 3: reject (podejrzane → odrzucone)
v=DMARC1; p=reject; rua=mailto:dmarc@firma.pl
Polityka Co robi z mailami które nie przeszły Kiedy używać
p=none Nic (tylko raporty) Start – monitoring 2–4 tygodnie
p=quarantine Wrzuca do spamu Po analizie – gdy pewien, że SPF/DKIM OK
p=reject Odrzuca (nie dostarcza wcale) Pełna ochrona – gdy 100% pewien konfiguracji

Nie skacz od razu na p=reject – jeśli masz źle skonfigurowany SPF (np. zapomniana usługa wysyłająca maile w Twoim imieniu – newsletter, CRM, fakturowanie), reject zablokuje Twoje własne legalne maile. Dlatego: none → quarantine → reject, po weryfikacji na każdym etapie.

Przykłady rekordów DMARC

# Monitoring (start)
v=DMARC1; p=none; rua=mailto:dmarc-reports@firma.pl

# Quarantine z raportami
v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@firma.pl; ruf=mailto:dmarc-forensic@firma.pl

# Reject (pełna ochrona)
v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@firma.pl; adkim=s; aspf=s

# Reject z subdomenami
v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc@firma.pl

Parametry:

  • p= — polityka (none/quarantine/reject)
  • rua= — adres na raporty zbiorcze (aggregate)
  • ruf= — adres na raporty forensic (szczegółowe, per mail – nie wszystkie serwery wysyłają)
  • pct= — procent maili objętych polityką (100 = wszystkie, 50 = połowa – do stopniowego wdrażania)
  • adkim= — alignment DKIM: s = strict (domena DKIM = domena From), r = relaxed (subdomena OK)
  • aspf= — alignment SPF: s = strict, r = relaxed
  • sp= — polityka dla subdomen (domyślnie: jak p=)

DMARC a WordPress (WP Mail SMTP)

Jeśli WordPress wysyła maile (formularze, powiadomienia, WooCommerce zamówienia) – te maile też muszą przechodzić SPF/DKIM/DMARC. Domyślna funkcja PHP mail() zwykle nie przechodzi – bo wysyła z serwera hostingu, który nie jest w SPF domeny. Rozwiązanie: skonfiguruj SMTP w WordPress (przez WP Mail SMTP) z serwerem, który jest w SPF (Gmail, hosting SMTP, SendGrid).

Jak sprawdzić czy DMARC działa

  • MXToolbox DMARC Lookup: mxtoolbox.com → DMARC Lookup → wpisz domenę → zobaczysz rekord DMARC i interpretację
  • mail-tester.com: wyślij testowego maila na adres z mail-tester.com → dostaniesz ocenę (SPF, DKIM, DMARC pass/fail)
  • Gmail: otwórz otrzymany mail → trzy kropki → „Show original” → szukaj „DMARC: PASS”
  • dig: dig _dmarc.firma.pl TXT → powinien zwrócić Twój rekord DMARC

Najczęściej zadawane pytania

Czy DMARC jest obowiązkowy?

Formalnie nie (nie ma prawa wymagającego DMARC). Praktycznie tak – od 2024 Gmail i Yahoo wymagają DMARC od nadawców masowych. Nawet mali nadawcy bez DMARC mają gorszą dostarczalność. W 2026: DMARC to standard, nie opcja.

Czy DMARC poprawia dostarczalność maili?

Tak – serwery odbiorcze (Gmail, Outlook, Yahoo) lepiej traktują maile z domen z DMARC (szczególnie p=quarantine lub p=reject). Domena z DMARC reject = „poważny nadawca, dba o bezpieczeństwo” → wyższy trust → mniej spamu.

Czy DMARC chroni przed phishingiem?

Tak – z p=reject maile spoofowane (fałszywe, „z Twojej domeny”) są odrzucane przez serwer odbiorcy. Phisher nie może wysłać maila „z ceo@twojafirma.pl” – serwer odrzuci, bo nie przejdzie SPF/DKIM → DMARC reject. To najskuteczniejsza ochrona przed email spoofingiem.

Ile trwa wdrożenie DMARC?

Dodanie rekordu DNS: 5 minut. Monitoring (p=none): 2–4 tygodnie (zbieranie raportów). Zaostrzenie do p=quarantine: po analizie. Zaostrzenie do p=reject: po kolejnych 2–4 tygodniach. Łącznie: 1–2 miesiące od startu do pełnej ochrony.

Czy DMARC jest darmowy?

Tak – rekord DNS jest darmowy, raporty są darmowe. Narzędzia do analizy raportów: darmowe (Postmark DMARC, MXToolbox) lub płatne z zaawansowanymi dashboardami (DMARC Analyzer, Valimail, dmarcian).

Picture of Tomasz Zieliński
Tomasz Zieliński

Tomasz zajmuje się tematyką SEO, sztucznej inteligencji i automatyzacji pracy w marketingu internetowym. W swoich artykułach analizuje zmiany w algorytmach wyszukiwarek, rozwój narzędzi AI oraz nowe sposoby tworzenia i optymalizacji treści. Interesuje go przede wszystkim to, jak technologia wpływa na codzienną pracę specjalistów SEO, marketerów i twórców internetowych.

Facebook
Twitter
LinkedIn
Pinterest

Najnowsze Wpisy

Śledź nas
Facebook Twitter Youtube Instagram Pinterest
Gotowi na Przyszłość
Podobne Wpisy