Kontakt

DMARC: jak skonfigurować i przestać tracić maile w spamie

DMARC – co to jest, jak skonfigurować i dlaczego Twoje maile lądują w spamie bez niego

DMARC (Domain-based Message Authentication, Reporting and Conformance) to mechanizm ochrony email, który mówi serwerom odbiorczym, co robić z mailami, które nie przeszły weryfikacji SPF i DKIM. Bez DMARC ktoś może wysyłać maile „z twojej domeny” (spoofing), a serwer odbiorcy nie wie, czy mail jest prawdziwy. Z DMARC ustawiasz politykę: „jeśli mail z mojej domeny obleje SPF i DKIM, odrzuć go albo wrzuć do spamu”.

SPF + DKIM + DMARC: trójca bezpieczeństwa email

DMARC nie działa sam, jest nadbudówką nad SPF i DKIM. Trzy mechanizmy razem dają kompletną ochronę:

Mechanizm Co robi Rekord DNS
SPF Określa, które serwery mogą wysyłać mail z twojej domeny TXT: v=spf1 include:_spf.google.com ~all
DKIM Podpis kryptograficzny dowodzący, że mail nie został zmieniony w drodze TXT: google._domainkey.firma.pl z kluczem publicznym
DMARC Polityka: co robić, gdy SPF/DKIM nie przejdą, plus raporty TXT: _dmarc.firma.pl

Analogia, którą sam stosuję u klientów: SPF to lista osób uprawnionych do wysyłania paczek w twoim imieniu. DKIM to pieczęć lakowa potwierdzająca, że paczka nie była otwierana. DMARC to instrukcja: „jeśli paczka nie ma pieczęci albo nadawca nie jest na liście, odrzuć ją”.

Dlaczego DMARC ma znaczenie

Od lutego 2024 Gmail i Yahoo wymagają DMARC od nadawców masowych (5000+ maili dziennie). Od 2025 wymagania rozszerzyły się i nawet mali nadawcy bez DMARC mają problemy z dostarczalnością. Konsekwencje braku:

  • Twoje maile lądują w spamie. Gmail, Outlook, Yahoo obniżają reputację domen bez DMARC.
  • Ktoś może spoofować twoją domenę, wysyłać phishing „z twojego adresu” (np. faktura@twojafirma.pl z fałszywego serwera).
  • Brak raportów. Nie wiesz, kto wysyła maile z twojej domeny (legalnie i nielegalnie).

Konfiguracja krok po kroku

Krok 1: SPF i DKIM muszą działać. DMARC wymaga działającego SPF i/lub DKIM. Sprawdzisz:

# SPF
dig firma.pl TXT | grep spf

# DKIM (Google)
dig google._domainkey.firma.pl TXT

Brak? Najpierw konfigurujesz SPF (rekord TXT z listą serwerów) i DKIM (klucz w panelu poczty plus rekord TXT). Większość dostawców (Google Workspace, Microsoft 365, hosting) ma instrukcje w swoich helpach.

Krok 2: dodaj rekord DMARC. Rekord TXT w DNS:

Pole Wartość
Typ TXT
Nazwa / Host _dmarc
Wartość v=DMARC1; p=none; rua=mailto:dmarc@firma.pl
TTL 3600

Zaczynasz od p=none (monitoring), nie od p=reject. Polityka none nie blokuje żadnych maili, tylko zbiera raporty. Zobaczysz, kto wysyła z twojej domeny: ty, Google, SendGrid, ale też ewentualni spamerzy. Dopiero potem zaostrzasz politykę.

Krok 3: analiza raportów (2-4 tygodnie). DMARC wysyła raporty XML na adres z rua=. XML jest nieczytelny gołym okiem, więc używasz narzędzia:

  • DMARC Analyzer (dmarcanalyzer.com), darmowy plan na 1 domenę
  • Postmark DMARC (dmarc.postmarkapp.com), darmowy, czytelny raport co tydzień na maila. Sam tego używam u klientów, bo daje 80% wartości za 0 zł.
  • MXToolbox (mxtoolbox.com), darmowa analiza
  • Google Postmaster Tools, reputacja w Gmailu

Raporty pokażą: ile maili wysłano, z jakich serwerów, czy przeszły SPF/DKIM, ile zostało odrzuconych. Po 2-4 tygodniach wiesz, kto legalnie wysyła z twojej domeny.

Krok 4: zaostrzaj politykę. Po analizie raportów (i upewnieniu się, że WSZYSTKIE legalne serwery przechodzą SPF i DKIM):

# Etap 2: quarantine (podejrzane → spam)
v=DMARC1; p=quarantine; rua=mailto:dmarc@firma.pl

# Etap 3: reject (podejrzane → odrzucone)
v=DMARC1; p=reject; rua=mailto:dmarc@firma.pl
Polityka Co robi z mailami, które nie przeszły Kiedy używać
p=none Nic (tylko raporty) Start, monitoring 2-4 tygodnie
p=quarantine Wrzuca do spamu Po analizie, kiedy SPF i DKIM są pewne
p=reject Odrzuca, nie dostarcza wcale Pełna ochrona, kiedy 100% pewny konfiguracji

Nie skacz od razu na p=reject. Źle skonfigurowany SPF (np. zapomniana usługa: newsletter, CRM, fakturowanie) i reject zablokuje twoje własne legalne maile. Kolejność: none, quarantine, reject. Z weryfikacją na każdym etapie.

Przykładowe rekordy

# Monitoring (start)
v=DMARC1; p=none; rua=mailto:dmarc-reports@firma.pl

# Quarantine z raportami
v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@firma.pl; ruf=mailto:dmarc-forensic@firma.pl

# Reject (pełna ochrona)
v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@firma.pl; adkim=s; aspf=s

# Reject obejmujący subdomeny
v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc@firma.pl

Parametry:

  • p=: polityka (none/quarantine/reject)
  • rua=: adres na raporty zbiorcze (aggregate)
  • ruf=: adres na raporty forensic (szczegółowe per mail, nie wszystkie serwery wysyłają)
  • pct=: procent maili objętych polityką (100 = wszystkie, 50 = połowa, do stopniowego wdrażania)
  • adkim=: alignment DKIM, s = strict (domena DKIM = domena From), r = relaxed (subdomena OK)
  • aspf=: alignment SPF, s = strict, r = relaxed
  • sp=: polityka dla subdomen (domyślnie taka jak p=)

DMARC a WordPress (WP Mail SMTP)

WordPress wysyła maile (formularze, powiadomienia, WooCommerce). Te maile też muszą przechodzić SPF, DKIM i DMARC. Domyślna funkcja PHP mail() zwykle nie przechodzi, bo idzie z serwera hostingu, którego nie ma w SPF domeny. Rozwiązanie: konfigurujesz SMTP w WordPressie (przez WP Mail SMTP) z serwerem, który jest w SPF (Gmail, SMTP hostingu, SendGrid).

Jak sprawdzić, czy DMARC działa

  • MXToolbox DMARC Lookup: mxtoolbox.com, DMARC Lookup, wpisujesz domenę, widzisz rekord i interpretację.
  • mail-tester.com: wysyłasz testowego maila na podany adres, dostajesz ocenę (SPF, DKIM, DMARC pass/fail).
  • Gmail: otwierasz otrzymanego maila, trzy kropki, „Show original”, szukasz „DMARC: PASS”.
  • dig: dig _dmarc.firma.pl TXT zwróci twój rekord.

Najczęściej zadawane pytania

Czy DMARC jest obowiązkowy

Formalnie nie. Praktycznie tak. Od 2024 Gmail i Yahoo wymagają DMARC od nadawców masowych. Nawet mali nadawcy bez DMARC mają gorszą dostarczalność. W 2026 DMARC to standard, nie opcja.

Czy DMARC poprawia dostarczalność maili

Tak. Serwery odbiorcze (Gmail, Outlook, Yahoo) traktują lepiej maile z domen z DMARC, zwłaszcza w trybie quarantine albo reject. Domena z DMARC reject mówi „poważny nadawca, dba o bezpieczeństwo”, co przekłada się na wyższy trust i mniej trafień do spamu.

Czy DMARC chroni przed phishingiem

Tak, w trybie reject mailie spoofowane „z twojej domeny” są odrzucane przez serwer odbiorcy. Phisher nie może wysłać maila „z ceo@twojafirma.pl” z fałszywego serwera, bo nie przejdzie SPF/DKIM, a DMARC zwróci reject. To najskuteczniejsza obrona przed email spoofingiem, jaką dziś mamy.

Ile trwa wdrożenie

Dodanie rekordu DNS: 5 minut. Monitoring (p=none): 2-4 tygodnie zbierania raportów. Zaostrzenie do quarantine: po analizie. Zaostrzenie do reject: po kolejnych 2-4 tygodniach. Łącznie 1-2 miesiące od startu do pełnej ochrony.

Czy DMARC jest darmowy

Tak. Rekord DNS i raporty są darmowe. Narzędzia do analizy: darmowe (Postmark DMARC, MXToolbox) albo płatne z zaawansowanymi dashboardami (DMARC Analyzer, Valimail, dmarcian).

Picture of Tomasz Zieliński
Tomasz Zieliński

Tomasz zajmuje się tematyką SEO, sztucznej inteligencji i automatyzacji pracy w marketingu internetowym. W swoich artykułach analizuje zmiany w algorytmach wyszukiwarek, rozwój narzędzi AI oraz nowe sposoby tworzenia i optymalizacji treści. Interesuje go przede wszystkim to, jak technologia wpływa na codzienną pracę specjalistów SEO, marketerów i twórców internetowych.

Facebook
Twitter
LinkedIn
Pinterest

Najnowsze Wpisy

Śledź nas
Facebook Twitter Youtube Instagram Pinterest
Gotowi na Przyszłość
Podobne Wpisy