Przejdź do głównej treści
Bezpieczeństwo stron w UE: 10 kroków do lepszej oceny · Część 2

DMARC: Od „none" do „reject" — w trzech krokach

46,8% witryn w UE posiada DMARC, ale 63% ustawia politykę na „none". Dlaczego to nikogo nie chroni i jak zrobić to poprawnie.

· SiteGuardian

Część 2 serii „Bezpieczeństwo stron w UE: 10 kroków do lepszej oceny"

Problem

Ktoś wysyła e-mail z prezes@twoja-domena.pl do Twojego klienta. E-mail zawiera żądanie płatności. Nie pochodzi od Ciebie.

Bez DMARC: Serwer pocztowy odbiorcy nie ma sposobu na zweryfikowanie, czy domena nadawcy jest prawdziwa. E-mail trafia do skrzynki odbiorczej.

Z DMARC ustawionym na reject: Serwer pocztowy sprawdza SPF i DKIM, stwierdza, że e-mail nie jest autoryzowany, i odrzuca go. Wiadomość nigdy nie zostaje doręczona.

46,8% europejskich witryn posiada rekord DMARC. Ale 63% z nich ustawia politykę na none — co oznacza brak egzekwowania. Domena pozostaje podatna na spoofing, jakby DMARC w ogóle nie był skonfigurowany.

Co widzimy w Benchmarku

Z ponad 700 000 europejskich witryn:

  • SPF: 75,7% — większość ma fundament
  • DKIM: 31,1% — mniej niż co trzeci podpisuje swoje e-maile
  • DMARC: 46,8% — ale z tego:
  • policy=none: 63% (tylko monitoring, niczego nie blokuje)
  • policy=quarantine: 17% (kieruje do spamu)
  • policy=reject: 20% (odrzuca wprost — jedyna skuteczna ochrona)

A potem błędy konfiguracyjne: quarantaine, rejet, keiner, brak, beleidsnaam — literówki, które powodują całkowite zignorowanie rekordu. Standard DMARC jest restrykcyjny: pojedyncza literówka w polu polityki i cała konfiguracja jest odrzucana.

Czym jest DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) bazuje na SPF i DKIM:

  1. SPF sprawdza: Czy ten serwer pocztowy jest autoryzowany do wysyłania w imieniu mojej domeny?
  2. DKIM sprawdza: Czy wiadomość została zmieniona w trakcie przesyłania?
  3. DMARC mówi: Co powinno się stać, gdy zarówno SPF jak i DKIM zawodzą?

Bez DMARC każdy serwer pocztowy odbiorcy decyduje samodzielnie. Z DMARC — Ty decydujesz.

Trzy kroki

Krok 1: Ustaw DMARC na none (Dzień 1)

Utwórz rekord TXT dla _dmarc.twoja-domena.pl:

v=DMARC1; p=none; rua=mailto:dmarc-reports@twoja-domena.pl
  • p=none — brak egzekwowania, tylko monitoring
  • rua=mailto:... — serwery odbierające wysyłają tu raporty zbiorcze

Raporty pokazują, kto wysyła e-maile w Twoim imieniu. Często odkryjesz narzędzia newsletterowe, systemy CRM czy usługi zewnętrzne, o których zapomniałeś.

Poczekaj 2-4 tygodnie. Przeanalizuj raporty. Upewnij się, że wszyscy prawidłowi nadawcy są zgodni z SPF lub DKIM.

Krok 2: Eskaluj do quarantine (Tydzień 3-4)

v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc-reports@twoja-domena.pl
  • p=quarantine — nieuwierzytelnione e-maile trafiają do folderu spam
  • pct=10 — tylko 10% e-maili jest tak traktowanych (stopniowe wdrażanie)

Monitoruj raporty. Brak reklamacji? Zwiększ pct do 50, potem do 100.

Krok 3: Eskaluj do reject (Tydzień 5-6)

v=DMARC1; p=reject; rua=mailto:dmarc-reports@twoja-domena.pl

Teraz sfałszowane e-maile są odrzucane wprost. Twoja domena jest chroniona.

SPF i DKIM muszą być poprawne

DMARC działa tylko wtedy, gdy przynajmniej SPF lub DKIM jest poprawnie skonfigurowany:

SPF: Rekord TXT dla twoja-domena.pl z listą wszystkich autoryzowanych serwerów pocztowych:

v=spf1 include:_spf.google.com include:spf.brevo.com -all

Kluczowe jest -all na końcu — oznacza „odrzuć wszystkich innych". ~all (tylda) to softfail i jest często ignorowane.

DKIM: Dostawca poczty generuje parę kluczy. Klucz publiczny jest publikowany jako rekord TXT pod selektor._domainkey.twoja-domena.pl. Zapytaj dostawcę — większość ma instrukcję konfiguracji.

Typowe błędy

1. Zapomnienie o nadawcach zewnętrznych. Platformy newsletterowe (Mailchimp, Brevo), systemy ticketowe (Zendesk, Freshdesk), CRM (HubSpot) — wszystkie wysyłają e-maile w Twoim imieniu. Wszystkie muszą być uwzględnione w rekordzie SPF lub podpisywać się przez DKIM.

2. Ignorowanie subdomen. DMARC domyślnie obejmuje subdomeny. Jeśli marketing.twoja-domena.pl wysyła e-maile, musi być również objęty. Użyj sp=reject dla oddzielnej polityki subdomen.

3. Nieczytanie raportów. Raporty zbiorcze DMARC w formacie XML nie są przyjazne dla człowieka. Użyj bezpłatnego narzędzia do analizy raportów (dmarcian, Postmark DMARC Tool), aby zrozumieć, co się dzieje.

Kontekst regulacyjny

  • NIS2 art. 21 ust. 2 lit. j) wymaga środków zapewniających „bezpieczeństwo łańcucha dostaw" — obejmuje to zabezpieczenie komunikacji e-mailowej z partnerami i dostawcami.
  • RODO art. 32 wymaga „odpowiednich środków technicznych" — spoofing poczty umożliwia phishing, który prowadzi do naruszeń danych.
  • DORA art. 7 wymaga od sektora finansowego identyfikacji i klasyfikacji wszystkich ryzyk ICT — ataki oparte na e-mailach należą do najczęstszych.

Sprawdź swoją domenę

SiteGuardian sprawdza SPF, DKIM, DMARC, STARTTLS i MTA-STS w jednym skanie — i pokazuje nie tylko, czy rekordy istnieją, ale czy faktycznie działają:

https://siteguardian.io/scan

W następnym tygodniu w części 3: Content Security Policy — najskuteczniejsza obrona przed XSS, której brakuje na 89% witryn w UE.

Ten artykuł jest częścią serii „Bezpieczeństwo stron w UE: 10 kroków do lepszej oceny". Dane z SiteGuardian EU Web Security Benchmark obejmującego ponad 700 000 europejskich witryn.

Jak wypada Twoja strona na tle innych?

SiteGuardian skanuje Twoją domenę w sześciu wymiarach bezpieczeństwa — za darmo, natychmiast, bez rejestracji.

Zeskanuj swoją stronę

Bezpieczeństwo stron w UE: 10 kroków do lepszej oceny

Ten artykuł jest częścią cotygodniowej serii o najlepszych praktykach bezpieczeństwa stron WWW w UE.

SiteGuardian

2026-04-20

RSS