Podstawy8 min czytania

Jak skonfigurować DMARC krok po kroku

DMARC to niezbędny standard dla każdego, kto wysyła maile masowo. W tym poradniku przejdziemy przez każdy etap konfiguracji — od bezpiecznego startu z p=none aż do pełnej ochrony p=reject.

DMARC (Domain-based Message Authentication, Reporting and Conformance) chroni Twoją domenę przed podrabianiem i ustanawia wiarygodność wysyłanego maila. Jeśli go nie masz — dostawcy, zwłaszcza Gmail i Yahoo, nie mogą w pełni zaufać Twoim wiadomościom. W tym poradniku przejdziemy przez każdy etap konfiguracji, od bezpiecznego startu z p=none aż do ochrony p=reject, aby Twoja domena była w pełni zabezpieczona.

Co to TXT-rekord DMARC?

DMARC działa poprzez rekord TXT umieszczony w DNS Twojej domeny pod adresem _dmarc.twojadomena.pl. Ten rekord zawiera polecenia dla serwerów pocztowych: co robić z wiadomościami, które nie przejdą uwierzytelniania SPF lub DKIM, oraz gdzie wysyłać raporty o wynikach.

Najprostszy rekord wygląda tak:

v=DMARC1; p=none; rua=mailto:dmarc-reports@twojadomena.pl

Każdy parametr ma znaczenie: v oznacza wersję, p to polityka (co robić z maili które nie przejdą DMARC), rua to adres na który wysyłać zagregowane raporty o wynikach.

Krok 1 — Rozpoczęcie z p=none (monitoring bez blokowania)

Zawsze zacznij od p=none. Ta polityka mówi serwerom pocztowym: "Sprawdzaj alignment SPF/DKIM, zbieraj statystyki, ale nie blokuj maili ani nie wysyłaj ich do spamu". To bezpieczny start — nie ryzykujesz utratę dostawy.

Ustaw rekord w panelu DNS:

v=DMARC1; p=none; rua=mailto:dmarc-reports@twojadomena.pl; fo=1

Parametr fo=1 oznacza, że chcesz raport nawet dla pojedynczej porażki — ważne na początkowym etapie, żeby mieć pełny obraz.

Wdróż ten rekord i czekaj ~2 tygodnie. Podczas tego czasu wysyłaj normalne maile — testowe kampanie, powiadomienia transakcyjne. Dostawcy będą zbierać dane o tym, które Twoje źródła SMTP przechodzą alignment SPF/DKIM, a które nie.

Krok 2 — Monitorowanie raportów RUA i alignmentu

Po 2–3 dniach powinny zacząć przychodzić raporty RUA na adres podany w konfiguracji. Otwórz je — to będą pliki XML lub agregowane wiadomości. Szukaj informacji o:

  • dkim pass / fail — czy serwery mogły zweryfikować podpis DKIM
  • spf pass / fail — czy serwery mogły zatwierdzić SPF alignment
  • policy_evaluated align — czy FROM header domain dopasowuje się do DKIM/SPF domain

Główne rzeczy do zweryfikowania: Czy prawie wszystkie Twoje maile przychodzą z pass dla SPF i DKIM? Czy alignment (czy FROM domain dopasowuje się do DKIM/SPF domain) jest konsekwentnie pozytywny? Czy widać nieznane Ci źródła wysyłające od Twojej domeny (to mogłoby być podrabiane)?

Jeśli widzisz dużo fail'ów — to często trzecie usługi (np. usługi do wysyłania newsletterów, narzędzia CRM) które nie są poprawnie skonfigurowane. To właśnie czemu p=none jest ważny — możesz znaleźć te problemy bez blokowania maili.

v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; ruf=mailto:forensics@example.com; fo=1; aspf=r; adkim=rWersja DMARC, zawsze DMARC1Polityka: none (monitoring), quarantine (spam), reject (odrzuć)Wysłanie raportu dla każdej porażki (ważne na etapie testowania)Relaksacja SPF alignment (r=relaxed, s=strict)Relaksacja DKIM alignment (r=relaxed, s=strict)
Struktura TXT-rekordu DMARC z kluczowymi parametrami

Krok 3 — Przejście na p=quarantine

Gdy alignment jest stabilnie powyżej 95–98% dla Twoich znanych źródeł (i w raportach nie widzisz niespodziewanych bloków), możesz zmienić politykę:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@twojadomena.pl

p=quarantine mówi: "Wiadomości które nie przejdą DMARC-a, wyślij do folderu Spam/Junk zamiast do Inbox'u, ale nie odrzucaj całkowicie". To dobry punkt przejściowy — wciąż możesz odzyskać maile jeśli coś pójdzie nie tak, ale już chronisz swoją domenę.

W tym etapie zaczną się blokować maile od podrabiających i źródeł ze złymi integracjami. Monitoruj raporty przez kolejne 1–2 tygodnie. Szukaj anomalii — nagłego skoku fail'ów od Twoich źródeł (to by oznaczało problem z migracją lub zmianą konfiguracji).

Krok 4 — Wdrożenie p=reject (pełna ochrona)

Ostatnia faza — gdy alignment jest stabilny i ponad 98–99%, możesz wdrożyć p=reject:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@twojadomena.pl

p=reject oznacza: "Jeśli wiadomość nie przejdzie DMARC-a, odrzuć ją całkowicie". To najbardziej restrykcyjna polityka, ale też najskuteczniejsza dla ochrony domeny przed spoofingiem.

Na tym etapie wpłynie tak: maile od spoofów będą natychmiast odrzucane — nigdy nie trafią do spamu, całkowicie znikną. Twoja domena jest teraz trudnym celem do podrobienia. Dostawcy (Gmail, Yahoo, WP.pl, Onet) widzą, że serio o ochronę, i zwiększają zaufanie do Twoich maili.

Typowe błędy i jak ich uniknąć

Kilka rzeczy, które mogą pójść źle, jeśli nie jesteś ostrożny:

  1. Alignment problem. Twój SPF wskazuje na inny domain niż DKIM klucz — FROM header nie pasuje. Rozwiązanie: upewnij się, że SPF record (w głównej domenie) pozwala na Twoje źródła SMTP, a DKIM klucz jest podpisany na tej samej domenie co FROM header.
  2. Zbyt szybkie przejście na p=reject. Przeskoczyć p=quarantine i od razu wdrożyć p=reject, to ryzyko! Możesz blokować własne maile, jeśli jakieś integracje nie będą poprawnie skonfigurowane. Zawsze przechodzić etapami — żaden pośpiech.
  3. Ignorowanie raportów RUA. Jeśli nie czytasz raportów, nie wiesz co się dzieje. To pierwszy sygnał o problemach z alignmentem. Lepiej czytać raporty systematycznie niż wdrażać DMARC ślepo.
  4. Złe formatowanie TXT-rekordu. Zbyt długa linia (DNS limit 255 znaków na jeden string), brakujące spacje lub średniki. W DNS panelu, jeśli rekord jest dłuższy, dziel go na ciągi w cudzysłowach: "v=DMARC1; p=quarantine" "rua=mailto:..."
Profesjonalna rada
Monitorowanie raportów RUA przez co najmniej 2 tygodnie na każdym etapie (none → quarantine → reject) to różnica między płynnym wdrożeniem a incydentem dostawy maili. Nigdy nie wdrażaj szybciej, niż dane to wskazują. Możesz też użyć narzędzia check.live-direct-marketing.online do testowania dostawy Twoich maili w realnych skrzynkach — zobaczysz, jak DMARC alignment wpływa na placement w Inbox vs Spam.

Czym różni się p=none, p=quarantine i p=reject?

p=none — no action, tylko monitoring i raporty (początkowy etap, brak blokowania).
p=quarantine — wiadomości które nie przejdą DMARC trafiają do spamu zamiast do Inboxa (mniej restrykcyjnie).
p=reject — wiadomości są całkowicie odrzucane (najszybsza ochrona). Każdy krok chroni lepiej, ale ma większe ryzyko zablokowania Twoich własnych maili — dlatego przechodzisz etapami.

Jak długo czekać na raporty RUA zanim przejdzę na quarantine?

Minimum 2 tygodnie, ale lepiej 3–4 tygodnie, żeby mieć pełny obraz (w tym weekendy i różne godziny dnia). Szukaj stabilności: czy alignment jest konsekwentnie powyżej 95%? Czy nie widzisz nagłych skoków fail'ów? Jeśli tak — gotowy jesteś na quarantine.

Czy DMARC zablokuje moje własne e-maile?

Tak, jeśli alignment jest zły. Na tym polega wartość wdrażania etapami (none → quarantine → reject). p=none pozwala Ci znaleźć problemy bez blokowania. Na p=reject — zawsze upewnij się, że wszystkie Twoje źródła SMTP mają poprawnie skonfigurowany SPF i DKIM na tej samej domenie co FROM header.
Powiązane artykuły
Found this useful? Share it
AB
O autorze
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Sprawdź dostarczalność u ponad 20 dostawców

Gmail, Outlook, WP, Onet, Interia, GMX, ProtonMail i inne. Prawdziwe zrzuty skrzynki odbiorczej, SPF/DKIM/DMARC, werdykty filtrów antyspamowych. Za darmo, bez rejestracji.

Uruchom darmowy test →

Testy bez limitu · Ponad 20 skrzynek · Wyniki na żywo · Bez konta