DMARC (Domain-based Message Authentication, Reporting and Conformance) chroni Twoją domenę przed podrabianiem i ustanawia wiarygodność wysyłanego maila. Jeśli go nie masz — dostawcy, zwłaszcza Gmail i Yahoo, nie mogą w pełni zaufać Twoim wiadomościom. W tym poradniku przejdziemy przez każdy etap konfiguracji, od bezpiecznego startu z p=none aż do ochrony p=reject, aby Twoja domena była w pełni zabezpieczona.
Co to TXT-rekord DMARC?
DMARC działa poprzez rekord TXT umieszczony w DNS Twojej domeny pod adresem _dmarc.twojadomena.pl. Ten rekord zawiera polecenia dla serwerów pocztowych: co robić z wiadomościami, które nie przejdą uwierzytelniania SPF lub DKIM, oraz gdzie wysyłać raporty o wynikach.
Najprostszy rekord wygląda tak:
v=DMARC1; p=none; rua=mailto:dmarc-reports@twojadomena.plKażdy parametr ma znaczenie: v oznacza wersję, p to polityka (co robić z maili które nie przejdą DMARC), rua to adres na który wysyłać zagregowane raporty o wynikach.
Krok 1 — Rozpoczęcie z p=none (monitoring bez blokowania)
Zawsze zacznij od p=none. Ta polityka mówi serwerom pocztowym: "Sprawdzaj alignment SPF/DKIM, zbieraj statystyki, ale nie blokuj maili ani nie wysyłaj ich do spamu". To bezpieczny start — nie ryzykujesz utratę dostawy.
Ustaw rekord w panelu DNS:
v=DMARC1; p=none; rua=mailto:dmarc-reports@twojadomena.pl; fo=1Parametr fo=1 oznacza, że chcesz raport nawet dla pojedynczej porażki — ważne na początkowym etapie, żeby mieć pełny obraz.
Wdróż ten rekord i czekaj ~2 tygodnie. Podczas tego czasu wysyłaj normalne maile — testowe kampanie, powiadomienia transakcyjne. Dostawcy będą zbierać dane o tym, które Twoje źródła SMTP przechodzą alignment SPF/DKIM, a które nie.
Krok 2 — Monitorowanie raportów RUA i alignmentu
Po 2–3 dniach powinny zacząć przychodzić raporty RUA na adres podany w konfiguracji. Otwórz je — to będą pliki XML lub agregowane wiadomości. Szukaj informacji o:
dkim pass / fail— czy serwery mogły zweryfikować podpis DKIMspf pass / fail— czy serwery mogły zatwierdzić SPF alignmentpolicy_evaluated align— czy FROM header domain dopasowuje się do DKIM/SPF domain
Główne rzeczy do zweryfikowania: Czy prawie wszystkie Twoje maile przychodzą z pass dla SPF i DKIM? Czy alignment (czy FROM domain dopasowuje się do DKIM/SPF domain) jest konsekwentnie pozytywny? Czy widać nieznane Ci źródła wysyłające od Twojej domeny (to mogłoby być podrabiane)?
Jeśli widzisz dużo fail'ów — to często trzecie usługi (np. usługi do wysyłania newsletterów, narzędzia CRM) które nie są poprawnie skonfigurowane. To właśnie czemu p=none jest ważny — możesz znaleźć te problemy bez blokowania maili.
Krok 3 — Przejście na p=quarantine
Gdy alignment jest stabilnie powyżej 95–98% dla Twoich znanych źródeł (i w raportach nie widzisz niespodziewanych bloków), możesz zmienić politykę:
v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@twojadomena.plp=quarantine mówi: "Wiadomości które nie przejdą DMARC-a, wyślij do folderu Spam/Junk zamiast do Inbox'u, ale nie odrzucaj całkowicie". To dobry punkt przejściowy — wciąż możesz odzyskać maile jeśli coś pójdzie nie tak, ale już chronisz swoją domenę.
W tym etapie zaczną się blokować maile od podrabiających i źródeł ze złymi integracjami. Monitoruj raporty przez kolejne 1–2 tygodnie. Szukaj anomalii — nagłego skoku fail'ów od Twoich źródeł (to by oznaczało problem z migracją lub zmianą konfiguracji).
Krok 4 — Wdrożenie p=reject (pełna ochrona)
Ostatnia faza — gdy alignment jest stabilny i ponad 98–99%, możesz wdrożyć p=reject:
v=DMARC1; p=reject; rua=mailto:dmarc-reports@twojadomena.plp=reject oznacza: "Jeśli wiadomość nie przejdzie DMARC-a, odrzuć ją całkowicie". To najbardziej restrykcyjna polityka, ale też najskuteczniejsza dla ochrony domeny przed spoofingiem.
Na tym etapie wpłynie tak: maile od spoofów będą natychmiast odrzucane — nigdy nie trafią do spamu, całkowicie znikną. Twoja domena jest teraz trudnym celem do podrobienia. Dostawcy (Gmail, Yahoo, WP.pl, Onet) widzą, że serio o ochronę, i zwiększają zaufanie do Twoich maili.
Typowe błędy i jak ich uniknąć
Kilka rzeczy, które mogą pójść źle, jeśli nie jesteś ostrożny:
- Alignment problem. Twój SPF wskazuje na inny domain niż DKIM klucz — FROM header nie pasuje. Rozwiązanie: upewnij się, że SPF record (w głównej domenie) pozwala na Twoje źródła SMTP, a DKIM klucz jest podpisany na tej samej domenie co FROM header.
- Zbyt szybkie przejście na p=reject. Przeskoczyć p=quarantine i od razu wdrożyć p=reject, to ryzyko! Możesz blokować własne maile, jeśli jakieś integracje nie będą poprawnie skonfigurowane. Zawsze przechodzić etapami — żaden pośpiech.
- Ignorowanie raportów RUA. Jeśli nie czytasz raportów, nie wiesz co się dzieje. To pierwszy sygnał o problemach z alignmentem. Lepiej czytać raporty systematycznie niż wdrażać DMARC ślepo.
- Złe formatowanie TXT-rekordu. Zbyt długa linia (DNS limit 255 znaków na jeden string), brakujące spacje lub średniki. W DNS panelu, jeśli rekord jest dłuższy, dziel go na ciągi w cudzysłowach:
"v=DMARC1; p=quarantine" "rua=mailto:..."
Czym różni się p=none, p=quarantine i p=reject?
p=none — no action, tylko monitoring i raporty (początkowy etap, brak blokowania).p=quarantine — wiadomości które nie przejdą DMARC trafiają do spamu zamiast do Inboxa (mniej restrykcyjnie).p=reject — wiadomości są całkowicie odrzucane (najszybsza ochrona). Każdy krok chroni lepiej, ale ma większe ryzyko zablokowania Twoich własnych maili — dlatego przechodzisz etapami.Jak długo czekać na raporty RUA zanim przejdzę na quarantine?
Czy DMARC zablokuje moje własne e-maile?
p=none pozwala Ci znaleźć problemy bez blokowania. Na p=reject — zawsze upewnij się, że wszystkie Twoje źródła SMTP mają poprawnie skonfigurowany SPF i DKIM na tej samej domenie co FROM header.