DMARCeye blog

28% domen w internecie nie ma DMARC | DMARCeye

Autor: Jack Zagorski | 2026-05-06 00:00:00

DMARC to mały wpis w DNS, który mówi serwerom pocztowym na całym świecie, co mają robić, gdy ktoś wysyła wiadomość podszywającą się pod twoją domenę. Bez niego każdy może wysyłać maile udające ciebie, a twoja domena nie ma jak temu zapobiec. Przeanalizowaliśmy dane z tysięcy publicznie dostępnych domen internetowych i okazało się, że 28% w ogóle nie ma rekordu DMARC. Jeśli masz domenę i nigdy nie konfigurowałeś DMARC, szansa, że jesteś w tej grupie, wynosi mniej więcej 1-in-4.

Ten artykuł rozkłada na czynniki pierwsze porównanie "zaangażowani vs internet" z raportu branżowego DMARCeye za Q1 2026. Pełny raport, ze wszystkimi 12 widokami wykresów i metodologią, znajdziesz poniżej.

 

Luka we wdrożeniu

Raport za Q1 porównuje dwie populacje. Pierwsza to grupa zaangażowana w DMARC: domeny aktywnie monitorowane na platformie DMARCeye. Druga to szeroka próba ze skanera publicznego, czyli publicznie dostępne domeny internetowe skanowane na ślepo pod kątem obecności rekordów DMARC, SPF i DKIM.

Główna różnica, w prostych liczbach:

  • Publicznie dostępny internet (próba ze skanera): 28% nie ma rekordu DMARC, 32% jest na p=none, 22% na p=quarantine, 18% na p=reject.
  • Organizacje zaangażowane w DMARC: 0% nie ma DMARC z definicji, 36,7% na p=none, 36,8% na p=quarantine, 26,5% na p=reject.
Źródło: raport branżowy DMARCeye Q1 2026 (research.dmarceye.com)

Bardziej rygorystyczne egzekwowanie polityki częściej spotyka się w grupie zaangażowanej: 27% na p=reject wobec 18% w szerokim internecie. Bardziej wymowna różnica leży na drugim końcu. Gdy właściciel domeny zaczyna traktować DMARC poważnie i go monitoruje, kategoria "brak opublikowanego rekordu" znika. W szerokim internecie ta kategoria to ponad jedna czwarta wszystkich domen.

Co tak naprawdę oznacza "brak DMARC"

Bez rekordu DMARC twoja domena milczy. Gdy przychodzi wiadomość rzekomo od ciebie, serwer odbiorczy (Gmail, Yahoo, Seznam, ktokolwiek) nie ma od ciebie żadnej wskazówki, jak ją potraktować. Cofa się do własnego filtrowania. Część sfałszowanych wiadomości przechodzi, część trafia do spamu, część zostaje odrzucona. Wynik bywa różny, a ty i tak nie masz w to wglądu.

Dla właściciela domeny sytuacja w praktyce wygląda tak:

  • Każdy może wysyłać pocztę w twoim imieniu i nic mu nie grozi. Sfałszowana wiadomość zostanie oceniona przez odbiorcę tak, jakby mogła być prawdziwa, bo żadna polityka nie mówi inaczej.
  • Nie dostajesz żadnego feedbacku. Brak rekordu DMARC oznacza brak napływających raportów zbiorczych. Nie wiesz, kto wysyła pocztę z twojej domeny, ani czy są to wysyłki uprawnione, czy nie.
  • Nie spełniasz wymagań dla nadawców masowych. Zasady Google i Yahoo dla nadawców z lutego 2024 wymagają opublikowania rekordu DMARC dla nadawców wysyłających powyżej 5000 wiadomości dziennie na adresy Gmail lub Yahoo. Brak rekordu oznacza brak zgodności, kropka.

Naprawienie "braku DMARC" wymaga mniej pracy niż naprawienie "utknięcia na p=none". To dwa rekordy DNS i kilka godzin uwagi.

Dlaczego tak wiele domen nie ma nic opublikowanego

Dane za Q1 pokazują wielkość luki, a nie jej przyczyny. Powody poniżej to wzorce, które widzimy u klientów, a nie wnioski z samego zbioru danych:

  • Właściciel domeny nigdy nie słyszał o DMARC. Standard istnieje, narzędzia są dojrzałe, ale właściciel domeny to mała firma albo hobbysta, którego nikt nigdy nie skłonił do opublikowania czegokolwiek.
  • Domena nie wysyła dużo poczty, więc temat DMARC nigdy się nie pojawił. Domeny prywatne, domeny projektów dodatkowych, uśpione domeny firmowe. Wolumen jest na tyle niski, że właściciel jeszcze nie napotkał problemów z dostarczalnością ani spoofingiem.
  • Domena została skonfigurowana, zanim DMARC stał się standardową praktyką. Domena zarejestrowana w 2008, wtedy skonfigurowana do poczty i nigdy więcej nie ruszana.
  • Hosting albo dostawca poczty nie naciskał klienta, żeby to ustawił. Niektórzy dostawcy prowadzą klienta przez SPF i DKIM, ale zatrzymują się przed DMARC. Klient zakłada, że ma już komplet.

Co to oznacza, jeśli jesteś w tych 28%

Jeśli prowadzisz małą firmę, e-shop, jednoosobową działalność konsultingową albo projekt po godzinach i nigdy nie myślałeś o DMARC, szansa, że jesteś w grupie bez opublikowanego rekordu, wynosi mniej więcej 1-in-4. Konsekwencje pozostawania w tej grupie:

Twoja domena to darmowy cel dla spoofingu. Brak opublikowanej polityki, brak egzekwowania. Działa to, co jest domyślnym zachowaniem serwera odbiorczego. W przypadku domeny, która nie wysyła dużo poczty, spoofujący mogą długo działać poniżej radaru.

Nie masz wglądu w to, co jest wysyłane jako ty. Bez raportów zbiorczych pierwszy raz dowiesz się o kampanii phishingowej w twoim imieniu zwykle wtedy, gdy klient albo partner cię o nią zapyta.

Jeśli kiedyś zaczniesz wysyłać więcej, DMARC będziesz musiał ustawić pod presją. Gdy twój miesięczny wolumen przekroczy próg 5000 dziennie wymagany przez Google, wymagania dla nadawców masowych zaczynają obowiązywać i musisz dodać rekord DMARC dokładnie wtedy, gdy próbujesz realnie skalować biznes. Lepiej zrobić to wcześniej, gdy nie ma presji.

Naprawa jest krótka

Przejście z "braku DMARC" do "monitor-only z napływającymi raportami" to najłatwszy kamień milowy w całym tym obszarze. Trzy lub cztery kroki, popołudnie uwagi, zero budżetu.

Krok 1: Sprawdź swoją domenę. Wpisz swoją domenę poniżej, żeby zobaczyć, co masz aktualnie opublikowane. Jeśli w wyniku nie ma linijki DMARC, to potwierdziłeś, gdzie stoisz.

 

Krok 2: Opublikuj rekord DMARC z polityką p=none i raportowaniem. Minimalny użyteczny rekord to jedna linijka w DNS: v=DMARC1; p=none; rua=mailto:reports@yourdomain.com, gdzie adres rua to taki, który kontrolujesz, albo taki, który podaje twoja usługa monitorująca. Mówi to: "zaczynam patrzeć".

Krok 3: Spraw, żeby raporty zaczęły napływać. Darmowy plan DMARCeye obejmuje jedną domenę. Zbiera raporty zbiorcze, parsuje je i pokazuje, co naprawdę jest wysyłane w twoim imieniu. Dwa do czterech tygodni danych zwykle wystarcza, żeby zobaczyć obraz.

Krok 4: Zaostrzaj politykę w miarę potwierdzania uprawnionych nadawców. Gdy widzisz już, co jest wysyłane z twojej domeny, uwierzytelnij uprawnionych nadawców, a potem przejdź do p=quarantine, a docelowo do p=reject. Sensem DMARC jest dotarcie do realnego egzekwowania, a nie opublikowanie rekordu i poprzestanie na tym.

Praktyczny wniosek

28% domen bez żadnego DMARC to nie jest historia o złożoności technicznej. Standard istnieje od 2015 roku. Rekordy to dwie krótkie linijki w DNS. Darmowe narzędzia do monitoringu istnieją, w tym od DMARCeye. Powody, dla których większość tych domen nie ma nic opublikowanego, nie są techniczne. Są na poziomie świadomości, własności i tego, czy ktoś o tym przypomni.

Jeśli dotarłeś tak daleko w artykule o DMARC, samym czytaniem już się z tej grupy wypisałeś. Następny krok to opublikowanie rekordu.

 
Wyświetl kompletny wpis