DMARC ma wbudowany mechanizm bezpieczeństwa, który pozwala stopniowo zaostrzać politykę. Nazywa się staged rollout: w tym tygodniu nowe reguły obejmują 25% wiadomości niespełniających wymagań, w przyszłym 50%, a tydzień później 100%. To oficjalna odpowiedź na pytanie „jak wdrożyć politykę bez psucia legalnej poczty”. W naszym zbiorze danych z Q1 2026 94,1% domen przechodzących na quarantine i 93,5% domen przechodzących na reject stosuje politykę na poziomie 100% od pierwszego dnia, więc praktycznie nikt nie korzysta z tego mechanizmu. I jak się okazuje, nadchodzący standard DMARCbis (de facto DMARC 2.0) ma go usunąć, prawdopodobnie właśnie dlatego.
Ten artykuł rozkłada na czynniki pierwsze wnioski dotyczące staged rollout z raportu branżowego DMARCeye za Q1 2026. Pełny raport, ze wszystkimi 12 widokami wykresów i metodologią, znajdziesz poniżej.
Oryginalny standard DMARC (RFC 7489 z 2015 roku) zawierał pct= jako pokrętło bezpiecznego wdrożenia. Założenie: kiedy właściciel domeny przechodzi z p=none na p=quarantine lub p=reject, mógł najpierw ustawić pct=10. Serwery odbiorcze stosowały nową politykę do 10% wiadomości niespełniających wymagań i traktowały pozostałe 90% tak, jakby domena nadal była w p=none. Jeśli coś by się zepsuło, problem byłby widoczny na małym wycinku poczty i można byłoby się wycofać, zanim narobiłoby szkód.
Mechanizm miał obniżyć postrzegane ryzyko przejścia na egzekwowanie polityki. W teorii można było iść stopniowo: pct=10, obserwacja raportów; pct=25, obserwacja; potem pct=50; a następnie pct=100. W praktyce niemal nikt tego nie robi.
Dla każdej egzekwującej domeny w naszym zbiorze (tych z p=quarantine lub p=reject) sprawdziliśmy, czy pct= jest ustawione i jaką ma wartość:
pct= lub pct=100). 1,8% w późnej fazie wdrożenia (50-99%). 3,0% w środkowej fazie (10-49%). 1,1% w fazie wczesnej (1-9%).Te 6%, które faktycznie korzystają ze staged rollout, koncentruje się głównie w przedziale 10-49% (faza środkowa). To pasmo, w którym można się spodziewać domen testujących nową politykę na znaczącym wycinku poczty przed pełnym wdrożeniem. Pasmo wczesne (1-9%) jest praktycznie puste: poniżej 1,5% domen zaczyna ostrożnie.
Dane z Q1 pokazują „co”, a nie „dlaczego”. Poniższe wzorce widzimy u klientów, więc traktuj je jako uzasadnione hipotezy:
p=none na egzekwowanie, zwykle spędzają tygodnie albo miesiące na czytaniu raportów zbiorczych i uwierzytelnianiu nadawców. Zanim przełączą politykę, mają już pewność, że legalna poczta jest poprawnie skonfigurowana. pct tylko by ich spowolniło bez żadnego zysku.pct=. Domyślny przepływ pracy zakłada najpierw dokumentację: poznaj swoich nadawców, popraw tych nieuwierzytelnionych, a potem przechodź na 100%.pct=10 oznacza, że 90% wiadomości niespełniających wymagań jest traktowanych tak, jakby polityka nie obowiązywała. Dla niektórych zespołów to mija się z celem: jeśli chcesz częściowego egzekwowania, równie dobrze możesz zostać przy p=none. Albo egzekwujesz, albo nie.pct= tak samo. Standard mówi „zastosuj politykę do pct% wiadomości niespełniających wymagań”. Jedni odbiorcy interpretują to ściśle, inni przybliżają. Mechanizm opiera się na zachowaniu odbiorcy, którego nadawca nie może zaudytować.Nadchodząca rewizja DMARCbis standardu (w czasie publikacji raportu Q1 w przeglądzie grupy roboczej IETF) usuwa tag pct= w całości. Zastępuje go binarna flaga testowa t=y: domena jest albo w trybie testowym, albo nie, bez żadnego pokrętła procentowego.
Uzasadnienie, parafrazując dyskusje w grupie roboczej: pct= okazało się funkcją, której większość operatorów nie używała, stosowaną przez odbiorców niespójnie i trudną do analizy. Binarna flaga t=y odpowiada rzeczywistym wzorcom wdrożeń. Jeśli właściciele domen i tak nie wprowadzają polityki stopniowo, standard nie powinien udawać, że to robią.
Jeśli planowałeś użyć pct= przy przyszłym wdrożeniu, dane z Q1 plus kierunek DMARCbis razem mówią „pomiń to”. Te 94% egzekwujących domen, które od razu przeszły na 100%, okaże się, że wybrały słusznie. Standard zmienia się, by dopasować się do tego, co i tak zrobili.
Jeśli jesteś dziś na p=none i myślisz o przejściu na egzekwowanie, praktyczna ścieżka wygląda tak:
p=quarantine przy 100%. Poczta, która nie przejdzie weryfikacji, trafia do spamu, a nie do /dev/null. Obserwuj raporty przez kolejny tydzień lub dwa. Jeśli krok 1 zrobiłeś dobrze, jedyna poczta, która się nie uwierzytelni, to próby podszywania się.p=reject przy 100%. Poczta, która nie przejdzie weryfikacji, jest wprost odrzucana. Przejście z quarantine na reject jest niewidoczne, jeśli uwierzytelnienie masz czyste.Monitoring i analiza raportów dokładnie pokazują, co jest uwierzytelnione, a co nie. Kiedy już to wiesz, pokrętło procentowe nie jest ci potrzebne.
Jeśli nie wiesz, co twoja domena obecnie publikuje, najszybciej sprawdzisz to poniżej. Wpisz domenę, by zobaczyć swój rekord DMARC (oraz SPF i DKIM, jeśli są opublikowane).
Liczby z Q1 2026 mówią, że niemal nikt nie wprowadza egzekwowania DMARC stopniowo. Rewizja DMARCbis mówi, że mają rację. „Mechanizm bezpieczeństwa”, którym miało być pct=, okazał się pokrętłem, które większość operatorów ignorowała, częściowo dlatego, że właściwa droga do egzekwowania polega na tym, by od początku nie potrzebować pokrętła procentowego. Udokumentuj nadawców. Uwierzytelnij ich. Przełącz politykę.