DMARCeye blog

Kompletny przewodnik wdrażania DMARC

Autor: Jack Zagorski | 2025-10-29 15:07:14

Po opublikowaniu podstawowego rekordu DMARC, zaczyna się prawdziwa praca: prawidłowe wdrożenie go we wszystkich domenach i systemach.

DMARC (Domain-based Message Authentication, Reporting & Conformance) działa najlepiej, gdy każde źródło poczty w organizacji jest uwierzytelnione, wyrównane i monitorowane.

Ten przewodnik wykracza poza podstawy, aby pomóc Ci skonfigurować DMARC w DNS, zarządzać środowiskami wielodomenowymi i bezpiecznie przejść od testów do pełnego egzekwowania.

Aby zapoznać się z podstawami DMARC i sposobem publikowania polityki, zobacz nasz przegląd i 5-stopniowy przewodnik po początkowym włączeniu DMARC.

Krok 1: Zacznij od scentralizowanej strategii DMARC

Jeśli Twoja organizacja zarządza wieloma domenami lub subdomenami, traktuj DMARC jako długoterminowe ramy polityki, a nie jednorazowy rekord DNS. Zacznij od identyfikacji:

  • Wszystkie źródła wysyłania wiadomości (CRM, narzędzia marketingowe, systemy biletowe, platformy HR itp.)
  • Wszystkie domeny i subdomeny używane do wysyłania poczty.
  • Które systemy są zarządzane wewnętrznie, a które przez zewnętrznych dostawców.

Często zdarza się, że każdy dział lub jednostka biznesowa ma własną konfigurację wysyłania. Jednak bez skoordynowanej strategii DMARC, raporty stają się fragmentaryczne, a ich egzekwowanie staje się ryzykowne.

Stwórz spis nadawców i zdecyduj, z której domeny każdy z nich będzie wysyłał. To jest podstawa dla pełnej zgodności.

Krok 2: Przegląd SPF i DKIM we wszystkich systemach wysyłających

DMARC opiera się na SPF i DKIM w celu uwierzytelniania wiadomości. Jeśli którykolwiek z nich zawiedzie lub nie jest zgodny, DMARC również zawiedzie.

Sprawdzanie SPF

Każda domena powinna mieć pojedynczy rekord SPF zawierający listę wszystkich autoryzowanych nadawców:

v=spf1 include:_spf.google.com include:sendgrid.net include:mailgun.org -all
 

Najlepsze praktyki:

  • Unikaj łączenia więcej niż 10 wyszukiwań DNS (SPF ma twardy limit).
  • Nie twórz wielu rekordów SPF; połącz je w jeden.
  • Zawsze kończ z -all, aby odrzucić nieautoryzowanych nadawców.

Sprawdzanie DKIM

Każdy system wysyłania wiadomości e-mail (taki jak HubSpot lub Office 365) zapewnia selektory DKIM, które można dodać do DNS:

selector1._domainkey.yourdomain.com
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9...

Potwierdź to:

  • Każda usługa podpisuje wiadomości własnym kluczem DKIM.
  • Pole "d=" odpowiada domenie użytkownika (w celu wyrównania).
  • Klucze są okresowo zmieniane w celu zwiększenia bezpieczeństwa.

Udokumentuj każdy selektor DKIM i powiąż go ze znanym źródłem wysyłania. Ułatwia to późniejsze rozwiązywanie problemów.

Krok 3: Opublikuj prawidłowy rekord DMARC

Rekordy DMARC są wpisami TXT dodawanymi do DNS pod adresem _dmarc.yourdomain.com.

Solidny punkt wyjścia do wdrożenia wygląda następująco:

v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; aspf=r; adkim=r
 

Rozbijmy to na części:

  • v=DMARC1 - Wymagana wersja protokołu.
  • p=none - Tryb monitorowania (zbieranie raportów, bez egzekwowania).
  • rua=mailto: - Miejsce docelowe raportu zbiorczego.
  • aspf=r / adkim=r - Zrelaksowane wyrównanie (bezpieczniejsze dla konfiguracji z wieloma domenami).

Jeśli zarządzasz wieloma domenami, użyj unikalnych adresów raportów, aby je rozróżnić:

rua=mailto:dmarc@corp.yourdomain.com,mailto:dmarc@reports.partner.com
 

Dla subdomen można opublikować osobny rekord (np. _dmarc.mail.yourdomain.com) lub odziedziczyć politykę z domeny organizacyjnej.

Krok 4: Analiza raportów DMARC i weryfikacja zgodności

Po uruchomieniu, dostawcy skrzynek pocztowych będą codziennie wysyłać Ci raporty zbiorcze DMARC (RUA), podsumowujące, które IP wysyłały pocztę dla Twojej domeny i jak sobie radziły.

Szukaj:

  • Nieznanych adresów IP wysyłających pocztę (możliwy spoofing).
  • Znanych systemów, które nie spełniają SPF lub DKIM.
  • Nieprawidłowe wyniki uwierzytelniania.

Każdy wiersz raportu zawiera:

  • Wynik SPF: pozytywny lub negatywny.
  • Wynik DKIM: Wynik pozytywny lub negatywny.
  • Wyrównanie: Czy każdy wynik pasuje do domeny.

Jeśli legalny nadawca nie przejdzie wyrównania, należy to naprawić przed przejściem do egzekwowania.

Aby uzyskać głębsze wyjaśnienie, zobacz nasz przewodnik na temat Jak czytać raporty zbiorcze DMARC.

Krok 5: Obsługa nadawców zewnętrznych

Wiele problemów związanych z DMARC wynika z platform firm trzecich, które wysyłają wiadomości e-mail w Twoim imieniu, takich jak narzędzia marketingowe, CRM lub procesory płatności.

Aby upewnić się, że wiadomości te przejdą DMARC:

  1. Dodaj ich wysyłające adresy IP lub dołącz mechanizmy do swojego rekordu SPF.
  2. Opublikuj ich klucze DKIM zgodnie z podanymi informacjami.
  3. Upewnij się, że używają Twojej domeny w nagłówku "From", a nie ogólnej domeny współdzielonej.

Jeśli dostawca nie obsługuje wyrównania DKIM, wyrównanie SPF musi być idealne, aby uniknąć odrzucenia.

Wskazówka: Zachowaj wspólną wewnętrzną listę wszystkich zatwierdzonych nadawców zewnętrznych i ich konfiguracji DNS.

Krok 6: Przejście od monitorowania do egzekwowania

Gdy raporty pokażą, że wszyscy legalni nadawcy uwierzytelniają się poprawnie, zacznij egzekwować DMARC.

Przejście odbywa się stopniowo:

  1. p=none → p=quarantine (wysyłanie wiadomości do spamu).
  2. p=kwarantanna → p=odrzuć (całkowicie blokuj wiadomości z błędami).

Można również przetestować częściowe egzekwowanie przy użyciu znacznika pct:

v=DMARC1; p=reject; pct=50; rua=mailto:dmarc-reports@yourdomain.com
 

Zastosuje to wymuszanie do 50% ruchu podczas monitorowania wyników.

W miarę zaostrzania wymuszania kontynuuj codzienne przeglądanie raportów.

Krok 7: Konfiguracja zasad dla subdomen

Subdomeny mogą dziedziczyć główną politykę lub mieć własną. Na przykład:

v=DMARC1; p=none; sp=reject; rua=mailto:dmarc-reports@yourdomain.com
 

Tutaj:

  • p=none stosuje się do głównej domeny.
  • sp=reject wymusza DMARC na wszystkich subdomenach.

Użyj tego, gdy testujesz na głównej domenie, ale chcesz bardziej rygorystycznego egzekwowania dla subdomen transakcyjnych, takich jak billing.yourdomain.com.

Krok 8: Unikaj typowych błędów wdrożeniowych

Nawet dobrze przygotowane zespoły popełniają te błędy:

  • Wiele rekordów SPF w jednej domenie.
  • Brak tagu rua (brak raportów).
  • Używanie polityki monitorowania tylko na zawsze(p=none).
  • Zapominanie o aktualizacji kluczy DKIM po zmianach platformy.
  • Ignorowanie nieprzypisanych subdomen.

DMARC chroni tylko wtedy, gdy jest aktywnie monitorowany i egzekwowany. Pozostawienie go na p=none w nieskończoność nie zapewnia żadnej ochrony przed spoofingiem.

Krok 9: Utrzymanie i monitorowanie w czasie

Po pełnym wdrożeniu polityki DMARC, bieżące monitorowanie zapewnia, że wszystko pozostaje w dobrym stanie.

Regularnie przeglądaj:

  • Nowe IP pojawiające się w raportach (potencjalni nowi nadawcy).
  • Zmiany we wskaźnikach uwierzytelniania.
  • Czy integracje stron trzecich nadal uwierzytelniają się poprawnie.

DMARC nie jest systemem typu "ustaw i zapomnij". Jest to ewoluująca część stanu bezpieczeństwa Twojej domeny.

Aby zapoznać się z pełną mapą drogową konfiguracji DMARC, bieżącego monitorowania i nie tylko, zobacz nasz przewodnik monitorowania i zgodności DMARC.

Jak DMARCeye pomaga w zarządzaniu wdrożeniem

Konfiguracja DMARC to jedno. Utrzymanie go w wielu domenach i platformach to inna sprawa. DMARCeye to oparta na sztucznej inteligencji platforma do monitorowania i zarządzania DMARC, która:

  • Gromadzi i interpretuje raporty DMARC.
  • Wizualnie mapuje wszystkie źródła wysyłania.
  • Flaguje źle dopasowanych lub nieautoryzowanych nadawców.
  • Śledzi postępy w zaostrzaniu polityki.

Łatwo sprawdź, czy Twoje wdrożenie działa, które systemy wymagają dostosowania i jak blisko jesteś pełnej zgodności.

Zarejestruj się na bezpłatną wersję próbną DMARCeye już dziś i zacznij chronić swoją domenę e-mail.

 
Wyświetl kompletny wpis