DMARC się zmienia wraz z DMARCbis. Co to oznacza dla Ciebie?

Pewnie gdzieś się na to natknąłeś - pojęcie "DMARCbis" z notką, że coś się zmienia. Może wspomniał o tym ktoś z IT, może przeczytałeś o tym w newsletterze o tematyce mailowej. Twoja reakcja była pewnie mniej więcej taka: "Co to w ogóle jest i czy muszę coś z tym zrobić?"

Odpowiedź na drugie pytanie brzmi: na razie nie - nowy standard nie ma jeszcze potwierdzonej daty wydania. Warto jednak zrozumieć, co naprawdę się zmienia i co to będzie oznaczać dla Ciebie, kiedy już wejdzie w życie.

Krótkie przypomnienie: co właściwie robi DMARC?

Cofnij się myślami do momentu, gdy konfigurowałeś swoją domenę i ktoś kazał Ci dodać kilka rekordów DNS - SPF, DKIM, DMARC. Może zrobiłeś to sam, może zrobił to ktoś za Ciebie i od tamtej pory już o tym nie myślałeś.

DMARC to w istocie ochrona przed podszywaniem się pod Twoją domenę. Bez niego każdy może wysłać maila, który wygląda, jakby pochodził od Ciebie, na przykład z adresu info@twojafirma.pl. Z DMARC mówisz światu: "Wiadomości z mojej domeny muszą spełniać określone reguły. Jeśli ich nie spełniają, traktujcie je jako podejrzane - albo od razu blokujcie".

Serwery pocztowe takie jak Gmail, Outlook i inne odczytują ten rekord i na jego podstawie decydują, co zrobić z wiadomością, która rzekomo pochodzi od Ciebie.

Czym więc jest DMARCbis?

DMARCbis to zaktualizowana wersja reguł definiujących działanie DMARC. Końcówka "bis" pochodzi z łaciny i oznacza "drugi" albo "poprawiony" - coś jak drugie wydanie książki.

Nowy standard spodziewany jest gdzieś w 2026 roku, ale dokładna data nie została jeszcze potwierdzona. Kiedy się pojawi, zastąpi oryginalną specyfikację z 2015 roku.

Co konkretnie się zmienia?

1. Twój obecny rekord DMARC dalej będzie działać

Po pierwsze i najważniejsze: nie musisz nic zmieniać. Rekord, który masz dzisiaj w DNS, pozostanie ważny również po opublikowaniu nowego standardu.

2. Funkcja, która nie działała, zostaje usunięta

To główna zmiana - i żeby ją wyjaśnić, przyda się mała analogia.

Wyobraź sobie DMARC jako włącznik światła ze ściemniaczem. Ma trzy pozycje:

• 🔘 Wyłączony - podejrzane wiadomości przechodzą normalnie, Ty dostajesz tylko raporty. Technicznie: p=none
• 🟡 Ostrożność - podejrzane wiadomości trafiają do spamu. Technicznie: p=quarantine
• 🔴 Pełna ochrona - podejrzane wiadomości są blokowane całkowicie. Technicznie: p=reject

Przejście od razu z "wyłączonego" na "pełną ochronę" jest ryzykowne. Możesz wysyłać maile przez narzędzia, o których już nie pamiętasz - stary system do fakturowania, jakiś plugin, narzędzie marketingowe, z którego korzystałeś przez chwilę. Jeśli nie są poprawnie skonfigurowane, Twoi klienci przestaną dostawać wiadomości bez żadnego ostrzeżenia.

Oryginalna specyfikacja DMARC miała na to rozwiązanie: stopniowe wdrażanie. Mogłeś powiedzieć: "Na razie stosuj reguły tylko do 10% wiadomości, potem do 50%, potem do 100%". W teorii po drodze miałeś wykryć zapomnianych nadawców. W praktyce to nie działało. Poszczególne serwery pocztowe interpretowały to ustawienie różnie, a wiele z nich ignorowało je całkowicie.

DMARCbis usuwa tę funkcję. Zamiast ściemniacza dostajesz zwykły włącznik: albo tryb testowy, albo pełne egzekwowanie. Żadnych procentów.

3. Zmienia się sposób, w jaki serwery pocztowe rozumieją strukturę Twojej domeny

To bardziej techniczna zmiana, ale warto ją zrozumieć - zwłaszcza jeśli masz bardziej rozbudowaną konfigurację domeny.

Każda domena ma swoje "drzewo". Na przykład newsletter.twojafirma.pl to gałąź domeny twojafirma.pl. Rekord DMARC na domenie głównej automatycznie obejmuje subdomeny - chyba że mają własny rekord.

Do tej pory serwery pocztowe korzystały z zewnętrznej listy, żeby zrozumieć, gdzie domena "się zaczyna" - publicznie utrzymywanego dokumentu o nazwie Public Suffix List. Problem polegał na tym, że ta lista nie zawsze była aktualna. DMARCbis rozwiązuje to elegancko: serwery zapytają bezpośrednio DNS. Efekt jest bardziej niezawodny i przewidywalny.

Co to oznacza dla Ciebie? Jeśli masz jedną domenę i nic skomplikowanego, to prawdopodobnie nic. Ale jeśli prowadzisz kilka subdomen (na przykład sklep.twojafirma.pl, pomoc.twojafirma.pl), warto sprawdzić, czy Twoje rekordy DMARC obejmują to, co powinny.

Jak sprawdzić, co masz obecnie ustawione?

Zanim zdecydujesz, co robić dalej, warto wiedzieć, na jakim etapie jesteś. Najprościej skorzystać z darmowego narzędzia DMARCeye do sprawdzania DNS - wpisujesz domenę i od razu widzisz, jaki masz rekord DMARC, co on oznacza i czy jest poprawnie ustawiony. Za darmo, bez rejestracji, wynik w kilka sekund.

Dlaczego wszyscy mówią, że coś się zmienia?

Bo to rzeczywiście ciekawy moment w historii bezpieczeństwa poczty - ale jest opisywany bardziej dramatycznie, niż w praktyce wygląda to dla większości właścicieli domen.

Ważniejsza historia nie brzmi "zmienia się standard" - tylko tak: ogromna część domen ma DMARC ustawiony, ale nie zapewnia on żadnej realnej ochrony. Tkwią od lat w trybie "tylko monitoring". Jeśli chcesz prawdziwej ochrony, samo posiadanie DMARC nie wystarczy. Musisz wiedzieć, co mówią Twoje raporty i stopniowo - bezpiecznie - przechodzić na surowsze ustawienia.

Raporty DMARC są techniczne, przychodzą jako pliki XML i bez odpowiedniego narzędzia są praktycznie nieczytelne. DMARCeye czyta te raporty za Ciebie i mówi zrozumiałym językiem: kto wysyła wiadomości z Twojej domeny, czy wszystkie Twoje narzędzia są poprawnie skonfigurowane i co by się stało, gdybyś dziś zaostrzył politykę. Możesz zacząć za darmo.

Co powinieneś zrobić teraz?

Nic pilnego - nowy standard nie ma potwierdzonej daty wydania, więc nie ma też żadnego terminu.

1. Sprawdź, co masz ustawione. Skorzystaj z narzędzia do sprawdzania DNS, zajmie to minutę.
2. Jeśli masz subdomeny, sprawdź, czy są objęte odpowiednimi rekordami. DMARCbis zmienia sposób, w jaki serwery czytają drzewo domeny.
3. Jeśli od lat tkwisz na p=none, czas pomyśleć o kolejnym kroku. Ostrożnie i z pełną widocznością. Narzędzie takie jak DMARCeye pokaże Ci drogę bez zbędnego ryzyka.

Jeśli chcesz szczegółów na poziomie specyfikacji o wszystkim, co zmienia DMARCbis, zajrzyj do naszego tekstu towarzyszącego: Co zmienia DMARCbis, a czego nie rozwiązuje.

Wypróbuj DMARCeye za darmo już dziś i zobacz, co naprawdę mówią raporty o Twojej domenie.