Pewnie gdzieś się na to natknąłeś - pojęcie "DMARCbis" z notką, że coś się zmienia. Może wspomniał o tym ktoś z IT, może przeczytałeś o tym w newsletterze o tematyce mailowej. Twoja reakcja była pewnie mniej więcej taka: "Co to w ogóle jest i czy muszę coś z tym zrobić?"
Odpowiedź na drugie pytanie brzmi: na razie nie - nowy standard nie ma jeszcze potwierdzonej daty wydania. Warto jednak zrozumieć, co naprawdę się zmienia i co to będzie oznaczać dla Ciebie, kiedy już wejdzie w życie.
Cofnij się myślami do momentu, gdy konfigurowałeś swoją domenę i ktoś kazał Ci dodać kilka rekordów DNS - SPF, DKIM, DMARC. Może zrobiłeś to sam, może zrobił to ktoś za Ciebie i od tamtej pory już o tym nie myślałeś.
DMARC to w istocie ochrona przed podszywaniem się pod Twoją domenę. Bez niego każdy może wysłać maila, który wygląda, jakby pochodził od Ciebie, na przykład z adresu info@twojafirma.pl. Z DMARC mówisz światu: "Wiadomości z mojej domeny muszą spełniać określone reguły. Jeśli ich nie spełniają, traktujcie je jako podejrzane - albo od razu blokujcie".
Serwery pocztowe takie jak Gmail, Outlook i inne odczytują ten rekord i na jego podstawie decydują, co zrobić z wiadomością, która rzekomo pochodzi od Ciebie.
DMARCbis to zaktualizowana wersja reguł definiujących działanie DMARC. Końcówka "bis" pochodzi z łaciny i oznacza "drugi" albo "poprawiony" - coś jak drugie wydanie książki.
Nowy standard spodziewany jest gdzieś w 2026 roku, ale dokładna data nie została jeszcze potwierdzona. Kiedy się pojawi, zastąpi oryginalną specyfikację z 2015 roku.
Po pierwsze i najważniejsze: nie musisz nic zmieniać. Rekord, który masz dzisiaj w DNS, pozostanie ważny również po opublikowaniu nowego standardu.
To główna zmiana - i żeby ją wyjaśnić, przyda się mała analogia.
Wyobraź sobie DMARC jako włącznik światła ze ściemniaczem. Ma trzy pozycje:
p=nonep=quarantinep=rejectPrzejście od razu z "wyłączonego" na "pełną ochronę" jest ryzykowne. Możesz wysyłać maile przez narzędzia, o których już nie pamiętasz - stary system do fakturowania, jakiś plugin, narzędzie marketingowe, z którego korzystałeś przez chwilę. Jeśli nie są poprawnie skonfigurowane, Twoi klienci przestaną dostawać wiadomości bez żadnego ostrzeżenia.
Oryginalna specyfikacja DMARC miała na to rozwiązanie: stopniowe wdrażanie. Mogłeś powiedzieć: "Na razie stosuj reguły tylko do 10% wiadomości, potem do 50%, potem do 100%". W teorii po drodze miałeś wykryć zapomnianych nadawców. W praktyce to nie działało. Poszczególne serwery pocztowe interpretowały to ustawienie różnie, a wiele z nich ignorowało je całkowicie.
DMARCbis usuwa tę funkcję. Zamiast ściemniacza dostajesz zwykły włącznik: albo tryb testowy, albo pełne egzekwowanie. Żadnych procentów.
To bardziej techniczna zmiana, ale warto ją zrozumieć - zwłaszcza jeśli masz bardziej rozbudowaną konfigurację domeny.
Każda domena ma swoje "drzewo". Na przykład newsletter.twojafirma.pl to gałąź domeny twojafirma.pl. Rekord DMARC na domenie głównej automatycznie obejmuje subdomeny - chyba że mają własny rekord.
Do tej pory serwery pocztowe korzystały z zewnętrznej listy, żeby zrozumieć, gdzie domena "się zaczyna" - publicznie utrzymywanego dokumentu o nazwie Public Suffix List. Problem polegał na tym, że ta lista nie zawsze była aktualna. DMARCbis rozwiązuje to elegancko: serwery zapytają bezpośrednio DNS. Efekt jest bardziej niezawodny i przewidywalny.
Co to oznacza dla Ciebie? Jeśli masz jedną domenę i nic skomplikowanego, to prawdopodobnie nic. Ale jeśli prowadzisz kilka subdomen (na przykład sklep.twojafirma.pl, pomoc.twojafirma.pl), warto sprawdzić, czy Twoje rekordy DMARC obejmują to, co powinny.
Zanim zdecydujesz, co robić dalej, warto wiedzieć, na jakim etapie jesteś. Najprościej skorzystać z darmowego narzędzia DMARCeye do sprawdzania DNS - wpisujesz domenę i od razu widzisz, jaki masz rekord DMARC, co on oznacza i czy jest poprawnie ustawiony. Za darmo, bez rejestracji, wynik w kilka sekund.
Bo to rzeczywiście ciekawy moment w historii bezpieczeństwa poczty - ale jest opisywany bardziej dramatycznie, niż w praktyce wygląda to dla większości właścicieli domen.
Ważniejsza historia nie brzmi "zmienia się standard" - tylko tak: ogromna część domen ma DMARC ustawiony, ale nie zapewnia on żadnej realnej ochrony. Tkwią od lat w trybie "tylko monitoring". Jeśli chcesz prawdziwej ochrony, samo posiadanie DMARC nie wystarczy. Musisz wiedzieć, co mówią Twoje raporty i stopniowo - bezpiecznie - przechodzić na surowsze ustawienia.
Raporty DMARC są techniczne, przychodzą jako pliki XML i bez odpowiedniego narzędzia są praktycznie nieczytelne. DMARCeye czyta te raporty za Ciebie i mówi zrozumiałym językiem: kto wysyła wiadomości z Twojej domeny, czy wszystkie Twoje narzędzia są poprawnie skonfigurowane i co by się stało, gdybyś dziś zaostrzył politykę. Możesz zacząć za darmo.
Nic pilnego - nowy standard nie ma potwierdzonej daty wydania, więc nie ma też żadnego terminu.
p=none, czas pomyśleć o kolejnym kroku. Ostrożnie i z pełną widocznością. Narzędzie takie jak DMARCeye pokaże Ci drogę bez zbędnego ryzyka.Jeśli chcesz szczegółów na poziomie specyfikacji o wszystkim, co zmienia DMARCbis, zajrzyj do naszego tekstu towarzyszącego: Co zmienia DMARCbis, a czego nie rozwiązuje.
Wypróbuj DMARCeye za darmo już dziś i zobacz, co naprawdę mówią raporty o Twojej domenie.