DMARC według dostawcy DNS: co pokazują dane z Q1 2026

Dostawca DNS, który hostuje rekordy Twojej domeny, kształtuje Twoją pozycję DMARC jeszcze zanim opublikujesz pierwszy rekord. W raporcie branżowym DMARCeye za Q1 2026 Cloudflare hostuje mniej więcej jedną czwartą wszystkich monitorowanych domen i osiąga 99,08% compliance uwierzytelniania; Azure DNS dla kontrastu obejmuje 1,17% zidentyfikowanych domen i ląduje na 87,66% - jako jedyny duży dostawca DNS poniżej granicy 93% "watch" z raportu. Rozrzut między 10 największymi nazwanymi dostawcami jest na tyle szeroki, że warto go zrozumieć.

Ten artykuł rozkłada na czynniki pierwsze jeden widok z raportu za Q1 2026: 10 największych dostawców DNS według udziału w rynku i compliance uwierzytelniania. Liczby odzwierciedlają wyniki w kilku tysiącach domen, które DMARCeye aktywnie monitoruje. Obraz szerszej, niemonitorowanej przestrzeni domen jest niemal na pewno inny, i prawdopodobnie gorszy.

Co "dostawca DNS" oznacza dla DMARC

DMARC żyje w DNS. Kiedy odbiorczy serwer pocztowy sprawdza, czy wiadomość podająca się za pochodzącą z example.com jest autentyczna, pyta DNS o _dmarc.example.com i odczytuje politykę z rekordu TXT. Ten, kto prowadzi ten DNS, jest dostawcą DNS, czyli firmą, która odpowiada na zapytanie "jaka jest polityka DMARC dla tej domeny?" Typowi dostawcy to Cloudflare, GoDaddy, AWS Route 53 od Amazona i Azure DNS od Microsoftu.

Drobna uwaga terminologiczna. Twój dostawca DNS to nie zawsze ta sama firma, od której kupiłeś domenę (Twój rejestrator). Wiele małych firm domyślnie zostawia DNS po stronie rejestratora (GoDaddy jest zarówno rejestratorem, jak i dostawcą DNS). Inne aktywnie przenoszą DNS do dedykowanego dostawcy w stylu Cloudflare czy AWS Route 53, ze względu na wydajność lub funkcje. To rozróżnienie ma znaczenie dla DMARC, bo każdy rekord uwierzytelniania (SPF, DKIM, DMARC) żyje na warstwie DNS, a operator, który wybrał, gdzie hostować DNS, to zwykle ten sam operator, który skonfigurował te rekordy.

Nie masz pewności, u którego dostawcy jesteś? Darmowy DNS checker od DMARCeye powie Ci to w kilka sekund, razem z tym, jakie rekordy uwierzytelniania poczty Twoja domena ma opublikowane.

10 największych dostawców DNS według udziału w rynku i compliance

Raport branżowy za Q1 2026 zmierzył compliance uwierzytelniania w 10 największych dostawcach DNS, uszeregowanych według udziału we wszystkich monitorowanych domenach, w których dostawcę dało się zidentyfikować. Compliance to tutaj odsetek wiadomości z domen danego dostawcy, które przechodzą uwierzytelnianie DMARC, ważony wolumenem poczty.

W danych wyróżniają się trzy grupy:

• Najwyższa półka, powyżej 99% compliance: AWS Route 53 prowadzi z 99,51%, dalej Namecheap (99,35%) i Cloudflare (99,08%). Porkbun siedzi tuż poniżej, na 98,48%. Tych dostawców zwykle wybiera się świadomie, a nie odziedzicza w domyślnej konfiguracji rejestratora, a populacje domen, które z nich korzystają, ciążą ku operatorom, którzy SPF, DKIM i DMARC skonfigurowali starannie.
• Środkowa półka, 96-97% compliance: tutaj skupia się większość nazwanych dostawców. IONOS (96,99%), Google Cloud DNS (96,96%), OVH DNS (96,39%) i GoDaddy (96,13%) mieszczą się w jednym punkcie procentowym od siebie. GoDaddy to zarówno rejestrator, jak i dostawca DNS, i wiele jego domen z DNS-em po jego stronie trafiło tam domyślnie przy rejestracji, a nie przez świadome przeniesienie.
• Jeden odstający: Azure DNS na 87,66%, wyraźnie poniżej granicy 93% "watch" z raportu. Kolejny najgorszy nazwany dostawca jest ponad 8 punktów procentowych wyżej.

Wiersz "pozostali dostawcy" obejmuje 40,77% zidentyfikowanych domen przy 97,80% compliance. Nazwani dostawcy pokrywają pozostałe ok. 60% i to tam rozrzut jest na tyle szeroki, że warto o nim mówić.

Dlaczego Azure DNS siedzi na 87,66%, kiedy reszta przekracza 96%

Azure DNS to jedyny duży dostawca w zbiorze danych poniżej granicy 93% "watch" z raportu. Dlaczego? Oto kilka możliwych powodów (nie udowodnionych w naszych danych):

• Azure DNS jest najczęściej używany wewnątrz środowisk Microsoft 365 i Azure, gdzie infrastruktura pocztowa jest wielowarstwowa. Exchange Online, zewnętrzne usługi relay, lokalne forwardery, zautomatyzowane tenanty i skrzynki współdzielone wysyłają z tej samej domeny. Sam hosting DNS jest prosty; skomplikowana jest strona wysyłki. Dwa powiązane ustalenia z Q1 pokazują, jak ta złożoność wygląda w praktyce: nasza analiza śladu wysyłkowego pokazuje, że złożone domeny potrafią używać jednocześnie dziesiątek osobnych IP wysyłkowych, a nasza analiza zmienności compliance między ESP pokazuje, że domeny kierujące pocztę przez wiele platform e-mailowych skupiają się na niższych poziomach uwierzytelniania.
• Profil klienta Azure DNS przechyla się w stronę enterprise. Przedsiębiorstwa wysyłają szerszy wachlarz typów poczty przez szerszy wachlarz dróg niż mała firma na Cloudflare. Więcej ruchomych elementów oznacza więcej miejsc, w których uwierzytelnianie może zawieść.
• Compliance DMARC w raporcie mierzony jest per wiadomość i ważony wolumenem poczty. Niewielka liczba dużych domen hostowanych na Azure, z lukami w uwierzytelnianiu, potrafi pociągnąć średnią w dół silniej, niż sugerowałaby sama liczba dotkniętych domen.

Żadnego z tych punktów nie da się sprawdzić na samym wykresie. To wzorce, które widzimy w konfiguracjach klientów, a nie ustalenia z tego zbioru danych. Jeśli Twoja domena jest na Azure DNS, liczba compliance, która ma znaczenie, to Twoja własna, a nie średnia.

Co to oznacza dla Twojego setupu

Widok per dostawca DNS jest najbardziej praktyczny dla dwóch ról czytelnika:

Jeśli jesteś agencją lub dostawcą usług IT zarządzającym DNS w wielu domenach klientów, tabela dostawców jest danymi wejściowymi do planowania. AWS Route 53 i Cloudflare oba przekraczają 99% compliance w zbiorze danych; domyślne konfiguracje rejestratorów wbudowane w wiele domen (GoDaddy, IONOS) skupiają się wokół 96%. Te 3 punkty różnicy to różnica między "prawie wszystkie wiadomości przechodzą" a "jedna na 25 nie przechodzi". Dla klientów na p=reject ta luka ma bezpośredni koszt w dostarczalności. Wybór miejsca, w którym żyje DNS w portfolio klientów, to decyzja o dostarczalności, a nie tylko o infrastrukturze.

Jeśli jesteś w enterprise IT i piszesz politykę zarządzania hostingiem DNS, lądowanie Azure DNS na 87,66% nie oznacza, że Azure DNS jest zepsuty. Oznacza, że Azure DNS skupia się w środowiskach, w których infrastruktura pocztowa jest bardziej skomplikowana, niż sugeruje sam setup DNS. Rozwiązaniem nie jest "uciec z Azure"; chodzi o uznanie, że złożone środowiska pocztowe wymagają więcej, a nie mniej, kontroli uwierzytelniania. Traktuj średnią ze zbioru danych jako podłogę, do której porównujesz własny setup, a nie jako benchmark tego, co możliwe.

Tak czy inaczej, poziom compliance, który Cię naprawdę obchodzi, to Twój własny, a nie zagregowany. Zacznij od sprawdzenia, jaki rekord DMARC jest obecnie opublikowany dla Twojej domeny:

Żeby zobaczyć compliance w rozbiciu na źródła wysyłki - które platformy pocztowe przechodzą uwierzytelnianie dla Twojego ruchu i gdzie pojawiają się luki - musisz przetwarzać raporty DMARC w czasie. Darmowy plan DMARCeye obejmuje jedną domenę z pełnym parsowaniem raportów, na tyle, żeby zobaczyć, czy Twój compliance ląduje na najwyższej półce, środkowej, czy poniżej linii watch.

Praktyczny wniosek

Dane za Q1 2026 pokazują rozrzut prawie 12 punktów między 10 największymi nazwanymi dostawcami, od AWS Route 53 na 99,51% po Azure DNS na 87,66%. Ten rozrzut nie bierze się stąd, że technologia pod spodem jest w istotny sposób inna. Bierze się stąd, że wybór dostawcy DNS śledzi intencję operatora: ludzie, którzy wybrali AWS Route 53 albo Cloudflare zamiast domyślnej konfiguracji rejestratora, zwykle też skonfigurowali uwierzytelnianie starannie, a ta staranność widać w liczbach compliance.

Jeśli już prowadzisz monitoring DMARC, to jest kontekst dla Twoich własnych liczb, a nie benchmark. DMARCeye parsuje Twoje raporty DMARC i mówi Ci, dla Twojej konkretnej domeny, co przechodzi, co nie i co naprawić w następnej kolejności, bez konieczności samodzielnego interpretowania surowego XML.