DMARCbis: co zmienia, a czego nie

DMARCbis, zaktualizowana wersja standardu DMARC, jest już prawie oficjalna. Publikacja planowana jest na 2026 rok i zastąpi obecną specyfikację RFC 7489. Jeśli zarządzasz domeną, z której wysyłane są e-maile, wyjaśniamy prostym językiem, co nowy standard naprawdę dla ciebie oznacza.

DMARC to mechanizm, który mówi dostawcom skrzynek pocztowych, czy wiadomości podające się za pochodzące z twojej domeny naprawdę od ciebie pochodzą. Jeśli wysyłasz faktury, newslettery, resetowanie haseł lub cokolwiek innego z własnej domeny, to właśnie DMARC powstrzymuje oszusta przed podszywaniem się pod ciebie. Większość zmian w DMARCbis to cicha robota pod maską. Jedna zmiana nie jest cicha i ma znaczenie dla każdego, kto zarządza domeną.

W skrócie

Oto cała aktualizacja w pięciu punktach.

• Twój obecny rekord DMARC nadal działa. Nie musisz go zmieniać. Znacznik identyfikujący rekord DMARC (v=DMARC1) pozostaje taki sam.
• Funkcja stopniowego wdrażania zostaje usunięta. DMARC miał wbudowany "regulator jasności", który miał pozwalać powoli zwiększać poziom ochrony - zastosować zasady najpierw do, powiedzmy, 10% podejrzanych wiadomości, a potem stopniowo dochodzić do 100%. Ten regulator nigdy tak naprawdę nie działał. DMARCbis po prostu go wyrzuca.
• Część wewnętrznych mechanizmów zostaje wymieniona. Dostawcy skrzynek pocztowych korzystali kiedyś z zewnętrznej listy, żeby ustalić, gdzie kończy się domena twojej organizacji. Teraz będą pytać bezpośrednio DNS. Większość właścicieli domen tego nie odczuje.
• Nowe oficjalne wytyczne dla domen z listami mailingowymi. Jeśli osoby z twojej domeny piszą na listy dyskusyjne (listy projektów open-source, fora branżowe, biuletyny stowarzyszeń), nie podkręcaj DMARC na maksa - popsujesz te listy.
• Kilka rzadko spotykanych znaczników zmienia nazwę lub znika. Twój rekord się tym nie przejmuje. Działa dalej.

Reszta tego tekstu jest o "regulatorze jasności", bo to właśnie ta zmiana ma znaczenie.

Zmiana, która naprawdę ma znaczenie

Potraktuj DMARC jak urządzenie z trzema ustawieniami.

• Wyłączone (domyślne p=none): żadnych reguł. Dostajesz raporty, ale dostawcy skrzynek nic nie robią z podejrzanymi wiadomościami.
• Kwarantanna (p=quarantine): podejrzane wiadomości trafiają do folderu spam.
• Odrzucanie (p=reject): podejrzane wiadomości są blokowane, zanim do kogokolwiek dotrą.

Przejście od razu z "wyłączonego" na "odrzucanie" to właśnie ten straszny ruch. W momencie, gdy przestawisz przełącznik, każda wiadomość z nadawcy, o którym zapomniałeś - twój operator płatności, stare narzędzie marketingowe, archaiczny CRM, zapomniana platforma fakturowa - zaczyna być po cichu blokowana. Prawdziwe wiadomości znikają. Klienci nie dostają potwierdzeń, na które czekali. To właśnie ten scenariusz sprawia, że większość zespołów tkwi w trybie "wyłączonym" przez lata.

Stara specyfikacja DMARC miała funkcję, która miała temu zapobiegać. Nazywała się znacznik pct i działała jak regulator jasności. Mogłeś powiedzieć dostawcom skrzynek: "zastosuj regułę odrzucania tylko do 10% podejrzanych wiadomości przez pierwszy tydzień, potem zwiększ do 50%, potem do 100%". W teorii po drodze znalazłbyś zapomnianych nadawców, bez jednoczesnego zepsucia wszystkiego naraz.

W praktyce regulator nie działał. Różni dostawcy skrzynek różnie interpretowali ten procent, a wielu w ogóle nie stosowało ustawień częściowych. Nasze dane własne pokazują, że znacznik pct był rzadko używany poprawnie, a na większości domen nie był używany w ogóle. Publikowałeś pct=10 i liczyłeś na szczęście; rzeczywisty odsetek wiadomości, do których zastosowano regułę, pozostawał zagadką.

DMARCbis całkowicie usuwa ten regulator. Najbliższym zamiennikiem jest nowe ustawienie binarne - znacznik t: "testing" (traktuje politykę odrzucania tak, jakby była tylko kwarantanną) lub "full enforcement" (domyślne). Żadnych procentów. Żadnej skali. Tylko włączone albo wyłączone.

Nowa specyfikacja nie zastępuje regulatora działającą wersją. Wyrzuca zepsutą funkcję i zostawia problem stopniowego wdrażania tobie.

Nudne zmiany, w skrócie

Jeśli ciekawią cię pozostałe elementy:

• Pytanie "gdzie kończy się twoja domena" jest teraz rozstrzygane przez zapytania DNS, a nie przez zewnętrzną listę o nazwie Public Suffix List. Dla zwykłych użytkowników z jedną domeną w praktyce nic się nie zmienia. Jeśli prowadzisz platformę, która przydziela klientom subdomeny pod ich własną marką (hosting, kreator stron, płatności jako usługa), albo jeśli twoja domena siedzi pod nietypowym public suffixem, warto sprawdzić, czy twoje rekordy DMARC rozwiązują się tak, jak się spodziewasz.
• Zasada dotycząca list mailingowych jest teraz oficjalna. Nowa specyfikacja wprost ostrzega przed stosowaniem pełnej polityki odrzucania na domenach z aktywnym ruchem listowym. Powód jest ten sam, który zna każdy administrator listy: listy mailingowe przepisują nagłówki wiadomości w sposób, który psuje DMARC, więc polityka odrzucania karze niewinnych subskrybentów. Typowe rozwiązanie to wydzielenie - przenieś ruch listowy na osobną subdomenę z luźniejszą polityką.
• Kilka zmian nazw znaczników. Trzy stare znaczniki (pct, rf, ri) znikają. Wchodzą trzy nowe (psd, np, t). Czytelnicy, którzy chcą poznać pełną specyfikację, znajdą ją pod draft-ietf-dmarc-dmarcbis-41. Dla wszystkich innych: twój obecny rekord się tym nie przejmuje.

Czego DMARCbis nie rozwiązuje

Usunięcie regulatora to uczciwy ruch. Funkcja nie działała, a nowa specyfikacja nie udaje, że było inaczej. Ale usunięcie jej nie rozwiązuje problemu leżącego u podstaw.

Oto co widzimy w migawce z I kwartału 2026 roku dla domen aktywnie monitorowanych na platformie DMARCeye.

• Cztery na dziesięć domen z wdrożonym DMARC tkwi w trybie "tylko obserwuję", czasem latami. Włączone reguły? Żadne. Ochrona przed spoofingiem? Zerowa. Zadali sobie trud skonfigurowania DMARC i uruchomienia narzędzia do monitoringu, a mimo to niczego nie blokują.
• Spośród domen, które faktycznie blokują, dziewiętnaście na dwadzieścia przestawiło przełącznik za jednym zamachem, przechodząc od razu na 100% egzekwowania bez okresu próbnego. Dla większości to się kończy dobrze. Dla tych, u których się nie kończy, pierwszym sygnałem problemu jest zazwyczaj pytanie od klienta, dlaczego nigdy nie dostał potwierdzenia.

Dwa rezultaty, jedna przyczyna. DMARC nie oferuje działającego środka pomiędzy obserwowaniem a blokowaniem. Funkcja, która miała tę lukę zasypać, była niepewna, a DMARCbis usuwa ją, nie zastępując niczym, co działa.

Co powinieneś zrobić

Dla większości właścicieli domen odpowiedź brzmi: nic pilnego. Oto dłuższa wersja, w zależności od twojej sytuacji.

• Jeśli nigdy nie wdrożyłeś DMARC: skonfiguruj go w trybie "tylko obserwuję". Zaczniesz dostawać raporty pokazujące każde źródło, które wysyła wiadomości podające się za pochodzące z twojej domeny. Nie musisz czekać na DMARCbis. Rekord, który opublikujesz dzisiaj, będzie nadal działał po wejściu nowej specyfikacji.
• Jeśli od dawna tkwisz w trybie "tylko obserwuję": DMARCbis nie zmienia twojej sytuacji. Utknąłeś nie z powodu specyfikacji - utknąłeś, bo nie masz bezpiecznego sposobu, żeby przejść dalej. Narzędzia, które pokazują, co się zepsuje, zanim przestawisz przełącznik, są teraz warte więcej niż kiedykolwiek.
• Jeśli używałeś regulatora (znacznik pct) do stopniowego zwiększania: twój rekord pozostaje ważny, ale dostawca skrzynek zgodny z DMARCbis potraktuje twój rekord z pct<100 tak, jakby był ustawiony na 100%. Zaplanuj przejście już teraz. Najbliższym zamiennikiem jest nowy tryb testowy t=y.
• Jeśli twoja domena ma aktywne listy mailingowe: potraktuj nowe oficjalne wytyczne poważnie. Pełna polityka odrzucania na domenie z ruchem listowym psuje legalnych subskrybentów. Większość zespołów rozwiązuje to przez wydzielenie - ruch listowy dostaje własną subdomenę z luźniejszą polityką.

Czego to od ciebie wymaga

Nic pilnego. DMARC po DMARCbis to nadal DMARC, a rekord, który publikujesz dzisiaj, będzie akceptowany w dniu, w którym nowa specyfikacja stanie się oficjalna. Zmienia się coś bardziej filozoficznego niż technicznego: potraktuj przejście z "obserwowania" do "blokowania" jako problem, który będziesz musiał rozwiązać za pomocą widoczności i narzędzi, a nie wbudowanej funkcji specyfikacji.

Narzędzia, które śledzą twoje raporty DMARC, wychwytują nieznanych nadawców, zanim włączysz blokowanie, i tłumaczą prostym językiem, co się zepsuje przy ostrzejszej polityce, stają się tym cenniejsze, im ostrzejszy staje się sam standard. DMARCeye został zbudowany dokładnie pod tę rolę. Nasze darmowe narzędzia online (konfigurator DMARC, checkery SPF, DKIM i BIMI) obsłużą stronę konfiguracyjną w mniej niż dziesięć minut.

Wypróbuj DMARCeye za darmo już dziś i zobacz, co naprawdę mówią raporty e-mailowe twojej domeny, zanim specyfikacja się zmieni.