Footprint nadawczy Twojej domeny: ile adresów IP wysyła pocztę jako Twoja domena

Domena, która wysyła mniej niż 10,000 emaili miesięcznie, korzysta średnio ze 107 różnych serwerów do wysyłki poczty. Platforma do newsletterów, helpdesk, CRM, bramka płatności, system rezerwacji spotkań - każde z tych narzędzi używa własnych serwerów i każde pojawia się jako osobne źródło w raportach DMARC. Większość właścicieli domen nie zdaje sobie sprawy, ile adresów IP wysyła pocztę w ich imieniu. Poniższe dane pochodzą z raportu branżowego DMARCeye za Q1 2026, opartego na kilku tysiącach monitorowanych domen.

Ten artykuł omawia dane o nadawczym footprincie z raportu branżowego DMARCeye za Q1 2026. Pełny raport i metodologia są poniżej.

Czym jest nadawczy adres IP (i dlaczego masz ich tak dużo)

Kiedy ktoś z Twojej firmy wysyła email, wiadomość wychodzi z serwera. Ten serwer ma adres IP - unikalny numer, który identyfikuje go w internecie, tak jak adres pocztowy identyfikuje budynek. Każde narzędzie lub usługa, która wysyła email "z" Twojej domeny, korzysta z własnego serwera (lub grupy serwerów), a każdy z nich ma inny adres IP.

Załóżmy, że Twoja firma używa:

• Google Workspace do codziennej poczty firmowej
• Mailchimp do comiesięcznego newslettera
• Zendesk do obsługi zgłoszeń klientów
• Stripe do potwierdzeń płatności
• Calendly do zaproszeń na spotkania

Każda z tych usług wysyła email z nazwą Twojej domeny w polu "Od". Każda korzysta z innych serwerów (sam Google operuje tysiącami serwerów pocztowych, więc nawet zwykła poczta firmowa może wychodzić z kilkudziesięciu adresów IP dziennie).

Pomnóż to przez każde narzędzie, które kiedykolwiek zostało podłączone do Twojej domeny, a liczba rośnie szybko. Część tych narzędzi została skonfigurowana lata temu przez osobę, która już nie pracuje w firmie. Inne dodał zespół marketingu pod jednorazową kampanię albo ktoś testował je przez tydzień i zapomniał. Nadal mogą wysyłać email jako Twoja domena.

Ile adresów IP wysyła pocztę za domeny takie jak Twoja

Raport branżowy DMARCeye za Q1 2026 zmierzył średnią liczbę unikalnych nadawczych adresów IP na domenę w kilku tysiącach monitorowanych domen, pogrupowanych według miesięcznego wolumenu emaili:

Liczby w podziale na przedziały:

• Poniżej 10,000 emaili/miesiąc: średnio 107 unikalnych nadawczych IP. To małe firmy, freelancerzy i przedsiębiorstwa z jedną domeną. Nawet przy tej skali footprint jest na tyle duży, że nikt nie jest w stanie śledzić każdego źródła ręcznie.
• 10,000 do 100,000 emaili/miesiąc: 575 IP. To średniej wielkości firma z newsletterem, CRM-em, emailem transakcyjnym i kilkoma integracjami. Footprint jest już zbyt rozbudowany, żeby ogarnąć go w arkuszu kalkulacyjnym.
• 100,000 do 500,000 emaili/miesiąc: 962 IP. Firmy przy tym wolumenie zazwyczaj korzystają z wielu narzędzi marketingowych, kilku przepływów transakcyjnych i regionalnych wariantów tych samych kampanii.
• 500,000 do 1 miliona emaili/miesiąc: 1,309 IP. Przy tej skali infrastruktura nadawcza obejmuje dedykowane pule IP, wiele umów z ESP i często mieszankę współdzielonych i dedykowanych adresów IP.
• Ponad 1 milion emaili/miesiąc: średnio 3,137 IP. Nadawcy enterprise ze złożonymi, wielovendorowymi infrastrukturami, operacjami globalnymi i systemami legacy, których nikt nie posprzątał.

Im więcej emaili wysyła Twoja domena, tym więcej serwerów bierze w tym udział. Ale nawet najniższy przedział - 107 IP - to o wiele więcej, niż większość firm się spodziewa.

Skąd się bierze tyle adresów IP?

Adresy IP wysyłające email jako Twoja domena można podzielić na kilka kategorii:

Zatwierdzeni dostawcy, o których wiesz. Twój dostawca email, platforma marketing automation, serwis do emaili transakcyjnych. To są narzędzia, które sam skonfigurowałeś i ustawiłeś z odpowiednią autoryzacją SPF i DKIM. Powinny przechodzić kontrole DMARC bez problemów.

Narzędzia podłączone przez inne działy. Ktoś z zespołu sprzedaży zaczyna używać nowego narzędzia do prospectingu. Dział HR wybiera platformę do ankiet. Księgowość podłącza nową usługę fakturowania. Każde z tych narzędzi wysyła email z Twojej domeny i każde dodaje adresy IP do Twojego footprintu. IT dowiaduje się o nich, gdy zaczynają nie przechodzić kontroli autoryzacji (albo gdy pojawiają się po raz pierwszy w raporcie DMARC). To zjawisko bywa nazywane "shadow IT" i jest jednym z najczęstszych powodów, dla których firmy mają o wiele więcej nadawczych IP, niż się spodziewają. Czasem te systemy zostają zapomniane (np. po odejściu osoby, która ich używała).

Przekierowania i listy mailingowe. Gdy ktoś przekazuje Twój email przez listę mailingową lub alias, adres IP serwera przekazującego pojawia się w raportach. Nie autoryzowałeś tego serwera, ale obsługuje on Twoją pocztę.

Nieautoryzowani nadawcy i atakujący. Każdy może próbować wysłać email z Twoją nazwą domeny. Bez egzekwowania DMARC część tych wiadomości dotrze do skrzynek odbiorców. Nawet z egzekwowaniem te próby pojawiają się w raportach DMARC jako odrzucone wiadomości z adresów IP, których nie rozpoznajesz.

Co się dzieje, gdy nie znasz swoich nadawców

Adres IP, którego nie autoryzowałeś, nie zawsze należy do atakującego, ale nie dowiesz się tego, dopóki nie sprawdzisz.

Prawidłowy email nie przechodzi autoryzacji. Gdy narzędzie wysyła email z Twojej domeny, ale nie jest wymienione w Twoim rekordzie SPF albo nie podpisuje wiadomości Twoim kluczem DKIM, serwery odbiorcze traktują je jako nieautoryzowane. Jeśli Twoja domena ma ustawione p=quarantine lub p=reject, taki email trafia do spamu albo jest blokowany. Narzędzie jest prawidłowe, ale brakuje konfiguracji. Nie dowiesz się o tym, jeśli nie monitorujesz swoich raportów DMARC.

Atakujący używają Twojej domeny do wysyłania fałszywych emaili. Phishing z Twoją nazwą domeny to bezpośrednie zagrożenie dla marki i bezpieczeństwa. Dane z Q1 2026 pokazują, że 36.7% monitorowanych domen nadal ma ustawione p=none, co oznacza, że serwery odbiorcze dostarczają wszystkie wiadomości bez względu na wynik autoryzacji. W przypadku tych domen atakujący mogą wysyłać email jako dana domena bez żadnych konsekwencji.

Wymogi compliance zakładają, że masz pełen wgląd. Wymagania Google dla nadawców masowych (obowiązujące od lutego 2024) wymagają autoryzacji DMARC od każdego, kto wysyła więcej niż 5,000 wiadomości dziennie na Gmail. Dyrektywa NIS2 Unii Europejskiej wymaga od organizacji w objętych sektorach zarządzania i monitorowania infrastruktury email. Oba te regulacje zakładają, że wiesz, kto wysyła email jako Twoja domena. Jeśli nie potrafisz wymienić swoich źródeł wysyłki, nie możesz wykazać zgodności.

Jak zobaczyć pełny footprint nadawczy

DMARC ma tę widoczność wbudowaną. Gdy opublikujesz rekord DMARC dla swojej domeny, serwery odbiorcze (Gmail, Outlook, Yahoo i inne) zaczynają wysyłać Ci codzienne raporty zbiorcze. Każdy raport to plik XML zawierający listę wszystkich adresów IP, które wysłały email z Twoją domeną, liczbę wiadomości od każdego adresu IP i informację, czy te wiadomości przeszły kontrole SPF i DKIM.

W praktyce raporty z jednego dnia dla umiarkowanie aktywnej domeny mogą obejmować setki plików XML od różnych odbiorców, a każdy z nich zawiera dziesiątki lub setki wpisów IP. Ręczne czytanie ich jest nierealistyczne.

Narzędzie do monitoringu DMARC parsuje te raporty automatycznie i grupuje dane według źródła, dostawcy i statusu autoryzacji. Zamiast stosu plików XML dostajesz listę wszystkich serwerów wysyłających email jako Twoja domena, informację, czy każdy z nich jest autoryzowany i czy przechodzi kontrolę. Możesz sprawdzić, jak wygląda rekord DMARC Twojej domeny w tej chwili:

Darmowy plan DMARCeye obejmuje jedną domenę z limitem 5,000 emaili miesięcznie i pełne parsowanie raportów - wystarczająco, żeby zobaczyć cały footprint nadawczy i znaleźć źródła, o których nie wiedziałeś.

Podsumowanie

Footprint nadawczy Twojej domeny jest prawie na pewno większy, niż myślisz. Nawet małe domeny mają średnio ponad 100 unikalnych nadawczych IP, a ta liczba rośnie gwałtownie wraz z wolumenem. Nie wszystkie te źródła to źródła, które autoryzowałeś.

Pierwszy krok to zobaczenie tej listy. DMARCeye parsuje Twoje raporty automatycznie i pokazuje każde źródło wysyłki, pogrupowane według dostawcy, ze statusem autoryzacji dla każdego z nich.