Domena, która wysyła mniej niż 10,000 emaili miesięcznie, korzysta średnio ze 107 różnych serwerów do wysyłki poczty. Platforma do newsletterów, helpdesk, CRM, bramka płatności, system rezerwacji spotkań - każde z tych narzędzi używa własnych serwerów i każde pojawia się jako osobne źródło w raportach DMARC. Większość właścicieli domen nie zdaje sobie sprawy, ile adresów IP wysyła pocztę w ich imieniu. Poniższe dane pochodzą z raportu branżowego DMARCeye za Q1 2026, opartego na kilku tysiącach monitorowanych domen.
Ten artykuł omawia dane o nadawczym footprincie z raportu branżowego DMARCeye za Q1 2026. Pełny raport i metodologia są poniżej.
Kiedy ktoś z Twojej firmy wysyła email, wiadomość wychodzi z serwera. Ten serwer ma adres IP - unikalny numer, który identyfikuje go w internecie, tak jak adres pocztowy identyfikuje budynek. Każde narzędzie lub usługa, która wysyła email "z" Twojej domeny, korzysta z własnego serwera (lub grupy serwerów), a każdy z nich ma inny adres IP.
Załóżmy, że Twoja firma używa:
Każda z tych usług wysyła email z nazwą Twojej domeny w polu "Od". Każda korzysta z innych serwerów (sam Google operuje tysiącami serwerów pocztowych, więc nawet zwykła poczta firmowa może wychodzić z kilkudziesięciu adresów IP dziennie).
Pomnóż to przez każde narzędzie, które kiedykolwiek zostało podłączone do Twojej domeny, a liczba rośnie szybko. Część tych narzędzi została skonfigurowana lata temu przez osobę, która już nie pracuje w firmie. Inne dodał zespół marketingu pod jednorazową kampanię albo ktoś testował je przez tydzień i zapomniał. Nadal mogą wysyłać email jako Twoja domena.
Raport branżowy DMARCeye za Q1 2026 zmierzył średnią liczbę unikalnych nadawczych adresów IP na domenę w kilku tysiącach monitorowanych domen, pogrupowanych według miesięcznego wolumenu emaili:
Liczby w podziale na przedziały:
Im więcej emaili wysyła Twoja domena, tym więcej serwerów bierze w tym udział. Ale nawet najniższy przedział - 107 IP - to o wiele więcej, niż większość firm się spodziewa.
Adresy IP wysyłające email jako Twoja domena można podzielić na kilka kategorii:
Zatwierdzeni dostawcy, o których wiesz. Twój dostawca email, platforma marketing automation, serwis do emaili transakcyjnych. To są narzędzia, które sam skonfigurowałeś i ustawiłeś z odpowiednią autoryzacją SPF i DKIM. Powinny przechodzić kontrole DMARC bez problemów.
Narzędzia podłączone przez inne działy. Ktoś z zespołu sprzedaży zaczyna używać nowego narzędzia do prospectingu. Dział HR wybiera platformę do ankiet. Księgowość podłącza nową usługę fakturowania. Każde z tych narzędzi wysyła email z Twojej domeny i każde dodaje adresy IP do Twojego footprintu. IT dowiaduje się o nich, gdy zaczynają nie przechodzić kontroli autoryzacji (albo gdy pojawiają się po raz pierwszy w raporcie DMARC). To zjawisko bywa nazywane "shadow IT" i jest jednym z najczęstszych powodów, dla których firmy mają o wiele więcej nadawczych IP, niż się spodziewają. Czasem te systemy zostają zapomniane (np. po odejściu osoby, która ich używała).
Przekierowania i listy mailingowe. Gdy ktoś przekazuje Twój email przez listę mailingową lub alias, adres IP serwera przekazującego pojawia się w raportach. Nie autoryzowałeś tego serwera, ale obsługuje on Twoją pocztę.
Nieautoryzowani nadawcy i atakujący. Każdy może próbować wysłać email z Twoją nazwą domeny. Bez egzekwowania DMARC część tych wiadomości dotrze do skrzynek odbiorców. Nawet z egzekwowaniem te próby pojawiają się w raportach DMARC jako odrzucone wiadomości z adresów IP, których nie rozpoznajesz.
Adres IP, którego nie autoryzowałeś, nie zawsze należy do atakującego, ale nie dowiesz się tego, dopóki nie sprawdzisz.
Prawidłowy email nie przechodzi autoryzacji. Gdy narzędzie wysyła email z Twojej domeny, ale nie jest wymienione w Twoim rekordzie SPF albo nie podpisuje wiadomości Twoim kluczem DKIM, serwery odbiorcze traktują je jako nieautoryzowane. Jeśli Twoja domena ma ustawione p=quarantine lub p=reject, taki email trafia do spamu albo jest blokowany. Narzędzie jest prawidłowe, ale brakuje konfiguracji. Nie dowiesz się o tym, jeśli nie monitorujesz swoich raportów DMARC.
Atakujący używają Twojej domeny do wysyłania fałszywych emaili. Phishing z Twoją nazwą domeny to bezpośrednie zagrożenie dla marki i bezpieczeństwa. Dane z Q1 2026 pokazują, że 36.7% monitorowanych domen nadal ma ustawione p=none, co oznacza, że serwery odbiorcze dostarczają wszystkie wiadomości bez względu na wynik autoryzacji. W przypadku tych domen atakujący mogą wysyłać email jako dana domena bez żadnych konsekwencji.
Wymogi compliance zakładają, że masz pełen wgląd. Wymagania Google dla nadawców masowych (obowiązujące od lutego 2024) wymagają autoryzacji DMARC od każdego, kto wysyła więcej niż 5,000 wiadomości dziennie na Gmail. Dyrektywa NIS2 Unii Europejskiej wymaga od organizacji w objętych sektorach zarządzania i monitorowania infrastruktury email. Oba te regulacje zakładają, że wiesz, kto wysyła email jako Twoja domena. Jeśli nie potrafisz wymienić swoich źródeł wysyłki, nie możesz wykazać zgodności.
DMARC ma tę widoczność wbudowaną. Gdy opublikujesz rekord DMARC dla swojej domeny, serwery odbiorcze (Gmail, Outlook, Yahoo i inne) zaczynają wysyłać Ci codzienne raporty zbiorcze. Każdy raport to plik XML zawierający listę wszystkich adresów IP, które wysłały email z Twoją domeną, liczbę wiadomości od każdego adresu IP i informację, czy te wiadomości przeszły kontrole SPF i DKIM.
W praktyce raporty z jednego dnia dla umiarkowanie aktywnej domeny mogą obejmować setki plików XML od różnych odbiorców, a każdy z nich zawiera dziesiątki lub setki wpisów IP. Ręczne czytanie ich jest nierealistyczne.
Narzędzie do monitoringu DMARC parsuje te raporty automatycznie i grupuje dane według źródła, dostawcy i statusu autoryzacji. Zamiast stosu plików XML dostajesz listę wszystkich serwerów wysyłających email jako Twoja domena, informację, czy każdy z nich jest autoryzowany i czy przechodzi kontrolę. Możesz sprawdzić, jak wygląda rekord DMARC Twojej domeny w tej chwili:
Darmowy plan DMARCeye obejmuje jedną domenę z limitem 5,000 emaili miesięcznie i pełne parsowanie raportów - wystarczająco, żeby zobaczyć cały footprint nadawczy i znaleźć źródła, o których nie wiedziałeś.
Footprint nadawczy Twojej domeny jest prawie na pewno większy, niż myślisz. Nawet małe domeny mają średnio ponad 100 unikalnych nadawczych IP, a ta liczba rośnie gwałtownie wraz z wolumenem. Nie wszystkie te źródła to źródła, które autoryzowałeś.
Pierwszy krok to zobaczenie tej listy. DMARCeye parsuje Twoje raporty automatycznie i pokazuje każde źródło wysyłki, pogrupowane według dostawcy, ze statusem autoryzacji dla każdego z nich.