DMARCeye blog

Jak rozwiązywać problemy i naprawiać błędy DMARC

Autor: Jack Zagorski | 2025-10-29 15:22:32

Po wprowadzeniu rekordu DMARC, nierzadko pojawiają się problemy. Wiadomości e-mail, które wcześniej były dostarczane prawidłowo, mogą nagle wylądować w spamie, niektórzy legalni nadawcy mogą nie przejść uwierzytelnienia lub możesz zauważyć dziwne wyniki w swoich raportach.

DMARC zapewnia potężną ochronę przed spoofingiem, ale wymaga również precyzji. Pojedynczy błąd składni lub źle ustawiona domena może spowodować awarię całego systemu poczty elektronicznej.

Ten przewodnik omawia najczęstsze problemy związane z DMARC, jak je zidentyfikować i jak je naprawić krok po kroku. Pokazujemy również, w jaki sposób DMARCeye może ułatwić i przyspieszyć ten proces.

Aby uzyskać pełny przegląd i mapę drogową wdrażania DMARC, od konfiguracji do ciągłego monitorowania i nie tylko, zobacz nasz przewodnik monitorowania i zgodności DMARC.

Najczęstsze problemy z DMARC i sposoby ich rozwiązywania

Poniżej znajduje się sześć najczęstszych problemów związanych z DMARC oraz sposób ich identyfikacji i naprawy zarówno ręcznie, jak i za pomocą pulpitu nawigacyjnego DMARCeye.

1. SPF Failures

Objawy:

  • Twoje raporty DMARC pokazują "spf=fail" dla znanych nadawców.
  • Legalne wiadomości są poddawane kwarantannie lub odrzucane.

Przyczyny:

  • Brakujące lub nieaktualne adresy IP w rekordzie SPF.
  • Wiadomości e-mail wysyłane od zewnętrznego dostawcy (np. CRM, platforma marketingowa, system biletowy) nieuwzględnione w SPF.
  • Wiele rekordów SPF w DNS.

Rozwiązanie:

  • Użyj narzędzia do wyszukiwania lub narzędzia do monitorowania DMARC, aby zobaczyć, którzy nadawcy nie spełniają SPF.
  • Zidentyfikuj, czy ci nadawcy są legalni. W DMARCeye, nieudane IP pojawiają się jako odrębne źródła wysyłania oznaczone czerwonym lub pomarańczowym statusem.
  • Jeśli nadawca jest legalny, dodaj jego oświadczenie include do rekordu SPF. Przykład
    v=spf1 include:_spf.google.com include:sendgrid.net -all
  • Po aktualizacji DNS, monitoruj trend SPF pass rate, aby sprawdzić, czy problem został rozwiązany.

Objawy:

  • Raporty DMARC pokazują "dkim=fail" nawet dla zaufanych nadawców.
  • Serwer odbierający nie może zweryfikować podpisu DKIM.

Przyczyny:

  • Klucz DKIM nie został poprawnie opublikowany w DNS.
  • Używasz niewłaściwego selektora w konfiguracji.
  • Usługa poczty e-mail zmieniła ustawienia DKIM, a DNS nie został zaktualizowany.

Poprawka:

  1. Potwierdź, że Twój rekord DKIM jest aktualny i poprawny. Sprawdź go przy użyciu domeny i selektora (np. selektor1._domainkey.twojadomena.com).
  2. Sprawdź, czy rekord zaczyna się od:
    v=DKIM1; k=rsa; p=...
  3. Wygeneruj i ponownie opublikuj nowy klucz DKIM, jeśli brakuje rekordu lub jest on uszkodzony.
  4. Ponownie wyślij wiadomość testową i potwierdź, że przeszła ona walidację DKIM.

3. Problemy z wyrównaniem

Objawy:

  • Zarówno SPF, jak i DKIM przechodzą pomyślnie, ale DMARC nadal kończy się niepowodzeniem.
  • Domena "header from" nie pasuje do domen w rekordach SPF lub DKIM.

Przyczyny:

  • Źle dopasowane subdomeny (np. mailer.yourdomain.com vs. yourdomain.com).
  • Nadawcy zewnętrzni używający własnych domen zamiast Twoich w nagłówkach.

Poprawka:

  1. Sprawdź ustawienia wyrównania DMARC:
    aspf=r; adkim=r
  2. "r" oznacza złagodzone wyrównanie (subdomeny są dozwolone). Jeśli wymuszasz ścisłe wyrównanie(aspf=s; adkim=s), domeny muszą być dokładnie zgodne.
  3. Rozluźnij wyrównanie, jeśli używasz wielu subdomen lub nadawców zewnętrznych.
  4. Jeśli wolisz ścisłe wyrównanie, skonfiguruj każdy system do podpisywania wiadomości e-mail dokładną domeną.

4. Błędy składni rekordów DMARC

Objawy:

  • Raporty nie docierają.
  • Narzędzia testujące pokazują "nieprawidłowy rekord DMARC".
  • Dostawcy skrzynek pocztowych ignorują zasady.

Przyczyny:

  • Brakujące średniki, literówki lub błędnie sformatowane tagi.
  • Omyłkowo dodane cudzysłowy lub podziały wierszy.

Poprawka:

  1. Skopiuj swój rekord DMARC do walidatora (takiego jak dmarcian.com lub MxToolbox).
  2. Sprawdź, czy jest on zgodny z prawidłowym formatem:
    v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; aspf=r; adkim=r
  3. Usuń niepotrzebne spacje lub podziały wierszy.
  4. Opublikuj ponownie i przetestuj ponownie.

5. Brakujące autoryzacje stron trzecich

Objawy:

  • Niektóre usługi (takie jak CRM lub newslettery) konsekwentnie zawodzą DMARC.
  • Adresy IP tych samych dostawców pojawiają się w raportach jako nieudane źródła.

Przyczyny:

  • Platforma wysyła wiadomości e-mail przy użyciu Twojej domeny, ale nie jest autoryzowana w SPF lub DKIM.

Poprawka:

  1. Sprawdź, czy dostawca obsługuje niestandardowe ustawienia DKIM lub SPF.
  2. Dodaj ich SPF include (jeśli został dostarczony) do swojego rekordu DNS.
  3. Wygeneruj i opublikuj klucz DKIM, jeśli platforma na to pozwala.
  4. Jeśli nie jest to możliwe, rozważ użycie subdomeny (np. news.yourdomain.com) dedykowanej temu nadawcy.

6. Brak raportów DMARC

Objawy:

  • Opublikowałeś rekord DMARC, ale nie otrzymujesz raportów.

Przyczyny:

  • Nieprawidłowe lub nieosiągalne adresy e-mail w tagach rua lub ruf.
  • Odbierająca skrzynka pocztowa odrzuca duże załączniki XML.
  • Dostawcy nie rozpoczęli jeszcze wysyłania raportów (może to potrwać do 48 godzin).

Poprawka:

  1. Sprawdź dwukrotnie adresy raportowania rekordu:
    rua=mailto:dmarc-aggregate@yourdomain.com; ruf=mailto:dmarc-forensic@yourdomain.com
  2. Upewnij się, że te skrzynki odbiorcze mogą odbierać załączniki.
  3. Użyj narzędzia do monitorowania DMARC, aby zbierać raporty bardziej niezawodnie od wszystkich dostawców.

Wykorzystanie raportów do identyfikacji i rozwiązywania problemów

Zbiorcze raporty DMARC i raporty kryminalistyczne są najlepszymi narzędziami do rozwiązywania problemów.

Szukaj wzorców takich jak:

  • Konsekwentne błędy SPF lub DKIM z jednego adresu IP (prawdopodobnie problem z konfiguracją).
  • Nieznane adresy IP wysyłające duże ilości wiadomości (może to wskazywać na spoofing).
  • Legalni nadawcy, którzy nie przeszli DKIM, ale przeszli SPF (może to oznaczać, że należy sprawdzić konfigurację DKIM dla tej usługi).

Z biegiem czasu, raporty te będą pokazywać poprawę w miarę naprawiania każdego źródła niepowodzeń i zmierzania w kierunku egzekwowania prawa.

Jak DMARCeye pomaga szybciej rozwiązywać problemy

Każdy rekord DMARC wymaga w końcu dopracowania, ponieważ nowi dostawcy, nowe subdomeny i zmiany polityki tworzą potencjalne słabe punkty. DMARCeye działa jako warstwa ciągłego monitorowania, zapewniając, że konfiguracja DMARC, SPF i DKIM nadal działa zgodnie z przeznaczeniem.

Dzięki DMARCeye możesz:

  • Wykrywać i naprawiać problemy z uwierzytelnianiem, zanim wpłyną one na dostarczalność.
  • Monitorować próby spoofingu we wszystkich domenach.
  • Utrzymywać spójną, zgodną z polityką konfigurację bez ręcznej analizy XML.
  • Bezpiecznie przechodzić od p=none do p=reject z pewnością popartą danymi.

Przekształć złożone rozwiązywanie problemów DNS w jasny, praktyczny wgląd.

Zarejestruj się na bezpłatną wersję próbną DMARCeye już dziś i zacznij chronić swoją domenę e-mail.
Wyświetl kompletny wpis