Luka w egzekwowaniu DMARC: dane Q1 2026 | DMARCeye

Cały sens DMARC to egzekwowanie. Rekord mówi serwerom odbierającym pocztę, co zrobić z wiadomościami, które nie przechodzą uwierzytelnienia: wysłać je do spamu z p=quarantine albo odrzucić wprost z p=reject. Dopóki domena nie osiągnie jednej z tych polityk, DMARC daje tylko widoczność. Przydatną, ale nie ochronę. Dane z platformy monitoringu DMARCeye za Q1 2026 pokazują, że ponad jedna trzecia domen z aktywnym DMARC nigdy do tego punktu nie dochodzi.

Ten artykuł rozkłada na czynniki pierwsze ustalenia dotyczące rozkładu polityk z raportu branżowego DMARCeye za Q1 2026. Pełny raport, ze wszystkimi 12 widokami wykresów i metodologią, znajduje się poniżej.

Gdzie znajdują się domeny z aktywnym DMARC w Q1 2026

Wśród tysięcy domen aktywnie monitorowanych przez DMARCeye podział polityk wygląda tak:

• 36,7% na p=none: tylko monitoring. Rekord DMARC istnieje, ale serwery odbierające nie dostają polecenia, co robić, gdy uwierzytelnienie zawodzi.
• 36,8% na p=quarantine: nieudane wiadomości trafiają do spamu.
• 26,5% na p=reject: pełne egzekwowanie. Nieudane wiadomości są odrzucane.

Około jedna trzecia monitorowanych domen wciąż znajduje się w fazie widoczności. Tylko mniej więcej jedna czwarta osiągnęła pełne egzekwowanie. Środkowy poziom, kwarantanna, to największa pojedyncza grupa.

Ten obraz dotyczy domen już zaangażowanych w DMARC. Pełny raport zestawia tę grupę z osobną próbką skanera, obejmującą publicznie dostępne domeny w internecie. W tej próbce 28% domen w ogóle nie ma rekordu DMARC.

Co tak naprawdę chroni "tylko monitoring"

Rekord DMARC z p=none mówi serwerom odbierającym: "jeśli wiadomość nie przejdzie wyrównania SPF i DKIM, dostarcz ją mimo to, ale wyślij raport". Właściciel domeny zyskuje widoczność, zarówno legalnej poczty z zapomnianych usług, jak i prób podszywania się. Ale żadne blokowanie się nie odbywa. Sfałszowana wiadomość trafia do skrzynki tak samo jak legalna.

Tylko monitoring to dobry punkt startowy. Nie da się bezpiecznie zaostrzyć polityki bez wcześniejszych danych z monitoringu. Ale tkwienie na p=none w nieskończoność oznacza, że zbierasz dowody podszywania się i nigdy nic z tym nie robisz.

Co naprawdę kosztuje cię pozostawanie na p=none

Dla większości firm praktyczne ryzyko pozostawania na p=none ujawnia się w trzech miejscach:

• Spoofing dociera do skrzynek. Kampania phishingowa podszywająca się pod twoją domenę ląduje w skrzynkach twoich klientów lub pracowników, ponieważ żadna polityka nie jest w mocy, żeby ją zatrzymać.
• Prawdziwa poczta przesuwa się w stronę folderu spamu. Serwery odbierające nie karzą bezpośrednio konfiguracji "tylko monitoring", ale śledzą wiadomości z nieudanym uwierzytelnieniem względem reputacji twojej domeny. Sfałszowana poczta w twoim imieniu nie przechodzi uwierzytelnienia. Po tygodniach aktywności atakujących ten zarejestrowany wzorzec zaczyna wpływać na to, gdzie ląduje twoja legalna poczta.
• Wymogi dla nadawców masowych są spełnione minimalnie. Wytyczne Google i Yahoo z lutego 2024 wymagają rekordu DMARC od nadawców powyżej 5000 wiadomości dziennie. Publikacja na p=none z raportowaniem spełnia minimum. Ich algorytmy filtrowania nadal uwzględniają postawę DMARC w decyzjach o dostarczaniu, a rekord, który publikuje, ale nigdy nie egzekwuje, mieści się w kategorii "zgodny na papierze".

Dla sklepu ecommerce wysyłającego potwierdzenia zamówień i informacje o wysyłce wygląda to tak: legalna poczta transakcyjna z czasem coraz trudniej się dostarcza, a sfałszowana wciąż trafia do skrzynek twoich klientów. Nadszarpniętą reputację nadawcy trudno odbudować, gdy raz się zachwieje.

Dlaczego domeny zostają na p=none

Raport za Q1 pokazuje co. Nie mówi nam dlaczego konkretna domena pozostaje w trybie tylko-monitoring. Powody poniżej to wzorce, które obserwujemy u klientów, a nie ustalenia z samego zbioru danych. Potraktuj je jako poinformowane domysły do zweryfikowania we własnej sytuacji:

• Strach przed zepsuciem legalnej poczty. Najczęstszy powód, dla którego zespoły nie ruszają. Zaostrzenie polityki mogłoby skierować do kwarantanny lub odrzucić pocztę z usługi zewnętrznej, której zespół zapomniał udokumentować. Rozwiązaniem jest dokumentacja, nie unikanie.
• Brak jasnej wskazówki, co dalej. Większość narzędzi monitoringu pokazuje surowe raporty zbiorcze i zostawia interpretację zespołowi. Bez odpowiedzi per domena na pytanie "czy można bezpiecznie ruszyć?", zespoły domyślnie zostają na miejscu.
• Zapomniane właścicielstwo. Osoba, która ustawiła monitoring DMARC, odeszła. Nikt inny nie ma autorytetu ani ochoty, żeby przełączyć przełącznik.
• Niedoszacowanie korzyści. Dopóki nie wydarzy się incydent ze spoofingiem, egzekwowanie jest jednym z wielu priorytetów walczących o uwagę. Po incydencie staje się jedynym. Większość zespołów dowiaduje się tego w bolesny sposób.

Raport pokazuje, że luka istnieje. Przyczyny warto zbadać we własnym środowisku.

Bezpieczne przejście z monitoringu do egzekwowania

Droga od p=none do p=reject jest dobrze udokumentowana i nie wymaga skoku w ciemno:

1. Czytaj raporty zbiorcze przez co najmniej 2 do 4 tygodni. Potrzebujesz stabilnego obrazu tego, co wysyła się w imieniu twojej domeny. Skoki z jednorazowych kampanii cię zmylą.
2. Uwierzytelnij każdego legalnego nadawcę. Twój ESP, usługa transakcyjna, platforma marketingowa, system fakturowania i wewnętrzny przekaźnik poczty muszą wszystkie być wyrównane dla SPF lub DKIM. Najlepiej obu, ponieważ DKIM przeżywa przekierowania, a SPF nie.
3. Najpierw przejdź na p=quarantine. Poczta, która nie przejdzie, trafia do spamu, a nie do /dev/null. Obserwuj raporty przez tydzień lub dwa. Potwierdź, że legalna poczta wciąż przechodzi.
4. Przejdź na p=reject. Jeśli krok 2 zrobiłeś dobrze, zmiana jest w większości niewidoczna.

Jedno powiązane ustalenie z raportu za Q1: tylko około 6% egzekwujących domen używa wbudowanego znacznika pct= w DMARC do stopniowego wdrażania procentowego. Większość zespołów przeskakuje od razu z p=none do pełnego egzekwowania na 100%. Nadchodząca rewizja standardu DMARCbis usuwa pct= całkowicie, co czyni "zrób przygotowanie" jedyną binarną drogą.

Jeśli chcesz przejść przez gotowy przykład, nasz kompletny przewodnik wdrożenia DMARC obejmuje cały proces.