Najlepsze narzędzia DMARC dla instytucji rządowych i edukacyjnych w 2026 roku
USA, Wielka Brytania i UE wymagają DMARC od instytucji publicznych. Porównaj najlepsze narzędzia do monitorowania DMARC dla administracji i edukacji.
Dla agencji rządowej, okręgu szkolnego czy uczelni poczta e-mail jest zarazem obowiązkiem prawnym, jak i ulubionym celem ataków. Obywatele, uczniowie i pracownicy reagują na wiadomości, które wyglądają na pochodzące od instytucji publicznych, więc atakujący chętnie przejmują ich domeny pocztowe, aby prowadzić oszustwa na świadczenia, wyłudzenia podatkowe i kradzież danych logowania.
DMARC to standard poczty e-mail, który pozwala serwerom odbiorczym odróżnić prawdziwą wiadomość od sfałszowanej, a dla instytucji publicznych jest coraz częściej wymagany, a nie opcjonalny: amerykańskie agencje federalne podlegają nakazowi jego egzekwowania od 2017 roku, a Wielka Brytania i znaczna część UE również już tego oczekują. Ten przewodnik porównuje narzędzia do monitorowania DMARC odpowiednie dla instytucji publicznych, oceniane pod kątem tego, czego potrzebują najbardziej: przejrzystego raportowania dla wielu domen, dowodów zgodności oraz ceny, którą da się obronić przy budżecie publicznym. Wszystkie informacje w tym artykule zostały zweryfikowane bezpośrednio na stronach dostawców w momencie publikacji.
DMARCeye jest darzony zaufaniem przez instytucje publiczne w Stanach Zjednoczonych i innych krajach, więc znaczna część tego, co następuje, odzwierciedla to, o co ich zespoły proszą w praktyce.
Co znajdziesz w tym przewodniku
- Dlaczego instytucje publiczne muszą wdrożyć DMARC
- Dlaczego instytucje publiczne są głównym celem podszywania się
- Na co zwracać uwagę w narzędziu DMARC dla instytucji publicznej
- Najlepsze narzędzia do monitorowania DMARC dla sektora publicznego w 2026 roku
- Jak wdrożyć DMARC w całej instytucji publicznej
- Najczęstsze pytania o DMARC w sektorze publicznym
- Podsumowanie
Dlaczego instytucje publiczne muszą wdrożyć DMARC
DMARC mówi serwerowi odbiorczemu, takiemu jak Gmail lub Outlook, co zrobić z wiadomością, która podaje się za pochodzącą z Twojej domeny, ale nie przechodzi uwierzytelnienia: nic nie robić (p=none), skierować ją do spamu (p=quarantine) albo odrzucić ją całkowicie (p=reject). Opiera się on na dwóch mechanizmach, SPF i DKIM, które potwierdzają, że dana usługa ma prawo wysyłać pocztę jako Twoja domena. Dla instytucji publicznych publikowanie i egzekwowanie rekordu DMARC coraz częściej jest regułą, a nie rekomendacją.
- W Stanach Zjednoczonych egzekwowanie jest dyrektywą federalną. Binding Operational Directive 18-01 agencji CISA wymaga od federalnych agencji wykonawczych osiągnięcia poziomu
p=rejectod 2017 roku. Władze stanowe, hrabstw i gmin coraz częściej przyjmują ten sam standard, a okręgi szkolne i uczelnie podlegają opisanym niżej zasadom dla nadawców masowych. - Wielka Brytania nałożyła ten wymóg lata temu. Administracja centralna wymaga DMARC od 2016 roku, z egzekwowaniem na poziomie
p=quarantinelubp=rejectw ramach Minimum Cyber Security Standard. NCSC wycofało teraz swoją bezpłatną usługę Mail Check, z której wiele instytucji publicznych korzystało do raportowania, pozostawiając je z koniecznością samodzielnego zapewnienia sobie monitorowania. - Unia Europejska traktuje to jako podstawową higienę. W ramach NIS2 podmioty administracji publicznej w wielu państwach członkowskich są zaliczane do kluczowych lub ważnych, przy czym oczekuje się od nich uwierzytelniania poczty e-mail. Terminy są ustalane na poziomie krajowym, więc nie istnieje jeden ogólnounijny termin.
- Nadawcy masowi są objęci wymogami wszędzie. Google, Yahoo i Microsoft wymagają, aby każda domena wysyłająca ponad 5 000 wiadomości dziennie uwierzytelniała pocztę za pomocą SPF, DKIM i DMARC. Uczelnia lub duża agencja przekracza ten próg już na samych newsletterach.
Jednym z zastrzeżeń dotyczących zamówień publicznych w USA jest to, że agencje federalne działają w ramach reżimów autoryzacji, takich jak FedRAMP, które zawężają grono dostawców, od których mogą kupować, więc wybór narzędzia przez zespół federalny jest ograniczony. Ten przewodnik jest napisany dla znacznie liczniejszej grupy, która wybiera swobodnie: władz stanowych i lokalnych, okręgów szkolnych, uczelni, publicznej ochrony zdrowia i przedsiębiorstw użyteczności publicznej oraz instytucji publicznych spoza USA.
Dlaczego instytucje publiczne są głównym celem podszywania się
Sektor rządowy był jednym z najczęściej atakowanych sektorów pod kątem phishingu w 2025 roku, a liczba prób rosła wyraźnie rok do roku, według branżowych badań nad zagrożeniami. Powodem jest zaufanie: ludzie reagują na e-mail, który wygląda, jakby pochodził z urzędu skarbowego, agencji świadczeń lub szkoły, więc sfałszowana wiadomość konwertuje znacznie lepiej niż przypadkowe oszustwo.
Przez cały 2025 rok kampanie uderzyły w ponad tuzin uczelni, wykorzystując strony podszywające się pod studenckie portale logowania jednokrotnego (single sign-on), aby wyłudzać dane logowania, a następnie wykorzystywały te konta do wysyłania bardziej wiarygodnej poczty z wnętrza instytucji. Domena pozostawiona na p=none (trybie DMARC służącym wyłącznie do monitorowania) nie daje serwerom odbiorczym żadnej instrukcji, aby cokolwiek z tego blokować. Monitorowanie to sposób, w jaki widzisz, którzy nadawcy są Twoi, którzy są sfałszowani i skąd pochodzi sfałszowana poczta, zanim zaostrzysz politykę na tyle, by ją zatrzymać. Jeśli nie masz pewności, co dziś publikuje domena Twojej instytucji, sprawdź to najpierw.
Na co zwracać uwagę w narzędziu DMARC dla instytucji publicznej
Instytucja publiczna to nie jest firma z jedną domeną. Uczelnia prowadzi wydziały, kampusy i sieć subdomen; hrabstwo prowadzi usługi, agencje i współpracuje z dostawcami, którzy wszyscy wysyłają pocztę w jego imieniu. Kształtuje to, co jest ważne w narzędziu:
- Zarządza wieloma domenami i subdomenami w jednym widoku. Instytucje rzadko mają jedną domenę. Narzędzie powinno pokazywać każdą domenę i subdomenę oraz ich polityki razem, tak aby mały zespół IT nie musiał logować się do sześciu pulpitów.
- Wyjaśnia statystyki DMARC Twoich nadawców prostym językiem. Publiczne zespoły IT są przeciążone, a osoba odpowiedzialna często nie jest specjalistą od DMARC. Narzędzie powinno nazwać każdą usługę wysyłającą jako Twoja domena i pokazać, które przechodzą uwierzytelnienie, a które nie, zamiast podawać surowy plik XML.
- Pozwala zadawać pytania Twoim danym. Odczytywanie pulpitu to jedno; zapytanie "którzy nadawcy nie przeszli uwierzytelnienia w zeszłym tygodniu?" prostym językiem jest szybsze. Nowsze narzędzia odpowiadają na to za pomocą wbudowanego asystenta AI albo przez podłączenie danych DMARC do narzędzia do czatu, którego już używasz.
- Tworzy dowody, które możesz przekazać audytorowi. Zgodność oznacza udowodnienie swojej postawy, a nie tylko jej utrzymywanie. Przejrzyste raporty o statusie polityki i historii egzekwowania to właśnie to, co pokazujesz podczas przeglądu bezpieczeństwa lub organowi nadzorczemu.
- Obsługuje więcej niż jedną osobę. Bezpieczeństwo poczty e-mail w instytucji publicznej jest zwykle dzielone między IT, bezpieczeństwo i komunikację. Dostęp oparty na rolach pozwala każdemu zespołowi widzieć to, czego potrzebuje, bez współdzielenia jednego loginu.
- Mieści się w budżecie publicznym. Zamówienia publiczne nagradzają przejrzyste, możliwe do obrony ceny. Bezpłatny plan lub przejrzysty koszt za domenę jest znacznie łatwiejszy do uzasadnienia niż nieprzejrzysta wycena korporacyjna.
Najlepsze narzędzia do monitorowania DMARC dla sektora publicznego w 2026 roku
Sześć poniższych narzędzi dobrze monitoruje DMARC. Różnią się ceną, tym, jak wiele wyjaśniają, oraz tym, jak wiele poza samym DMARC próbują robić. Ceny i limity są aktualne na dzień publikacji i często się zmieniają, więc potwierdź je na stronie cennika każdego dostawcy przed zakupem.
| Narzędzie | Plan bezpłatny | Podstawowy plan płatny | Najlepiej dopasowane do instytucji publicznej |
|---|---|---|---|
| DMARCeye | 1 domena, 5 000 e-maili/mies., 30 dni | Od 4 USD/domenę/mies. (Scale) | Publiczne zespoły, które chcą przejrzystych wskazówek dla wielu domen bez specjalisty od DMARC |
| dmarcian | 2 domeny, wyłącznie niekomercyjne | 24 USD/mies. (Basic, 2 domeny) | Zespoły, które chcą dogłębnie poznać protokół DMARC |
| EasyDMARC | 1 domena, 1 000 e-maili, 14 dni | 35,99 USD/mies. (Plus, 2 domeny) | Pełny zestaw uwierzytelniania w jednym pulpicie |
| URIports | Miesięczny okres próbny | Od 6 USD/mies. (Pebble) | Zespoły bezpieczeństwa, które chcą także raportowania DNS i TLS |
| DMARC Report | 1 domena, 10 000 raportów/mies., 30 dni | 25 USD/mies. (Guard, 5 domen) | Bezpłatny automatyczny pulpit na początek |
| Postmark DMARC Digests | Bezpłatny plan dla jednej domeny | 14 USD/mies. za domenę | Prosty cotygodniowy e-mail zamiast pulpitu |
DMARCeye
DMARCeye odczytuje Twoje raporty DMARC i mówi Ci dla każdej z Twoich domen, którzy nadawcy przechodzą uwierzytelnienie, którzy go nie przechodzą i co poprawić w następnej kolejności. Pozwala publicznemu zespołowi IT, który nie jest obsadzony specjalistami od DMARC, przejść od monitorowania do bezpiecznej polityki egzekwowania bez zgadywania oraz zobaczyć wszystkie swoje domeny i subdomeny w jednym widoku. Wbudowany asystent AI odpowiada na pytania w rodzaju "którzy nadawcy nie przeszli uwierzytelnienia w zeszłym tygodniu", więc przeciążony zespół dostaje odpowiedź bez przekopywania się przez raporty. Możesz też podłączyć te same dane do narzędzia do czatu, którego już używasz, poprzez MCP, otwarty standard, który pozwala asystentowi AI odczytywać Twoje raporty DMARC.
Ceny są liczone za domenę, od 4 USD za domenę miesięcznie w planie Scale, a plan bezpłatny obejmuje jedną domenę i 5 000 e-maili miesięcznie z pełnym analizatorem raportów, bez karty kredytowej, co jest prostym sposobem, aby zacząć od jednej domeny usługowej przed szerszym wdrożeniem. DMARCeye obecnie nie zarządza BIMI, MTA-STS ani spłaszczaniem SPF, ale te funkcje są w naszych planach rozwoju.
dmarcian
dmarcian to pionier, założony w 2012 roku przez jednego z głównych autorów specyfikacji DMARC, a jego siłą są głębia i edukacja. Nagradza zespół, który chce poznać protokół w szczegółach, a nie tylko odhaczyć pole, oferując dokładne raportowanie i naprawdę dobrą dokumentację. Dla przeciążonego publicznego zespołu IT, który głównie musi osiągnąć egzekwowanie i to udowodnić, taka głębia może przekraczać czas, jakim dysponuje.
Bezpłatny plan Personal jest przeznaczony wyłącznie dla domen niekomercyjnych, więc instytucja potrzebuje planu płatnego: Basic kosztuje 24 USD miesięcznie za dwie domeny, a cena rośnie wraz z liczbą domen, co warto porównać z tym, ile domen faktycznie musisz objąć ochroną.
EasyDMARC
EasyDMARC łączy cały zestaw uwierzytelniania poczty e-mail w jednym miejscu: DMARC, spłaszczanie SPF, BIMI, MTA-STS i raportowanie TLS, z prowadzonym wdrożeniem i dużym zestawem bezpłatnych narzędzi. Dla większej agencji lub instytucji, która chce obsługiwać więcej niż DMARC z jednego pulpitu, ta szerokość jest atutem. Kompromisem jest cena.
Plan bezpłatny jest ograniczony do jednej domeny, 1 000 e-maili i 14 dni historii, a podstawowy plan płatny, Plus, kosztuje 35,99 USD miesięcznie przy rozliczeniu rocznym za dwie domeny, czyli najwyższa cena początkowa na tej liście.
URIports
URIports przyjmuje techniczne, nastawione na monitorowanie podejście, które pasuje zespołowi bezpieczeństwa. Obok zbiorczych raportów DMARC i raportów o błędach obserwuje DNS i TLS-RPT, więc uzyskujesz szerszy obraz kondycji domeny z jednego miejsca, z integracjami przez webhooki i API na potrzeby automatyzacji.
Ceny zaczynają się nisko, od 6 USD miesięcznie w planie Pebble po miesięcznym okresie próbnym, co czyni je ekonomiczną opcją dla instytucji, która chce mieć szeroki zakres sygnałów bez kontraktu korporacyjnego. Oferuje mniej prowadzenia za rękę niż narzędzia oparte na wskazówkach, więc nagradza zespół, który czuje się swobodnie w czytaniu danych.
DMARC Report
DMARC Report wyróżnia się planem bezpłatnym, który jest użyteczny, a nie tylko zajawką. Plan Core jest bezpłatny dla jednej domeny z 10 000 raportów miesięcznie, 30 dniami historii, automatycznym pobieraniem raportów i prawdziwym pulpitem, więc jest to autentyczny sposób, aby zacząć widzieć swoje dane bez kosztów. Jest to jednak pulpit do raportowania, a nie narzędzie doradcze, więc zespół, który chce, aby powiedziano mu, co poprawić w następnej kolejności, z niego wyrośnie.
Plany płatne zaczynają się od 25 USD miesięcznie za poziom Guard z pięcioma domenami.
Postmark DMARC Digests
Postmark DMARC Digests to najprostsza opcja, zbudowana wokół cotygodniowego lub comiesięcznego e-maila, który podsumowuje, kto wysyła pocztę jako Twoja domena i co nie przechodzi uwierzytelnienia, z prostymi wskazówkami, jak to naprawić. Dostępny jest bezpłatny plan dla jednej domeny z cotygodniowymi podsumowaniami oraz lekki pulpit w planie płatnym, ale atutem jest niewymagające zaangażowania podsumowanie dla zespołu, który nie chce się nigdzie logować.
Poza planem bezpłatnym kosztuje 14 USD miesięcznie za domenę. Dla pojedynczego biura, które chce widoczności bez narzędzia do zarządzania, spełnia swoje zadanie, choć ceny za domenę sumują się, gdy instytucja ma wiele domen.
Jak wdrożyć DMARC w całej instytucji publicznej
W czterech krokach:
- Sporządź inwentarz każdej domeny i subdomeny, którą posiada Twoja instytucja, oraz każdej usługi, która z nich wysyła pocztę: platformy pocztowej, portalu studenckiego lub obywatelskiego, narzędzia do newsletterów, systemu powiadomień oraz każdego dostawcy, który wysyła w Twoim imieniu.
- Uwierzytelnij każdego nadawcę za pomocą SPF i DKIM, aby jego poczta przechodziła uwierzytelnienie czysto. DMARCeye może pomóc Ci skonfigurować te rekordy, jeśli jeszcze ich nie masz.
- Opublikuj rekord DMARC na poziomie
p=nonei czytaj raporty przez kilka tygodni, aby potwierdzić, że nic z legalnej poczty nie jest odrzucane. - Przenieś politykę na
p=quarantine, a następnie nap=reject, gdy raporty będą czyste, i ustaw politykę dla subdomen (sp=), aby nieużywana subdomena nie mogła zostać podrobiona. Większość domen nigdy jej nie deklaruje, co pozostawia lukę, którą atakujący mogą wykorzystać.
To narzędzie do monitorowania sprawia, że ostatnie kroki są bezpieczne: pokazuje Ci prostym językiem, którzy nadawcy nadal nie przechodzą uwierzytelnienia, zanim zaostrzysz politykę. Egzekwowanie jest rzadkie nie dlatego, że jest trudne, jest rzadkie, ponieważ zespoły nie widzą wystarczająco wyraźnie, aby zaufać zmianie. W raporcie branżowym DMARCeye za I kwartał 2026 roku tylko 26,5% aktywnych domen osiągnęło p=reject, przy czym ponad jedna trzecia nadal pozostawała na p=none.
Najczęstsze pytania o DMARC w sektorze publicznym
Czy DMARC jest wymagany dla organizacji rządowych i sektora publicznego?
Dla rosnącej liczby z nich tak. Amerykańskie agencje federalne mają obowiązek egzekwowania DMARC na poziomie p=reject od 2017 roku, brytyjska administracja centralna nałożyła ten wymóg od 2016 roku, a państwa członkowskie UE oczekują tego od administracji publicznej w ramach NIS2. Nawet tam, gdzie nie obowiązuje żadna reguła sektorowa, Google, Yahoo i Microsoft wymagają uwierzytelniania od każdej domeny wysyłającej pocztę masowo, co obejmuje większość agencji, okręgów i uczelni.
Czy szkoły i uczelnie potrzebują DMARC?
Tak. Uczelnie są częstym celem phishingu wyłudzającego dane logowania, który podszywa się pod loginy studentów i pracowników, a każda instytucja wysyłająca newslettery, powiadomienia lub pocztę masową podlega zasadom uwierzytelniania głównych dostawców skrzynek pocztowych. DMARC na poziomie egzekwowania jest tym, co powstrzymuje atakującego przed wysyłaniem poczty, która wygląda, jakby pochodziła z własnej domeny szkoły.
Co zastępuje bezpłatną rządową usługę raportowania, taką jak NCSC Mail Check?
Każde z narzędzi do monitorowania DMARC w tym przewodniku pobierze te same raporty zbiorcze i je przedstawi, a większość oferuje bezpłatny plan na początek. Instytucja publiczna, która polegała na usłudze prowadzonej przez rząd, może przenieść swój adres raportowania do narzędzia komercyjnego i zachować ciągłość, zyskując przy tym wskazówki w prostym języku oraz widoki wielu domen.
Czy bezpłatne narzędzie DMARC wystarczy małej agencji lub okręgowi?
Na początek często tak. Biuro z jedną domeną może zacząć od prawdziwego bezpłatnego planu, takiego jak jedna domena i 5 000 e-maili miesięcznie w DMARCeye, i dokładnie zobaczyć, którzy nadawcy przechodzą uwierzytelnienie, a którzy nie. Do planu płatnego przechodzisz, gdy potrzebujesz więcej domen, dłuższej historii, dostępu opartego na rolach lub powiadomień, do czego większość instytucji dochodzi w miarę obejmowania monitorowaniem całego swojego zasobu.
Podsumowanie
Dla instytucji publicznej DMARC jest zarazem nakazem, jak i obroną: powstrzymuje atakujących przed wysyłaniem poczty, która wygląda, jakby pochodziła z zaufanej domeny publicznej, i udowadnia audytorowi, że tego dopilnowałeś. Właściwe narzędzie to takie, które przejrzyście pokazuje wszystkie Twoje domeny i subdomeny, zamienia raporty w krótką listę nadawców do naprawienia, tworzy dowody, które możesz przekazać podczas przeglądu bezpieczeństwa, i robi to w cenie, którą da się obronić przy budżecie publicznym.
Jeśli chcesz wskazówek, a nie surowych raportów, to właśnie do tego został zbudowany DMARCeye. Odczytuje dane DMARC Twoich domen i podpowiada następny krok, a zacząć możesz od planu bezpłatnego.