Dla agencji rządowej, okręgu szkolnego czy uczelni poczta e-mail jest zarazem obowiązkiem prawnym, jak i ulubionym celem ataków. Obywatele, uczniowie i pracownicy reagują na wiadomości, które wyglądają na pochodzące od instytucji publicznych, więc atakujący chętnie przejmują ich domeny pocztowe, aby prowadzić oszustwa na świadczenia, wyłudzenia podatkowe i kradzież danych logowania.
DMARC to standard poczty e-mail, który pozwala serwerom odbiorczym odróżnić prawdziwą wiadomość od sfałszowanej, a dla instytucji publicznych jest coraz częściej wymagany, a nie opcjonalny: amerykańskie agencje federalne podlegają nakazowi jego egzekwowania od 2017 roku, a Wielka Brytania i znaczna część UE również już tego oczekują. Ten przewodnik porównuje narzędzia do monitorowania DMARC odpowiednie dla instytucji publicznych, oceniane pod kątem tego, czego potrzebują najbardziej: przejrzystego raportowania dla wielu domen, dowodów zgodności oraz ceny, którą da się obronić przy budżecie publicznym. Wszystkie informacje w tym artykule zostały zweryfikowane bezpośrednio na stronach dostawców w momencie publikacji.
DMARCeye jest darzony zaufaniem przez instytucje publiczne w Stanach Zjednoczonych i innych krajach, więc znaczna część tego, co następuje, odzwierciedla to, o co ich zespoły proszą w praktyce.
DMARC mówi serwerowi odbiorczemu, takiemu jak Gmail lub Outlook, co zrobić z wiadomością, która podaje się za pochodzącą z Twojej domeny, ale nie przechodzi uwierzytelnienia: nic nie robić (p=none), skierować ją do spamu (p=quarantine) albo odrzucić ją całkowicie (p=reject). Opiera się on na dwóch mechanizmach, SPF i DKIM, które potwierdzają, że dana usługa ma prawo wysyłać pocztę jako Twoja domena. Dla instytucji publicznych publikowanie i egzekwowanie rekordu DMARC coraz częściej jest regułą, a nie rekomendacją.
p=reject od 2017 roku. Władze stanowe, hrabstw i gmin coraz częściej przyjmują ten sam standard, a okręgi szkolne i uczelnie podlegają opisanym niżej zasadom dla nadawców masowych.p=quarantine lub p=reject w ramach Minimum Cyber Security Standard. NCSC wycofało teraz swoją bezpłatną usługę Mail Check, z której wiele instytucji publicznych korzystało do raportowania, pozostawiając je z koniecznością samodzielnego zapewnienia sobie monitorowania.Jednym z zastrzeżeń dotyczących zamówień publicznych w USA jest to, że agencje federalne działają w ramach reżimów autoryzacji, takich jak FedRAMP, które zawężają grono dostawców, od których mogą kupować, więc wybór narzędzia przez zespół federalny jest ograniczony. Ten przewodnik jest napisany dla znacznie liczniejszej grupy, która wybiera swobodnie: władz stanowych i lokalnych, okręgów szkolnych, uczelni, publicznej ochrony zdrowia i przedsiębiorstw użyteczności publicznej oraz instytucji publicznych spoza USA.
Sektor rządowy był jednym z najczęściej atakowanych sektorów pod kątem phishingu w 2025 roku, a liczba prób rosła wyraźnie rok do roku, według branżowych badań nad zagrożeniami. Powodem jest zaufanie: ludzie reagują na e-mail, który wygląda, jakby pochodził z urzędu skarbowego, agencji świadczeń lub szkoły, więc sfałszowana wiadomość konwertuje znacznie lepiej niż przypadkowe oszustwo.
Przez cały 2025 rok kampanie uderzyły w ponad tuzin uczelni, wykorzystując strony podszywające się pod studenckie portale logowania jednokrotnego (single sign-on), aby wyłudzać dane logowania, a następnie wykorzystywały te konta do wysyłania bardziej wiarygodnej poczty z wnętrza instytucji. Domena pozostawiona na p=none (trybie DMARC służącym wyłącznie do monitorowania) nie daje serwerom odbiorczym żadnej instrukcji, aby cokolwiek z tego blokować. Monitorowanie to sposób, w jaki widzisz, którzy nadawcy są Twoi, którzy są sfałszowani i skąd pochodzi sfałszowana poczta, zanim zaostrzysz politykę na tyle, by ją zatrzymać. Jeśli nie masz pewności, co dziś publikuje domena Twojej instytucji, sprawdź to najpierw.
Instytucja publiczna to nie jest firma z jedną domeną. Uczelnia prowadzi wydziały, kampusy i sieć subdomen; hrabstwo prowadzi usługi, agencje i współpracuje z dostawcami, którzy wszyscy wysyłają pocztę w jego imieniu. Kształtuje to, co jest ważne w narzędziu:
Sześć poniższych narzędzi dobrze monitoruje DMARC. Różnią się ceną, tym, jak wiele wyjaśniają, oraz tym, jak wiele poza samym DMARC próbują robić. Ceny i limity są aktualne na dzień publikacji i często się zmieniają, więc potwierdź je na stronie cennika każdego dostawcy przed zakupem.
| Narzędzie | Plan bezpłatny | Podstawowy plan płatny | Najlepiej dopasowane do instytucji publicznej |
|---|---|---|---|
| DMARCeye | 1 domena, 5 000 e-maili/mies., 30 dni | Od 4 USD/domenę/mies. (Scale) | Publiczne zespoły, które chcą przejrzystych wskazówek dla wielu domen bez specjalisty od DMARC |
| dmarcian | 2 domeny, wyłącznie niekomercyjne | 24 USD/mies. (Basic, 2 domeny) | Zespoły, które chcą dogłębnie poznać protokół DMARC |
| EasyDMARC | 1 domena, 1 000 e-maili, 14 dni | 35,99 USD/mies. (Plus, 2 domeny) | Pełny zestaw uwierzytelniania w jednym pulpicie |
| URIports | Miesięczny okres próbny | Od 6 USD/mies. (Pebble) | Zespoły bezpieczeństwa, które chcą także raportowania DNS i TLS |
| DMARC Report | 1 domena, 10 000 raportów/mies., 30 dni | 25 USD/mies. (Guard, 5 domen) | Bezpłatny automatyczny pulpit na początek |
| Postmark DMARC Digests | Bezpłatny plan dla jednej domeny | 14 USD/mies. za domenę | Prosty cotygodniowy e-mail zamiast pulpitu |
DMARCeye odczytuje Twoje raporty DMARC i mówi Ci dla każdej z Twoich domen, którzy nadawcy przechodzą uwierzytelnienie, którzy go nie przechodzą i co poprawić w następnej kolejności. Pozwala publicznemu zespołowi IT, który nie jest obsadzony specjalistami od DMARC, przejść od monitorowania do bezpiecznej polityki egzekwowania bez zgadywania oraz zobaczyć wszystkie swoje domeny i subdomeny w jednym widoku. Wbudowany asystent AI odpowiada na pytania w rodzaju "którzy nadawcy nie przeszli uwierzytelnienia w zeszłym tygodniu", więc przeciążony zespół dostaje odpowiedź bez przekopywania się przez raporty. Możesz też podłączyć te same dane do narzędzia do czatu, którego już używasz, poprzez MCP, otwarty standard, który pozwala asystentowi AI odczytywać Twoje raporty DMARC.
Ceny są liczone za domenę, od 4 USD za domenę miesięcznie w planie Scale, a plan bezpłatny obejmuje jedną domenę i 5 000 e-maili miesięcznie z pełnym analizatorem raportów, bez karty kredytowej, co jest prostym sposobem, aby zacząć od jednej domeny usługowej przed szerszym wdrożeniem. DMARCeye obecnie nie zarządza BIMI, MTA-STS ani spłaszczaniem SPF, ale te funkcje są w naszych planach rozwoju.
dmarcian to pionier, założony w 2012 roku przez jednego z głównych autorów specyfikacji DMARC, a jego siłą są głębia i edukacja. Nagradza zespół, który chce poznać protokół w szczegółach, a nie tylko odhaczyć pole, oferując dokładne raportowanie i naprawdę dobrą dokumentację. Dla przeciążonego publicznego zespołu IT, który głównie musi osiągnąć egzekwowanie i to udowodnić, taka głębia może przekraczać czas, jakim dysponuje.
Bezpłatny plan Personal jest przeznaczony wyłącznie dla domen niekomercyjnych, więc instytucja potrzebuje planu płatnego: Basic kosztuje 24 USD miesięcznie za dwie domeny, a cena rośnie wraz z liczbą domen, co warto porównać z tym, ile domen faktycznie musisz objąć ochroną.
EasyDMARC łączy cały zestaw uwierzytelniania poczty e-mail w jednym miejscu: DMARC, spłaszczanie SPF, BIMI, MTA-STS i raportowanie TLS, z prowadzonym wdrożeniem i dużym zestawem bezpłatnych narzędzi. Dla większej agencji lub instytucji, która chce obsługiwać więcej niż DMARC z jednego pulpitu, ta szerokość jest atutem. Kompromisem jest cena.
Plan bezpłatny jest ograniczony do jednej domeny, 1 000 e-maili i 14 dni historii, a podstawowy plan płatny, Plus, kosztuje 35,99 USD miesięcznie przy rozliczeniu rocznym za dwie domeny, czyli najwyższa cena początkowa na tej liście.
URIports przyjmuje techniczne, nastawione na monitorowanie podejście, które pasuje zespołowi bezpieczeństwa. Obok zbiorczych raportów DMARC i raportów o błędach obserwuje DNS i TLS-RPT, więc uzyskujesz szerszy obraz kondycji domeny z jednego miejsca, z integracjami przez webhooki i API na potrzeby automatyzacji.
Ceny zaczynają się nisko, od 6 USD miesięcznie w planie Pebble po miesięcznym okresie próbnym, co czyni je ekonomiczną opcją dla instytucji, która chce mieć szeroki zakres sygnałów bez kontraktu korporacyjnego. Oferuje mniej prowadzenia za rękę niż narzędzia oparte na wskazówkach, więc nagradza zespół, który czuje się swobodnie w czytaniu danych.
DMARC Report wyróżnia się planem bezpłatnym, który jest użyteczny, a nie tylko zajawką. Plan Core jest bezpłatny dla jednej domeny z 10 000 raportów miesięcznie, 30 dniami historii, automatycznym pobieraniem raportów i prawdziwym pulpitem, więc jest to autentyczny sposób, aby zacząć widzieć swoje dane bez kosztów. Jest to jednak pulpit do raportowania, a nie narzędzie doradcze, więc zespół, który chce, aby powiedziano mu, co poprawić w następnej kolejności, z niego wyrośnie.
Plany płatne zaczynają się od 25 USD miesięcznie za poziom Guard z pięcioma domenami.
Postmark DMARC Digests to najprostsza opcja, zbudowana wokół cotygodniowego lub comiesięcznego e-maila, który podsumowuje, kto wysyła pocztę jako Twoja domena i co nie przechodzi uwierzytelnienia, z prostymi wskazówkami, jak to naprawić. Dostępny jest bezpłatny plan dla jednej domeny z cotygodniowymi podsumowaniami oraz lekki pulpit w planie płatnym, ale atutem jest niewymagające zaangażowania podsumowanie dla zespołu, który nie chce się nigdzie logować.
Poza planem bezpłatnym kosztuje 14 USD miesięcznie za domenę. Dla pojedynczego biura, które chce widoczności bez narzędzia do zarządzania, spełnia swoje zadanie, choć ceny za domenę sumują się, gdy instytucja ma wiele domen.
W czterech krokach:
p=none i czytaj raporty przez kilka tygodni, aby potwierdzić, że nic z legalnej poczty nie jest odrzucane.p=quarantine, a następnie na p=reject, gdy raporty będą czyste, i ustaw politykę dla subdomen (sp=), aby nieużywana subdomena nie mogła zostać podrobiona. Większość domen nigdy jej nie deklaruje, co pozostawia lukę, którą atakujący mogą wykorzystać.To narzędzie do monitorowania sprawia, że ostatnie kroki są bezpieczne: pokazuje Ci prostym językiem, którzy nadawcy nadal nie przechodzą uwierzytelnienia, zanim zaostrzysz politykę. Egzekwowanie jest rzadkie nie dlatego, że jest trudne, jest rzadkie, ponieważ zespoły nie widzą wystarczająco wyraźnie, aby zaufać zmianie. W raporcie branżowym DMARCeye za I kwartał 2026 roku tylko 26,5% aktywnych domen osiągnęło p=reject, przy czym ponad jedna trzecia nadal pozostawała na p=none.
Dla rosnącej liczby z nich tak. Amerykańskie agencje federalne mają obowiązek egzekwowania DMARC na poziomie p=reject od 2017 roku, brytyjska administracja centralna nałożyła ten wymóg od 2016 roku, a państwa członkowskie UE oczekują tego od administracji publicznej w ramach NIS2. Nawet tam, gdzie nie obowiązuje żadna reguła sektorowa, Google, Yahoo i Microsoft wymagają uwierzytelniania od każdej domeny wysyłającej pocztę masowo, co obejmuje większość agencji, okręgów i uczelni.
Tak. Uczelnie są częstym celem phishingu wyłudzającego dane logowania, który podszywa się pod loginy studentów i pracowników, a każda instytucja wysyłająca newslettery, powiadomienia lub pocztę masową podlega zasadom uwierzytelniania głównych dostawców skrzynek pocztowych. DMARC na poziomie egzekwowania jest tym, co powstrzymuje atakującego przed wysyłaniem poczty, która wygląda, jakby pochodziła z własnej domeny szkoły.
Każde z narzędzi do monitorowania DMARC w tym przewodniku pobierze te same raporty zbiorcze i je przedstawi, a większość oferuje bezpłatny plan na początek. Instytucja publiczna, która polegała na usłudze prowadzonej przez rząd, może przenieść swój adres raportowania do narzędzia komercyjnego i zachować ciągłość, zyskując przy tym wskazówki w prostym języku oraz widoki wielu domen.
Na początek często tak. Biuro z jedną domeną może zacząć od prawdziwego bezpłatnego planu, takiego jak jedna domena i 5 000 e-maili miesięcznie w DMARCeye, i dokładnie zobaczyć, którzy nadawcy przechodzą uwierzytelnienie, a którzy nie. Do planu płatnego przechodzisz, gdy potrzebujesz więcej domen, dłuższej historii, dostępu opartego na rolach lub powiadomień, do czego większość instytucji dochodzi w miarę obejmowania monitorowaniem całego swojego zasobu.
Dla instytucji publicznej DMARC jest zarazem nakazem, jak i obroną: powstrzymuje atakujących przed wysyłaniem poczty, która wygląda, jakby pochodziła z zaufanej domeny publicznej, i udowadnia audytorowi, że tego dopilnowałeś. Właściwe narzędzie to takie, które przejrzyście pokazuje wszystkie Twoje domeny i subdomeny, zamienia raporty w krótką listę nadawców do naprawienia, tworzy dowody, które możesz przekazać podczas przeglądu bezpieczeństwa, i robi to w cenie, którą da się obronić przy budżecie publicznym.
Jeśli chcesz wskazówek, a nie surowych raportów, to właśnie do tego został zbudowany DMARCeye. Odczytuje dane DMARC Twoich domen i podpowiada następny krok, a zacząć możesz od planu bezpłatnego.