Polityka DMARC dla subdomen: kiedy sp= pomaga, a kiedy szkodzi

Jeśli Twoja firma wysyła potwierdzenia zamówień z mail.example.com, a newslettery z marketing.example.com, te adresy są subdomenami Twojej głównej domeny. Kiedy włączasz DMARC, żeby chronić główną domenę przed podszywaniem, subdomeny zwykle są chronione razem z nią, bo automatycznie przejmują politykę domeny głównej. Ale mniej więcej 1 na 13 domen z pełnym egzekwowaniem DMARC w zbiorze danych DMARCeye za Q1 2026 ma drobny błąd konfiguracji, który blokuje główną domenę, a subdomeny zostawia odsłonięte.

Ten artykuł rozkłada na czynniki pierwsze ustalenie o polityce dla subdomen z raportu branżowego DMARCeye za Q1 2026. Pełny raport i metodologię znajdziesz poniżej.

Co robi tag sp=

Rekord DMARC to krótka linia tekstu w Twoim DNS, która mówi serwerom odbiorczym, co zrobić z wiadomościami podającymi się za pochodzące z Twojej domeny. Najważniejsze ustawienie to tag p=, który definiuje politykę dla głównej domeny. Poziomy polityki są trzy:

• p=none oznacza, że odbiorcy monitorują i raportują, ale dostarczają wszystko (brak ochrony).
• p=quarantine oznacza, że wiadomości, które nie przechodzą uwierzytelnienia, lądują w spamie.
• p=reject oznacza, że takie wiadomości są w całości blokowane.

Tag sp= to ta sama idea zastosowana do subdomen. Przyjmuje te same trzy wartości. Jeśli w ogóle nie ustawisz sp=, Twoje subdomeny przejmują to, co jest ustawione w p=. Czyli kiedy główna domena ma p=reject i nie ustawisz sp=, każda subdomena (mail.example.com, support.example.com i wszystkie inne) też jest na p=reject. Tak właśnie działa specyfikacja zgodnie z założeniem (zob. RFC 7489 §6.3).

Jawnie ustawiasz sp= tylko wtedy, kiedy chcesz, żeby subdomeny były traktowane inaczej niż główna domena. Najczęstsze powody to: subdomena wysyła pocztę przez innego dostawcę niż główna domena, albo chcesz egzekwować politykę na subdomenach szybciej (lub wolniej) niż na domenie głównej.

Jak ustawiony jest sp= w domenach z Q1

W kilku tysiącach domen monitorowanych w próbie DMARCeye za Q1 2026 rozkład sp= mocno zależy od głównej polityki p=:

Wyróżniają się trzy wzorce:

• Większość domen nie ustawia sp= w ogóle. 86,67% domen na p=none, 78,59% na p=quarantine i 65,15% na p=reject w ogóle nie umieszcza sp= w swoim rekordzie. Jak omówiliśmy wyżej, jest to zachowanie domyślne, a subdomeny automatycznie przejmują politykę głównej domeny.
• Część domen świadomie osłabia ochronę swoich subdomen. 6,62% domen z p=reject ustawia sp=none, a kolejne 0,94% ustawia sp=quarantine. Razem to 7,56% domen z pełnym egzekwowaniem na głównej domenie, ale luźną ochroną lub jej brakiem na subdomenach.
• Prawie nikt nie używa sp=, żeby najpierw wprowadzić ochronę na subdomenach. Tylko 0,42% domen na p=none ma ustawione sp=reject. To sprytny wzorzec (trzymasz główną domenę w trybie samego monitorowania, gdy zbierasz dane, a od razu blokujesz fałszywe wiadomości na subdomenach) i jest niedoceniany.

Kiedy ustawienie sp= pomaga

Są dwie sytuacje, w których jawne ustawienie sp= jest słusznym ruchem.

Twoje subdomeny korzystają z różnych dostawców poczty. Jeśli marketing.example.com wysyła przez jedno narzędzie (na przykład Twoją platformę newsletterową), a główna domena przez inne (Twojego dostawcę poczty transakcyjnej), każde z nich ma inne ustawienia uwierzytelniania. Możesz chcieć surowszej polityki DMARC na jednym niż na drugim, zwłaszcza w trakcie wdrażania nowego dostawcy. Ustawienie sp= pozwala dać subdomenom własną politykę bez ruszania głównej domeny.

Chcesz chronić subdomeny przed główną domeną. Kiedy domena wysyła dużo poczty (lub jest wysokiego ryzyka jako cel podszywania), kuszące jest poczekanie z pełnym egzekwowaniem, aż przez kilka tygodni przeanalizujesz raporty. W tym przypadku może mieć sens utrzymanie głównej domeny na p=none (tylko monitorowanie), a jednocześnie ustawienie sp=reject, żeby od razu w pełni chronić subdomeny. Subdomeny mają zwykle mniej legitymowanych nadawców i prostsze konfiguracje, więc często bezpieczniej jest egzekwować na nich politykę najpierw. Dane z Q1 pokazują, że 0,42% domen na p=none stosuje ten wzorzec.

Kiedy ustawienie sp= szkodzi

Błąd, na który trzeba uważać, jest odwrotny: surowa polityka na głównej domenie (p=reject), ale luźna lub żadna na subdomenach (sp=none lub sp=quarantine). Powód jest zwykle jeden z tych:

• Zespół włączył egzekwowanie, jakaś subdomena zaczęła oblewać uwierzytelnianie i osłabiono sp=, żeby zatrzymać porażki, zamiast naprawić rzeczywisty problem z uwierzytelnieniem na tej subdomenie.
• Ktoś ustawił sp=none podczas początkowego wdrożenia, żeby uniknąć niespodzianek, i nigdy nie wrócił do tego, żeby zaostrzyć politykę.
• Rekord DMARC pochodził z narzędzia, które ustawiało sp= równe p=, a ktoś później ręcznie osłabił go z jakiegoś powodu.

We wszystkich przypadkach efekt jest ten sam. Główna domena jest w pełni chroniona, ale każda subdomena przyjmuje sfałszowane wiadomości bez egzekwowania. Każdy, kto skanuje Twój rekord DMARC, od razu widzi tę lukę.

7,56% domen z pełnym egzekwowaniem w naszym zbiorze danych za Q1 ma taką konfigurację. Jeśli jesteś na pełnym egzekwowaniu, to pierwsza rzecz do sprawdzenia w Twoim rekordzie DMARC.

Jak zdecydować, czego potrzebuje Twoja domena

Przejdź przez trzy krótkie pytania:

1. Czy Twoja główna domena w ogóle wysyła pocztę? Jeśli tak, z czasem będziesz dążyć do p=reject. Nie umieszczanie sp= w rekordzie jest zachowaniem domyślnym i sprawdza się w większości firm. Subdomeny automatycznie przejmują główną politykę.
2. Czy któreś subdomeny korzystają z innych dostawców poczty niż główna domena? Jeśli tak, rozważ osobne sp=, żeby każda mogła mieć własną politykę.
3. Czy chcesz, żeby subdomeny były chronione przed główną domeną (lub inaczej)? Jeśli tak, ustaw sp= jawnie. Jeśli chcesz, żeby subdomeny były luźniejsze niż główna domena, prawie nigdy tego nie chcesz, więc ustaw sp= tak, żeby pasowało do p=, albo zostaw je puste.

Jeśli w Twoim DNS już zadeklarowano sp=, sprawdź dwukrotnie, czy nie jest słabsze niż p=. Kombinacja p=reject z sp=none to ten błąd konfiguracji, na który trzeba uważać. Jeśli nie masz jeszcze monitoringu DMARC, darmowy plan DMARCeye obejmuje jedną domenę i pokazuje dokładnie to, jak wygląda Twój rekord, łącznie z wartością sp=, jeśli ją ustawiłeś. Żeby sprawdzić, co Twoja domena ma teraz:

Co zmienia DMARCbis

DMARCbis to nadchodząca aktualizacja standardu DMARC, której publikacja spodziewana jest w 2026 roku. Nie zmienia niczego w działaniu sp=. Kiedy go nie ustawisz, subdomeny nadal dziedziczą politykę głównej domeny.

Dodaje za to nowy tag o nazwie np=, który steruje polityką dla subdomen, które w ogóle nie istnieją. Dziś, jeśli spamer wysyła pocztę podającą się za madeup.example.com (subdomenę, której nigdy nie utworzyłeś), odbiorcy wracają do polityki Twojej głównej domeny. Z np= będziesz w stanie zastosować surowszą politykę konkretnie do takich fałszywych subdomen. Jeśli chcesz silniejszej ochrony subdomen po finalizacji DMARCbis, to jest tag, który warto śledzić.

Praktyczny wniosek

W większości domen pominięcie sp= w rekordzie jest słusznym ruchem. Domyślne zachowanie chroni subdomeny automatycznie.

Wyjątki są realne, ale konkretne: kiedy subdomeny korzystają z innych dostawców poczty niż główna domena, albo kiedy chcesz chronić subdomeny szybciej niż główną domenę. W obu przypadkach ustaw sp= świadomie i ustaw je poprawnie.

Jeśli Twój rekord DMARC ma p=reject, a sp= jest słabsze, to ten błąd konfiguracji. Napraw go, zanim naprawisz cokolwiek innego. DMARCeye śledzi ustawienia sp= we wszystkich Twoich monitorowanych domenach, a darmowy plan obejmuje jedną.