Defaults.Exposed

Defaults.Exposed › Raporty

6 etapów dojrzałości DMARC

Opublikowano 2026-07-03 · zaktualizowano 2026-07-03

Dane na dzień 2026-06-29 · metodologia v7. To model referencyjny oparty na cyklicznym spisie; każda edycja ponownie mierzy tę samą populację, więc liczby można śledzić w czasie. Wszystkie dane są zagregowane — nigdy nie publikujemy oceny pojedynczej firmy.

Opublikowanie DMARC to nie to samo co ochrona

Wśród 261 milionów zmierzonych domen 24,89% publikuje rekord DMARC — ale tylko 10,59% go egzekwuje. Inaczej mówiąc: spośród około 65 milionów domen, które rozpoczęły drogę z DMARC, 57,5% nigdy nie dotarło do etapu, który cokolwiek blokuje. Opublikowały rekord, skierowały raportowanie gdzieś tam i utknęły. Mniejsze niezależne badania stwierdzają ten sam kształt — jeden branżowy raport z 2026 roku podał, że egzekwuje ~9% spośród ~938 000 zbadanych domen.

Adopcja nie jest już problemem. Problemem jest ochrona. A domeny grzęzną z powodu strukturalnego: mapy, których wszyscy używają, urywają się za wcześnie. Kończą się zbyt wcześnie i żadna z nich nie nadaje najtrudniejszemu krokowi własnej nazwy.

Gdzie istniejące mapy się urywają

Modele, którymi nawiguje branża, były słuszne dla swojej epoki i zasługują na uczciwą lekturę:

Wszystkie trzy mają dwa te same ograniczenia. Po pierwsze, zatrzymują się na p=reject — jakby egzekwowanie było metą. Nie jest: sam standard poszedł dalej (DMARCbis — RFC 9989, 9990 i 9991 — został opublikowany w maju 2026 roku, zastępując pierwotny RFC 7489), a egzekwowanie nie robi nic dla bezpieczeństwa transportu ani zaufania do marki. Po drugie — i to właśnie ono realnie osadza domeny na mieliźnie — żaden z nich nie czyni z „każdy nadawca rozliczony” nazwanego etapu. Gwoli sprawiedliwości, przewodniki wdrożeniowe wspominają o tej pracy: model dmarcian zawiera identyfikację źródeł jako zadanie wewnątrz fazy monitorowania. Ale zadanie zakopane wewnątrz fazy jest właśnie tak traktowane — jako część „monitorowania”, a nie jako odrębne osiągnięcie, którym jest. Obserwowanie napływających raportów sprawia wrażenie postępu. A jeszcze nim nie jest. Największym pojedynczym powodem, dla którego domeny tkwią na p=none latami, jest to, że widzą swoją pocztę, ale jej nie rozliczyły — więc nie odważają się egzekwować z obawy przed zepsuciem czegoś realnego.

Użyteczny model musi nadać temu krokowi własną nazwę i własne kryteria wyjścia. Ten to robi. Nazywamy go Modelem Dojrzałości Adopcji DMARC — DAMM (DMARC Adoption Maturity Model): sześć etapów, po jednym ruchu każdy i nazwa, którą można cytować.

Model

Sześć etapów dojrzałości DMARC — od Niezabezpieczonej do Utwardzonej, ze ścianą między Obserwowaniem a Widocznością

Etap 1 — Niezabezpieczona. Brak rekordu DMARC — albo niekompletne SPF i DKIM pod spodem. Każdy może wysyłać e-maile jako Twoja domena i nic nigdzie tego nie sprawdza. Ruch: skonfiguruj SPF oraz DKIM dla swojej głównej poczty i potwierdź, że uwierzytelniają się i są zgodne (align). DMARC jest zbudowany na obu; nie możesz pominąć tego fundamentu.

Etap 2 — Uwierzytelniona. SPF i DKIM są poprawne i zgodne dla głównego przepływu poczty. Twoja prawidłowa poczta dowodzi swojego pochodzenia — ale nic nie mówi światowym skrzynkom, co robić z pocztą, która tego nie robi. Ruch: opublikuj rekord DMARC na p=none z adresem raportowania rua=.

Etap 3 — Obserwowanie. DMARC jest opublikowany, raporty zbiorcze napływają i po raz pierwszy widzisz, kto wysyła jako Twoja domena. Nic nie jest blokowane. Większość narzędzi nazywa ten etap „widocznością” — my celowo tego nie robimy, ponieważ widzenie raportów i ich rozumienie to różne osiągnięcia. Ruch: zidentyfikuj każde prawidłowe źródło, które wysyła jako Twoja domena, i doprowadź każde z nich do zgodności (align).

Etap 4 — Widoczność. Każdy prawidłowy nadawca jest zidentyfikowany i zgodny — platforma newsletterowa, system fakturowania, CRM, ta rzecz, którą marketing zarejestrował zeszłej wiosny. Znasz swoją pocztę. Nic prawidłowego się nie zepsuje, gdy zaczniesz egzekwować. To etap, który stare mapy pomijają, i ściana, której większość domen nigdy nie pokonuje. Ruch: podnieś politykę — p=none → p=quarantine (pomaga tu tryb testowy t=y z DMARCbis) → p=reject.

Etap 5 — Egzekwowana. p=quarantine lub p=reject działa, z subdomenami objętymi jawną polityką sp=. Poczta, która nie przechodzi uwierzytelnienia, jest teraz faktycznie kwarantannowana lub odrzucana u uczestniczących odbiorców — a należą do nich wszyscy główni dostawcy skrzynek — więc bezpośredni spoofing Twojej dokładnej domeny przestaje trafiać tam, gdzie sprawdzany jest DMARC. Ruch: dodaj warstwę utwardzania — pokrycie np= i tree-walk z DMARCbis, MTA-STS i TLS-RPT dla transportu, BIMI, jeśli zależy Ci na prezentacji marki.

Etap 6 — Utwardzona i podtrzymywana. Egzekwowanie plus nowoczesny stos: pokrycie nieistniejących subdomen (np=) z DMARCbis, MTA-STS i TLS-RPT zabezpieczające pocztę w tranzycie, BIMI tam, gdzie się opłaca — i, co kluczowe, ciągłe monitorowanie dryfu i nowych nadawców. To nie odznaka; to dyscyplina. Pojawiają się nowi nadawcy, dostawcy zmieniają adresy IP, konfiguracje gniją. Ruch: pozostań tutaj.

Pas ruchu bez poczty. Zmierzone na pełnym inwentarzu domen — łącznie z martwymi domenami — 51,5% domen w ogóle nie prowadzi usługi poczty, a dla nich podróż sprowadza się do jednego kroku. Domena, która nigdy nie wysyła, powinna natychmiast opublikować SPF -all i DMARC p=reject: nie ma prawidłowej poczty do ochrony, więc nie ma nic do obserwowania ani ściany do pokonania. Zaparkowane i uśpione domeny marki przechodzą prosto do Egzekwowanej w jednej zmianie DNS — a robiąc to, zamykają jeden z najczęstszych wektorów podszywania się, jakie istnieją.

Ściana: Etap 3 → 4

Każde inne przejście w tym modelu to zmiana w DNS. To jest praca śledcza — i to tu umierają miesiące.

Przejście z Obserwowania do Widoczności oznacza przypisanie każdego źródła wysyłki w Twoich raportach do rzeczywistego systemu: który ESP, który CRM, przekaźnik pocztowy którego regionalnego biura, które narzędzie SaaS ktoś podłączył w 2023 roku i zapomniał. Oznacza znalezienie nadawców z „shadow IT”, których nikt nie udokumentował. Oznacza naprawianie zgodności (align) ESP po ESP, ponieważ każda platforma ma własny sposób uwierzytelniania w Twoim imieniu — niektóre z nich domyślnie błędny.

Pomijanie ściany to sposób, w jaki DMARC dorobił się swojej strasznej reputacji. Zacznij egzekwować z Obserwowania — bez Widoczności — a na pewno zablokujesz coś realnego: serię faktur, przepływ resetowania hasła, newsletter prezesa. Potem przychodzi paniczne cofnięcie do p=none, wewnętrzna analiza powdrożeniowa i lekcja, którą wszyscy wyciągają błędnie: „spróbowaliśmy DMARC i zepsuł e-mail”. Większość horrorów o DMARC to dokładnie to — próba egzekwowania o jeden etap za wcześnie. Ściana nie jest powodem, by zatrzymać się na Etapie 3. Jest powodem, dla którego istnieje Etap 4.

To także etap, na którym właściciele najczęściej sięgają po pomoc — dostawca IT lub usługa monitorowania DMARC może wykonać pracę identyfikacji nadawców; etapy pozostają takie same tak czy inaczej.

Część, o której wszyscy zapominają: Etap 5 → 6

Osiągnięcie p=reject zatrzymuje bezpośredni spoofing Twojej domeny w polu Od: (From:), u odbiorców, którzy to sprawdzają. To konieczne — i niewystarczające. Warto też nazwać, czego egzekwowanie nigdy nie objęło: domeny łudząco podobne (twojafirm4.com) i podszywanie się pod nazwę wyświetlaną leżą całkowicie poza zasięgiem DMARC, więc egzekwowanie zamyka drzwi dokładnej domeny, a sąsiednie pozostawia czujności i innym mechanizmom kontroli.

Egzekwowanie nie robi nic dla transportu: bez MTA-STS i TLS-RPT poczta do Twojej domeny wciąż może zostać zdegradowana lub przechwycona w tranzycie. Nie robi nic dla rozpoznawalności marki: BIMI — Twoje logo wyświetlane w skrzynce odbiorczej — to sygnał zaufania, a nie mechanizm bezpieczeństwa, i uczciwie jest tak je traktować (wymaga też płatnego certyfikatu, dlatego stoi na końcu, a nie na początku). A zwykły p=reject powstał przed DMARCbis: tag np= i tree-walk z nowych RFC zamykają lukę nieistniejących subdomen, którą starsze wdrożenia pozostawiają otwartą.

Domena na p=reject bez żadnego z powyższych jest chroniona przed najczęstszym atakiem, a nieprzygotowana na resztę. To realne rozróżnienie i zasługuje na własny etap.

Twój etap jest mierzalny

Ten model to nie tylko diagram — etap domeny da się obliczyć, co odróżnia go od plakatu na ścianie.

Etapy od 3 do 6 można wyprowadzić z własnych danych raportowych DMARC domeny plus jej opublikowanych rekordów: jaka polityka jest aktywna, czy napływają raporty i czy każdy zaobserwowany nadawca jest zgodny (align). Etapy 1 i 2 ocenia się na żywo sprawdzeniem DNS, ponieważ żadne raporty jeszcze nie istnieją. Jedno uczciwe ograniczenie w każdym kierunku: Etap 4 potwierdza się dowodami w czasie — „każdy zaobserwowany nadawca jest zgodny przez wystarczającą liczbę dni raportowania” to mocna aproksymacja, ale żaden raport nie ujawni nadawcy, którego jeszcze nie podłączyłeś. A warstwa utwardzania Etapu 6 — MTA-STS, TLS-RPT, BIMI — jest niewidoczna w raportach DMARC; do jej zobaczenia potrzebne jest sprawdzenie DNS. Domena może z raportów wyglądać na „gotową”, a wciąż nieść ukrytą lukę Etap 5 → 6. To model, wobec którego mierzy się nasza własna analiza raportowania, z blokadami i całą resztą.

Przykład na konkretnym przypadku

Średniej wielkości firma korzysta z Microsoft 365 za bramką filtrującą pocztę. SPF kończy się na -all, DKIM jest skonfigurowany, DMARC jest opublikowany na p=none, a raporty napływają do narzędzia monitorującego. Na starych mapach wygląda to niemal na gotowe. Na tej to Etap 3 — Obserwowanie: trudna konfiguracja jest ukończona, a domena utknęła dokładnie przy ścianie — widoczna, nie chroniona. Najbardziej wartościowym ruchem jest 3 → 4 → 5: potwierdź, że (prawdopodobnie nieliczni) prawidłowi nadawcy są wszyscy zgodni (align), a następnie podnoś politykę etapami. Dla domeny w takim kształcie to zwykle tygodnie uwagi, a nie miesiące — ściana jest najwyższa dla tych, którzy nigdy jej nie zmapują.

Znajdź swój etap

Pytanie, które należy odesłać do lamusa, to „czy mamy DMARC?” — 24,89% domen może powiedzieć „tak”, podczas gdy 57,5% z nich pozostaje podatnych na spoofing. Lepsze pytanie brzmi: „na jakim jesteśmy etapie i jaki jest jeden ruch do następnego?” Każda domena w internecie jest dziś dokładnie na jednym z tych sześciu etapów. Wiedza, na którym, zmienia niepokój w listę zadań.

Gdzie plasuje się internet na sześciu etapach — większość domen w ogóle nie ma rekordu DMARC; większość tych, które go mają, tkwi przed egzekwowaniem

Najczęściej zadawane pytania

Czym jest DAMM? Model Dojrzałości Adopcji DMARC (DMARC Adoption Maturity Model) — sześcioetapowy model na tej stronie: Niezabezpieczona, Uwierzytelniona, Obserwowanie, Widoczność, Egzekwowana, Utwardzona. Etap domeny jest mierzalny z jej DNS i danych raportowych DMARC, co odróżnia go od plakatu na ścianie.

Czy publikowanie p=none jest zatem bezwartościowe? Nie — to Etap 3, a Etap 3 jest nośny: raportowanie to sposób, w jaki znajdujesz każdego nadawcę, zanim zaczniesz egzekwować. Staje się problemem tylko wtedy, gdy traktuje się je jako cel podróży. Zobacz dlaczego p=none to nie ochrona.

Czy mogę przeskoczyć od razu do p=reject? Jeśli Twoja domena nie wysyła poczty — tak, już dziś, i powinieneś. Jeśli wysyła — nie: egzekwowanie bez Widoczności (Etap 4) to sposób, w jaki psuje się prawidłową pocztę i dochodzi do wycofań. Etapy to bezpieczna ścieżka, a nie ceremoniał.

Czy potrzebuję BIMI, żeby być „gotowym”? Nie. BIMI to warstwa prezentacji marki Etapu 6 i najbardziej opcjonalny element modelu — MTA-STS, TLS-RPT i pokrycie np= z DMARCbis to części, które realnie utwardzają domenę. Jeśli koszt certyfikatu nie jest dla Ciebie uzasadniony, pomiń go i utrzymaj resztę Etapu 6.

Gdzie mieszczą się SPF i DKIM? Pod wszystkim — są Etapami 1 → 2, a SPF bez DMARC chroni mniej, niż zakłada większość właścicieli. Od 2024 roku główni odbiorcy również wprost wymagają uwierzytelnienia od masowych nadawców.

Sprawdź, gdzie stoi Twoja własna domena

Te etapy to wzorce populacyjne — Twoja domena jest dokładnie na jednym z nich, a następny ruch jest poznawalny. Możesz sprawdzić prywatnie i za darmo oraz zobaczyć, które z 34 kontroli przechodzisz i jak naprawić te, których nie.

Sprawdź swoją domenę → · Jak oceniliśmy internet → · Filar DMARC → · Wyłącznie dane zagregowane. Dane przechowywane i przetwarzane w UE.