Defaults.Exposed

Defaults.Exposed › Raporty

Czym jest DMARC? Wyjaśnienie polityk p=none, quarantine i reject (2026)

Opublikowano 2026-07-01

Dane na dzień 2026-06-29 · metodologia v7. Zbiorcze dane spisu obejmujące 261 milionów ocenionych domen. DMARC to polityka DNS, która instruuje odbierające serwery pocztowe, co zrobić z wiadomościami, które nie przejdą uwierzytelnienia. Zobacz jak oceniamy.

DMARC to instrukcja, która decyduje, czy sfałszowana wiadomość wysłana w Twoim imieniu zostanie odrzucona, poddana kwarantannie, czy dostarczona jak zwykła poczta. Ma trzy ustawienia — none, quarantine, reject — i tylko te dwa ostatnie faktycznie Cię chronią. Spośród 261 milionów domen zaledwie 10,59% egzekwuje politykę. Większość pozostałych albo nie publikuje nic (75,11%), albo stosuje rekord wyłącznie monitorujący, który wygląda jak ochrona, ale niczego nie blokuje (14,29%). Oto, co robi każda z polityk.

Co oznaczają trzy polityki DMARC

DMARC wiąże SPF i DKIM z widocznym adresem „From” i mówi odbiorcom, co zrobić w przypadku niepowodzenia:

Łącznie kwarantanna i odrzucanie — dwie polityki egzekwujące — obejmują zaledwie 10,59% domen. Tylko 8,89% zbiera zbiorcze raporty (rua), które mówią, kto wysyła pocztę w Twoim imieniu.

„Opublikowaliśmy DMARC” to nie to samo co „egzekwujemy DMARC”

Na tym polega pułapka. Opublikowanie rekordu wydaje się metą, ale rekord p=none to czujka dymu bez baterii — obserwuje, lecz nie działa. A literówki po cichu degradują Cię do braku ochrony w ogóle: 48 648 domen (0,07% rekordów DMARC) ma token polityki, którego odbiorcy nie potrafią odczytać — błędy w pisowni, takie jak quarentine, albo niewłaściwy język — więc jest on traktowany jak brak polityki. Zobacz dlaczego p=none nie jest ochroną oraz literówki w DMARC.

Jak skonfigurować DMARC?

Rób to po kolei — egzekwowanie polityki, zanim SPF i DKIM będą solidne, odbije Twoją własną pocztę:

  1. Najpierw opublikuj SPF i DKIM i potwierdź, że Twoja legalna poczta przechodzi oba.
  2. Zacznij od p=none z rua — rekord w rodzaju v=DMARC1; p=none; rua=mailto:you@yourdomain. Przez kilka tygodni obserwuj raporty, aby wychwycić każdego rzeczywistego nadawcę.
  3. Przejdź do p=quarantine, a następnie do p=reject, gdy raporty będą czyste. To ostatni krok, który naprawdę powstrzymuje podszywanie się. Zobacz napraw DMARC.

Egzekwowanie według końcówki domeny

Im wyżej, tym lepiej — to udział domen, które faktycznie blokują fałszerstwa. Na dzień 2026-06-29:

Końcówka domenyEgzekwujące DMARC
.nl (Holandia)29,43%
.de (Niemcy)21,38%
.uk (Wielka Brytania)13,42%
.com9,50%
.net10,08%
.org10,01%
.xyz5,15%

Nawet najsilniejsza duża końcówka egzekwuje politykę na mniejszości swoich domen.

Najczęściej zadawane pytania

Czym jest rekord DMARC? To rekord DNS typu TXT umieszczony pod _dmarc.yourdomain, zaczynający się od v=DMARC1, którego wartość p= mówi odbiorcom, co zrobić z pocztą, która nie przejdzie uwierzytelnienia: none, quarantine lub reject.

Czy p=none wystarczy? Nie. p=none wyłącznie monitoruje i niczego nie blokuje. 14,29% domen zatrzymuje się na tym etapie i pozostaje podatnych na podszywanie. Chroni Cię tylko quarantine lub reject.

Jaka jest różnica między quarantine a reject? quarantine wysyła niepowodzenia do spamu; reject całkowicie je odrzuca. Reject jest najsilniejszy. Na dzień 2026-06-29 5,28% domen stosuje kwarantannę, a 5,31% odrzucanie.

Czy DMARC zablokuje moją własną pocztę? Tylko wtedy, gdy SPF lub DKIM nie zostaną najpierw poprawnie skonfigurowane. Dlatego zaczynasz od p=none, obserwujesz raporty i zaostrzasz politykę, gdy wszyscy Twoi rzeczywiści nadawcy będą przechodzić uwierzytelnienie.

Czy DMARC jest bezpłatny? Tak — to rekord DNS. Kosztem jest czas potrzebny na bezpieczne wdrożenie, a nie pieniądze.

Sprawdź DMARC swojej domeny za darmo

Zobacz, czy Twoja polityka DMARC faktycznie egzekwuje — prywatnie i wyłącznie dla właściciela.

Sprawdź swoją domenę → · Napraw DMARC → · Czy ktoś może podszyć się pod moją domenę? → · Jak oceniamy → · Wyłącznie dane zbiorcze. Dane przechowywane i przetwarzane w UE.