Defaults.Exposed › Naprawy › Guides
DMARC od p=none do p=reject bez utraty legalnej poczty: etapowe wdrożenie (2026)
Opublikowano 2026-07-08
Dane z 2026-06-29 · metodologia v7. Zagregowane dane ze spisu 261 milionów ocenionych domen. Zobacz jak oceniamy.
Przenieś DMARC od p=none do p=reject w czterech etapach: monitoruj raporty rua przez 2–4 tygodnie, napraw każdego legalnego nadawcę, podnieś p=quarantine z pct, następnie odrzuć — nigdy nie skacz prosto do reject. 70 368 600 z 261 086 232 ocenionych domen tkwi zatrzymanych przy miękkim SPF bez wymuszania DMARC, zgodnie ze spisem Defaults.Exposed.
To jest operacyjny plan działania: tabela etapów z kryteriami wyjścia, rekord dla każdego etapu, subtelność pct z RFC 7489, która zmienia znaczenie „50%” przy reject, oraz tag sp= dla subdomen. Jeśli decydujesz, czy wymuszać, najpierw przeczytaj 6 etapów dojrzałości DMARC — to jest ramy; a jeśli same poziomy polityki są Ci nowe, co naprawdę oznacza p=none, p=quarantine i p=reject to wprowadzenie. Ta strona to działanie.
Dlaczego nie możesz skakać prosto do p=reject?
Ponieważ p=reject mówi każdemu honorującemu odbiorcy, żeby odbijał pocztę, która nie przechodzi DMARC — a dopóki nie obejrzałeś raportów, nie wiesz, co nie przechodzi. Niemal każda domena, która włącza monitorowanie, odkrywa legalnych nadawców, o których zapomniała: CRM, narzędzie do fakturowania, formularz kontaktowy. Skocz do reject w dniu pierwszym a ta poczta nie trafia do spamu; znika w czasie SMTP. Strata wysyłki faktur uczy organizację bać się DMARC, a rekord wraca do p=none na stałe — z 261 086 232 ocenionych domen, 37 312 637 jest zaparkowanych dokładnie tam, a tylko 10,59% (27 640 987) kiedykolwiek osiąga wymuszoną politykę.
Drugi powód to wyrównanie. DMARC przechodzi tylko gdy SPF lub DKIM przechodzi i wyrównuje się z widoczną domeną From — SPF względem domeny Return-Path (RFC5321.MailFrom), DKIM względem d= podpisu. Zewnętrzni nadawcy zazwyczaj przechodzą SPF na swojej domenie, a nie Twojej, dlatego etap naprawiania każdego źródła to głównie włączanie niestandardowego DKIM z własną domeną u każdego dostawcy — rozwinięte w DMARC nie przechodzi, ale SPF i DKIM tak.
Jakie są cztery etapy wdrożenia?
| Etap | Rekord polityki | pct | Co dzieje się z nieprzechodzącą pocztą | Kryteria wyjścia |
|---|---|---|---|---|
| 1. Monitorowanie | p=none; rua=mailto:… | — | Dostarczana normalnie; otrzymujesz raporty zbiorcze | 2–4 tygodnie raportów; każdy nadawca w nich zidentyfikowany jako legalny lub nie |
| 2. Napraw źródła | p=none (bez zmian) | — | Nadal dostarczana normalnie | Każde legalne źródło przechodzi DMARC z wyrównaniem (niestandardowy DKIM z własną domeną na nadawcę); pozostałe niepowodzenia to tylko nieznany/sfałszowany ruch |
| 3. Rampa quarantine | p=quarantine | 10 → 25 → 50 → 100 | Próbkowany udział trafia do folderów spam; udział poza próbką jest traktowany jako p=none (dostarczany) | 1–2 tygodnie przy pct=100 bez żadnej legalnej poczty poddanej kwarantannie |
| 4. Reject | p=reject | 100 | Odrzucana w czasie SMTP; nadawca otrzymuje zwrotkę, odbiorca nic nie widzi | Ciągłe — trzymaj rua włączone na zawsze, żeby wyłapywać nowych nadawców |
Dane z 2026-06-29; zachowanie polityki wg RFC 7489.
Etap 3 to miejsce, gdzie domeny zatrzymują się lub panikują. Folderowanie w spam jest odwracalne — użytkownicy znajdą pocztę, luzujesz pct, naprawiasz źródło. Odrzucenie jest nieodwracalne, dlatego quarantine przy pct=100 działające czysto to bilet wstępu do etapu 4.
Jak przeprowadzić wdrożenie krok po kroku?
- Uruchom bezpłatne skanowanie na defaults.exposed przed dotykaniem DNS. Potwierdza aktualną politykę i czy SPF i DKIM są na miejscu poniżej — dwie nogi, na których stoi wymuszanie.
- Włącz monitorowanie, jeśli jeszcze tego nie zrobiłeś. Opublikowanie
p=nonezrua=to pięciominutowy krok z „DMARC policy not enabled”. Zbierz 2–4 tygodnie raportów — wystarczająco, żeby wychwycić miesięcznych nadawców jak wysyłki faktur. - Sporządź spis każdego źródła w raportach. Posortuj nadawców na Twoich, dostawców i nieznanych. Surowe raporty przychodzą jako XML — narzędzie do przetwarzania raportów (lub panel dostawcy) przekształca je w czytelny spis nadawców.
- Spraw, żeby każde legalne źródło przechodziło wyrównane. Włącz niestandardowy DKIM z własną domeną u każdego dostawcy (zazwyczaj dwa rekordy CNAME w ich panelu), żeby podpisy niosły Twoją domenę, a nie ich. Preferuj DKIM dla wyrównania: przeżywa przekazywanie, SPF nie.
- Poczekaj na czysty dwutygodniowy okres. Wyjdź z etapu 2 dopiero gdy zgłaszane niepowodzenia to wyłącznie ruch, którego nie rozpoznajesz — spoofing, który chcesz blokować.
- Przejdź na
p=quarantine; pct=10— edytuj istniejący rekord TXT_dmarc(przepracowany przykład: konfiguracja DMARC dla IONOS) i uważaj na składnię: literówka w tagu polityki może całkowicie unieważnić rekord. Podnoś pct do 25, 50, 100 przez 2–4 tygodnie, obserwując raporty i zgłoszenia do helpdesku. Cokolwiek legalnego w spam: opuść pct, napraw źródło, wznów. - Przejdź na
p=rejectpo 1–2 czystych tygodniach przypct=100. Trzymajrua=włączone na stałe — każde nowe narzędzie, które adoptuje Twoja firma, to przyszły nieprzechodzący nadawca.
Co faktycznie robi pct? Subtelność RFC 7489
pct prosi odbiorców o stosowanie polityki do tego procentu nieprzechodzących wiadomości. Subtelność, z RFC 7489 §6.6.4: poczta, która jest poza próbką, nie wraca do „dostarczaj normalnie” — otrzymuje następnie-mniej-surową politykę. Pod p=quarantine; pct=25, pozostałe 75% jest traktowane jako p=none i dostarczane. Ale pod p=reject; pct=50, pozostałe 50% jest poddawane kwarantannie, a nie dostarczane. Nie ma łagodnego reject: w chwili gdy Twój rekord mówi reject, każda nieprzechodzącą wiadomość jest co najmniej folderowana w spam u honorujących odbiorców.
Użyta świadomie, to jest cecha — p=reject; pct=1 zachowuje się jak „poddaj kwarantannie niemal wszystko, odrzuć małą ilość”, co jest legalną ostateczną rampą. Dwa zastrzeżenia: odbiorcy nie wszyscy identycznie implementują próbkowanie, więc traktuj pct jako przybliżony regulator; i usuń tag (lub ustaw pct=100) gdy etap 4 jest stabilny, żeby Twój rekord mówił to, co chcesz.
A co z subdomenami — tag sp=?
Domyślnie subdomeny dziedziczą politykę domeny organizacyjnej: p=reject na yourdomain.com obejmuje też mail.yourdomain.com. Tag sp= pozwala im różnić się, w obu pożytecznych i niebezpiecznych kierunkach. Pożytecznie: p=quarantine; sp=reject blokuje subdomeny, z których nigdy nie wysyłasz, podczas gdy wierzchołek jest nadal w połowie rampy — spooferzy celowo atakują subdomeny monitorowanych domen. Niebezpiecznie: zapomniane sp=none po cichu zwalnia każdą subdomenę z polityki reject, na którą pracowałeś sześć tygodni. Sprawdź to na etapie 4; jeśli jedna subdomena naprawdę potrzebuje luźniejszej polityki, opublikuj rekord _dmarc na tej subdomenie zamiast luzować wszystkie.
Czy NIS2 oznacza, że firmy z UE muszą to zrobić?
DMARC działa identycznie wszędzie — nic w tym planie działania nie zmienia się na granicy UE. Co się zmienia to przymus zgodności. Artykuł 21 ust. 2 lit. j NIS2 wymaga od podmiotów objętych zakresem zabezpieczenia komunikacji, a Rozporządzenie Wykonawcze Komisji (UE) 2024/2690 określa wymagania techniczne dla objętych nim podmiotów infrastruktury cyfrowej — jego Załącznik (punkt 6.7.2(k)) wymaga planu wdrożenia uznanych na poziomie międzynarodowym nowoczesnych standardów bezpieczeństwa poczty, a punkt 6.7.2(l) wymaga najlepszych praktyk bezpieczeństwa DNS. Wymuszona polityka DMARC, z SPF i DKIM poniżej, to uznana, audytowalna kontrola dla spoofingu; p=none to demonistrycznie monitorowanie, nie zabezpieczanie. Jeśli Twoi klienci są objęci zakresem, ich kwestionariusze dostawców coraz częściej pytają o dokładnie to.
Często zadawane pytania
Jak długo trwa całe wdrożenie? Sześć do dziesięciu tygodni to typowy czas: 2–4 tygodnie monitorowania, 1–3 tygodnie naprawiania źródeł, 2–4 tygodnie podnoszenia quarantine, a następnie reject. To czas kalendarzowy, nie wysiłek — głównie czekanie na raporty, które potwierdzają każdą zmianę. 89,41% z 261 086 232 ocenionych domen bez wymuszonej polityki (dane z 2026-06-29) przeważnie nie jest w połowie wdrożenia; nigdy nie uruchomiły zegara.
Czy mogę pominąć quarantine i użyć p=reject z niskim pct?
Możesz — wg RFC 7489 §6.6.4, p=reject; pct=10 oznacza 10% odrzuconych i 90% poddanych kwarantannie, mniej więcej późny etap 3. Ale najpierw p=quarantine jest łatwiejsze do rozumowania, a odbiorcy różnią się w tym, jak wiernie próbkują. Tak czy inaczej, etapy 1–2 są niezbywalne: żaden smak wymuszania nie jest bezpieczny, gdy legalni nadawcy nadal nie przechodzą.
A co z pocztą, której nie mogę naprawić — przekazujący i listy mailingowe? Przekazywanie z założenia niszczy SPF, a niektóre listy mailingowe przepisują treść, niszcząc też DKIM. Wyrównany DKIM przeżywa zwykłe przekazywanie, co obsługuje większość; mała resztka to powód, dla którego etap quarantine istnieje — poczta w spam jest odwracalna podczas oceniania. Szczegóły w przekazywana poczta nie przechodzi SPF.
Czy zatrzymanie się na p=quarantine wystarczy?
To większość wartości i znacznie lepsze niż 37 312 637 domen zaparkowanych na p=none (z 261 086 232 ocenionych, dane z 2026-06-29) — ale sfałszowana poczta nadal trafia do folderów spam, skąd ludzie ją wyciągają. Reject to cel końcowy: tylko 10,59% ocenionych domen w ogóle wymusza, a dokończenie to to, co zaliczają narzędzia, ubezpieczyciele i kwestionariusze.
Wyślij właścicielowi raport
Jeśli przeprowadzasz to wdrożenie dla klienta lub pracodawcy, linia mety jest pokazywalna. Ponów bezpłatne skanowanie gdy p=reject się rozwiązuje i prześlij oceniony raport: domena przechodząca do wymuszonej polityki, ze znacznikiem czasu i w prostym języku. Ta jedna strona odpowiada na linię bezpieczeństwa poczty przy przedłużeniach ubezpieczenia cybernetycznego i kwestionariuszach dostawców napędzanych NIS2 lepiej niż zrzut ekranu panelu DNS — i sprawia, że sześć tygodni starannej, niewidocznej pracy jest widoczne dla osoby, która za nią płaci.
Sprawdź swoją politykę DMARC bezpłatnie
Sprawdź, jaka jest aktualnie Twoja polityka — i czy SPF i DKIM mogą unieść wymuszanie — prywatnie i tylko dla właściciela.
Sprawdź swoją domenę → · Napraw DMARC → · „DMARC policy not enabled” — uczciwy pierwszy krok → · Tylko dane zagregowane. Dane przechowywane i przetwarzane w UE.