Defaults.Exposed › Konfiguracja › DMARC

Jak skonfigurować DMARC w Cloudflare

Dodaj rekord DMARC w Cloudflare, aby powiedzieć dostawcom poczty, co mają robić z wiadomościami, które nie przejdą Twoich kontroli.

Dlaczego to ważne dla Twojej firmy

DMARC spina ze sobą SPF i DKIM oraz dodaje brakującą instrukcję: co dostawca poczty odbierającej ma zrobić, gdy wiadomość podająca się za pochodzącą od Ciebie nie przejdzie kontroli? Bez DMARC każdy dostawca zgaduje. Z nim to Ty decydujesz — a dodatkowo możesz poprosić o raporty pokazujące, kto wysyła pocztę w Twoim imieniu.

Mówiąc wprost: to właśnie DMARC realnie powstrzymuje oszustów przed podszywaniem się pod Twoją domenę, by okraść Twoich klientów czy pracowników. To zasada nadrzędna wobec zabezpieczeń, które dają SPF i DKIM — darmowa i warta tych kilku minut.

Najpierw skonfiguruj SPF i DKIM

DMARC działa, sprawdzając wyniki SPF i DKIM. Jeśli jeszcze ich nie dodałeś, zrób to najpierw — zasada DMARC bez niczego pod spodem nie ma czego egzekwować.

Upewnij się, że to Cloudflare obsługuje Twój DNS

Jak każdy rekord DNS, ten zadziała tylko wtedy, gdy to Cloudflare odpowiada za DNS Twojej domeny. Cloudflare jest Twoim dostawcą DNS, a nie dostawcą skrzynek pocztowych, i jego DNS działa tylko wtedy, gdy serwery nazw Twojej domeny wskazują na serwery nazw Cloudflare pokazane w panelu. Otwórz swoją domenę w Cloudflare i sprawdź stronę Overview, by potwierdzić, że Cloudflare jest aktywny. Jeśli Twoje serwery nazw wskazują gdzie indziej, dodaj rekord DMARC u tego dostawcy, który faktycznie obsługuje Twój DNS.

Krok po kroku w Cloudflare

1. Zaloguj się do Cloudflare i wybierz swoją domenę.
2. W menu po lewej przejdź do ustawień DNS (szukaj DNS / Records).
3. Kliknij Add record.
4. Ustaw Type na TXT.
5. W polu Name wpisz dokładnie: _dmarc Nie dopisuj po tym nazwy swojej domeny — Cloudflare dokleja domenę za Ciebie.
6. W polu Content zacznij łagodnie, od zasady wyłącznie monitorującej: v=DMARC1; p=none; rua=mailto:[email protected] Zastąp adres skrzynką, którą faktycznie czytasz. To prosi dostawców, by wysyłali Ci raporty zbiorcze, na razie bez zmiany sposobu traktowania jakiejkolwiek poczty.
7. Pozostaw TTL na Auto.
8. Kliknij Save.

Wybór zasady (część p=)

• p=none — tylko monitorowanie. Nic nie jest blokowane; otrzymujesz jedynie raporty. Zacznij tutaj.
• p=quarantine — kierowanie niepoprawnej poczty do spamu/kosza.
• p=reject — całkowite odrzucanie niepoprawnej poczty (najsilniejsza ochrona).

Uruchom p=none na kilka tygodni, przeczytaj raporty, by potwierdzić, że cała Twoja prawidłowa poczta przechodzi, a następnie przejdź do quarantine i wreszcie do reject. Przeskok od razu do reject, zanim sprawdzisz raporty, grozi zablokowaniem Twojej własnej, autentycznej poczty.

Pułapki Cloudflare, na których ludzie się przewracają

• Name to _dmarc, z podkreślnikiem. Częstym błędem jest pominięcie podkreślnika albo wpisanie _dmarc.twojadomena.com — w Cloudflare wpisujesz wyłącznie _dmarc. Wiodący podkreślnik jest wymagany; nie pomijaj go.
• Nie dodawaj własnych cudzysłowów. Wklej czystą wartość zaczynającą się od v=DMARC1;. Cloudflare sam dokłada cudzysłowy; ręczne znaki " mogą zepsuć rekord.
• Tylko jeden rekord DMARC. Jak przy SPF, musi istnieć jeden rekord TXT DMARC. Jeśli już jest, edytuj go, zamiast dodawać drugi.
• Brak proxy na rekordzie TXT. DMARC żyje w rekordzie TXT, który nigdy nie jest objęty proxy — nie ma tu żadnego przełącznika pomarańczowej/szarej chmurki, którym trzeba by się martwić.
• Użyj prawdziwej skrzynki raportowej. Adres po rua=mailto: powinien być takim, który naprawdę sprawdzasz, inaczej raporty się marnują. Może być w tej samej domenie albo w innej.
• Daj temu czas. Zmiany DNS mogą wejść w życie od kilku minut do paru godzin.

Sprawdź, czy zadziałało

Po zapisaniu i rozpropagowaniu uruchom darmowy test na tej stronie. Prostym językiem powie Ci, czy Twój rekord DMARC jest na miejscu i jaką zasadę ustawiłeś.

Gotowe? Sprawdź swoją domenę za darmo aby potwierdzić, że zadziałało — i zobaczyć pełną ocenę we wszystkich 34 kontrolach.