Defaults.Exposed › Konfiguracja › DMARC

Jak skonfigurować DMARC w Microsoft 365

Dodaj rekord DMARC w swoim DNS, aby powiedzieć odbiorcom, co mają robić z pocztą, która nie przejdzie Twoich kontroli SPF i DKIM.

Dlaczego to ważne dla Twojej firmy

DMARC to zasada, która spina ze sobą SPF i DKIM. Mówi serwerom poczty odbierającej, co zrobić, gdy wiadomość podająca się za pochodzącą z Twojej domeny nie przejdzie tych kontroli — zignorować ją, skierować do spamu czy odrzucić w całości — a do tego może wysyłać Ci raporty pokazujące, kto wysyła (i podrabia) pocztę jako Ty. Mówiąc wprost: to właśnie DMARC realnie powstrzymuje oszustów przed podszywaniem się pod Twoją domenę, by okraść Twoich klientów i pracowników. Jest darmowy i zamienia SPF oraz DKIM z miłego dodatku w prawdziwą ochronę.

Najpierw zrób SPF i DKIM

DMARC zależy od SPF i DKIM. Skonfiguruj je przed DMARC albo równolegle z nim. Sam rekord DMARC — bez działającego SPF/DKIM — może spowodować zablokowanie Twojej własnej, prawidłowej poczty. Zacznij łagodnie (zobacz uwagę o zasadzie poniżej) i zaostrzaj z czasem.

Ważne: gdzie się to robi

Tak jak SPF, DMARC to rekord DNS, a nie ustawienie wewnątrz Microsoft 365. Microsoft 365 jest Twoją platformą pocztową (prowadzi skrzynki), ale rekord DMARC dodaje się tam, gdzie żyje DNS Twojej domeny — u rejestratora, na hostingu, w Cloudflare albo u kogokolwiek, kto kontroluje Twoje serwery nazw. Jeśli pozwolisz Microsoftowi zarządzać Twoim DNS, dodasz go w centrum administracyjnym Microsoft 365 → Ustawienia → Domeny → rekordy DNS; w przeciwnym razie trafia on do Twojego dostawcy DNS. W samym Microsofcie nie ma osobnego „przełącznika DMARC” — rola Microsoftu polega po prostu na tym, że działające SPF i DKIM (skonfigurowane osobno) są tym, na czym opiera się DMARC.

Najpierw: która firma obsługuje Twój DNS?

Rekord DMARC działa tylko wtedy, gdy zostanie dodany tam, dokąd wskazują serwery nazw Twojej domeny. Jeśli nie masz pewności, sprawdź sekcję Nameservers na koncie u rejestratora albo zapytaj osobę, która zakładała Twoją stronę. Dodaj rekord w ustawieniach DNS tej firmy (szukaj DNS / Records / Advanced DNS).

Co dodasz

Pojedynczy rekord TXT pod specjalną nazwą hosta: _dmarc.

Bezpieczna wartość startowa, która jedynie monitoruje i niczego nie blokuje, to:

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = tylko monitorowanie; na razie nic nie jest blokowane. Dobre na pierwsze tygodnie.
• rua=mailto:... = dokąd trafiają raporty zbiorcze. Użyj prawdziwej skrzynki, którą sprawdzasz.
• Gdy już potwierdzisz (dzięki raportom i darmowemu testowi), że Twoja autentyczna poczta przechodzi, możesz zaostrzyć zasadę do p=quarantine (kierowanie błędów do spamu), a później do p=reject (całkowite odrzucanie błędów). Microsoft zaleca dążenie do p=reject, gdy nabierzesz pewności.

Kroki

1. Zaloguj się do swojego dostawcy DNS (rejestratora, hostingu lub dostawcy DNS — albo do centrum administracyjnego Microsoft 365, jeśli to Microsoft obsługuje Twój DNS).
2. Otwórz ustawienia DNS dla swojej domeny (szukaj DNS / Records / Advanced DNS).
3. Dodaj nowy rekord i wybierz TXT.
4. W polu Name / Host wpisz dokładnie _dmarc (z wiodącym podkreślnikiem). Nie wpisuj _dmarc.twojadomena.com — dostawca DNS automatycznie dokleja Twoją domenę.
5. W polu Value wklej swój ciąg DMARC, np. v=DMARC1; p=none; rua=mailto:[email protected] (zastąp e-mail prawdziwym adresem, który monitorujesz).
6. Pozostaw TTL na wartości domyślnej.
7. Zapisz.

Pułapki, na których ludzie się przewracają

• To nie jest ustawienie skrzynki pocztowej. Ludzie przeszukują ustawienia Microsoft 365 w poszukiwaniu „DMARC” — nie ma go tam jako przełącznika. To należy do Twojego DNS.
• Nazwa hosta to _dmarc, z podkreślnikiem. Pominięcie podkreślnika albo dopisanie pełnej domeny po nim umieszcza rekord w złym miejscu i DMARC nie zostanie znaleziony.
• Uważaj na cudzysłowy. Wklej wartość na czysto; większość dostawców DNS sama dokłada cudzysłowy. Nie owijaj jej samodzielnie w "...".
• Tylko jeden rekord DMARC. Powinien istnieć dokładnie jeden rekord TXT pod _dmarc. Jeśli już jest, edytuj go, zamiast dodawać drugi.
• Zacznij od p=none. Przeskok od razu do p=reject, zanim SPF/DKIM będą solidne, może zablokować Twoje własne faktury i wyceny. Najpierw monitoruj, zaostrzaj później.
• Użyj prawdziwej skrzynki raportowej. Adres rua musi być takim, na który faktycznie możesz odbierać pocztę.
• Daj temu czas. Zmiany DNS mogą wejść w życie wszędzie od kilku minut do paru godzin.

Sprawdź, czy zadziałało

Po zapisaniu potwierdź, że Twój rekord DMARC jest aktywny i sensowny, darmowym testem na Defaults.Exposed. Wpisz swoją domenę, a prostym językiem powie Ci, czy DMARC jest poprawnie skonfigurowany i co zrobić dalej. Twoje dane są przetwarzane w UE.

Gotowe? Sprawdź swoją domenę za darmo aby potwierdzić, że zadziałało — i zobaczyć pełną ocenę we wszystkich 34 kontrolach.