Konfigurowanie DMARC

DMARC przekazuje serwerom odbierającym pocztę instrukcje postępowania w sytuacjach, gdy wiadomość wysłana z Twojej domeny nie przejdzie weryfikacji SPF lub DKIM. Dostępne opcje to odrzucenie, umieszczenie w kwarantannie lub dostarczenie wiadomości. Możesz też otrzymywać raporty, które pomogą Ci zidentyfikować potencjalne problemy z uwierzytelnianiem oraz szkodliwą aktywność związaną z wiadomościami wysyłanymi z Twojej domeny. Skonfiguruj DMARC, dodając rekord DNS typu TXT DMARC (rekord DMARC) do swojej domeny.

Rekord DMARC to wiersz tekstu, który dodajesz do domeny zgodnie z instrukcjami jej dostawcy. Oto przykładowy rekord DMARC:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Gdy serwery odbierające pocztę otrzymują wiadomości e-mail z Twojej domeny, które nie przejdą weryfikacji SPF lub DKIM, sprawdzają Twój rekord DMARC, aby określić, jakie działanie należy podjąć w przypadku tych wiadomości: odrzucić, umieścić w kwarantannie czy dostarczyć w normalny sposób.

Na tej stronie

Zanim zaczniesz

  • Zanim zaczniesz korzystać z DMARC, musisz włączyć SPF lub DKIM w swojej domenie. Jeśli nie masz skonfigurowanych SPF lub DKIM, przeczytaj artykuł o zapobieganiu spamowi, podszywaniu się i wyłudzaniu informacji.
    • Jeśli nie skonfigurujesz funkcji SPF lub DKIM przed włączeniem protokołu DMARC, prawdopodobnie będą występować problemy z dostarczaniem wiadomości wysyłanych z Twojej domeny.
    • Po skonfigurowaniu SPF lub DKIM odczekaj 48 godzin, zanim przejdziesz do konfiguracji DMARC.
  • Aby sprawdzić, czy mechanizm DMARC jest już skonfigurowany dla Twojej domeny, użyj jednego z wielu bezpłatnych narzędzi dostępnych w internecie. Jeśli mechanizm DMARC jest już skonfigurowany, sprawdź raporty DMARC, aby upewnić się, że DMARC skutecznie uwierzytelnia wiadomości i że są one dostarczane zgodnie z oczekiwaniami.
  • Aby skonfigurować DMARC, nie musisz nic robić w konsoli administracyjnej Google. Zamiast tego określ rekord DMARC, wykonując instrukcje na tej stronie. Następnie zaloguj się w systemie dostawcy hostingu domeny i dodaj rekord DMARC zgodnie z odpowiednimi instrukcjami dostawcy.

Krok 1. Skonfiguruj grupę lub skrzynkę pocztową na potrzeby raportów

Liczba raportów DMARC otrzymywanych pocztą e-mail jest zależna od tego, ile wiadomości zostało wysłanych przez domenę i do ilu domen je wysłano. Każdego dnia możesz dostawać wiele takich raportów. Duże organizacje mogą otrzymywać ich setki, a nawet tysiące dziennie. Google zaleca utworzenie grupy lub osobnej skrzynki pocztowej przeznaczonej do otrzymywania raportów DMARC i zarządzania nimi.

Ważne: adres e-mail na potrzeby raportów znajduje się zwykle w tej samej domenie co rekord DMARC. Jeśli adres e-mail korzysta z innej domeny, musisz dodać rekord DNS w tej domenie. Więcej informacji znajdziesz w sekcji Wysyłanie raportów na adres e-mail w innej domenie na stronie Raporty DMARC.

Krok 2. Upewnij się, że zewnętrzna skrzynka pocztowa jest uwierzytelniona

Jeśli korzystasz z usługi innej firmy do wysyłania e-maili w imieniu organizacji, musisz sprawdzić, czy wiadomości wysyłane przez tę usługę są uwierzytelniane i przechodzą kontrolę SPF i DKIM:

  • Skontaktuj się z dostawcą zewnętrznym, by upewnić się, że poprawnie skonfigurowano SPF i DKIM.
  • Sprawdź, czy domena nadawcy w danych koperty dostawcy jest zgodna z Twoją. Dodaj adres IP serwerów wysyłających dostawcy do rekordu SPF Twojej domeny.
  • Kieruj pocztę wychodzącą od dostawcy przez serwery Google przy użyciu ustawienia usługi przekaźnika SMTP.

Krok 3. Określ rekord DMARC

Zasady DMARC definiuje się w wierszu wartości tekstowych nazywanym rekordem DMARC. Określa się w nim:

  • jak bardzo rygorystycznie DMARC ma sprawdzać wiadomości;
  • zalecane działania, które ma podjąć serwer odbierający, gdy wiadomości nie przejdą uwierzytelniania.

Przykład rekordu DMARC (zastąp example.com swoją domeną):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Tagi v i p muszą zostać wymienione jako pierwsze. Pozostałe tagi mogą być umieszczone w dowolnej kolejności.

Kiedy zaczynasz korzystać z DMARC, zalecamy ustawienie opcji zasad (p) na none. Gdy już dowiesz się, w jaki sposób wiadomości z Twojej domeny są uwierzytelniane przez serwery odbierające, możesz zaktualizować zasady. Z czasem możesz zmienić zasady adresata na quarantine (lub reject). Zapoznaj się z zalecanymi metodami wdrożenia DMARC.

Definicje i wartości tagów rekordu DMARC

Tag Opis i wartości
v

(Wymagane) Wersja DMARC. Musi to być wartość DMARC1.
p (Wymagane) Informuje serwer poczty przychodzącej, co zrobić z wiadomościami, które nie przejdą uwierzytelniania.
  • none – względem wiadomości nie są podejmowane żadne działania i zostaje ona dostarczona do adresata. Wiadomości są zapisywane w raporcie dziennym. Raport jest wysyłany na adres e-mail określony w rekordzie za pomocą opcji rua.
  • quarantine— wiadomości są oznaczane jako spam i umieszczane w folderze spamu odbiorcy. Adresaci mogą przeglądać te wiadomości, aby sprawdzić, czy na pewno powinny trafić do spamu.
  • reject— wiadomość jest odrzucana. W przypadku tej opcji serwer odbierający zwykle wysyła do serwera wysyłającego wiadomość o problemie z dostarczeniem.

Uwaga dotycząca BIMI: jeśli w domenie jest używany rekord BIMI, opcja p zasad DMARC musi być ustawiona jako quarantine lub reject. BIMI nie obsługuje zasad DMARC z opcją p ustawioną jako none.
pct

Tag pct jest opcjonalny, ale Google zaleca, aby uwzględnić go w rekordzie DMARC podczas wdrażania DMARC, aby można było zarządzać tymi e-mailami, do których mają zastosowanie zasady DMARC.

Określa, jaki procent nieuwierzytelnionych wiadomości podlega zasadom DMARC. Kiedy stopniowo wdrażasz DMARC, możesz zacząć od niewielkiego procentu wiadomości. Gdy coraz więcej wiadomości z Twojej domeny zacznie przechodzić uwierzytelnianie przez serwery odbierające, możesz zwiększać wartość procentową, aż osiągniesz 100%.

Wartość musi być liczbą całkowitą z zakresu od 1 do 100. Jeśli nie wybierzesz tej opcji w rekordzie, zasady DMARC będą stosowane do wszystkich wiadomości wysyłanych z Twojej domeny.

Uwaga dotycząca BIMI: jeśli w domenie jest używany rekord BIMI, wartość pct w zasadach DMARC musi być równa 100. BIMI nie obsługuje zasad DMARC z wartością pct mniejszą niż 100.
rua

Tag rua jest opcjonalny, ale Google zaleca, aby zawsze uwzględniać go w rekordzie DMARC.

Wysyłaj raporty DMARC na adres e-mail. Adres e-mail musi zawierać ciąg znaków mailto:.
Przykład: mailto:dmarc-reports@example.com (zastąp example.com swoją domeną).

  • Aby wysyłać raporty DMARC na wiele adresów e-mail, rozdziel adresy e-mail przecinkami i dodaj prefiks mailto: przed każdym adresem. Przykład: mailto:dmarc-reports@example.com, mailto:dmarc-admin@example.com (zastąp example.com swoją domeną).
  • Użycie tej opcji może powodować otrzymywanie dużej liczby e-maili z raportami. Nie zalecamy używania własnego adresu e-mail. Lepszym rozwiązaniem może być stworzenie osobnej skrzynki pocztowej albo grupy lub skorzystanie z usług innej firmy, która specjalizuje się w raportach DMARC.
  • Aby wysyłać raporty DMARC na adres e-mail w innej domenie niż domena, w której znajduje się rekord DMARC, dodaj rekord TXT do DNS domeny e-mail. Szczegółowe informacje znajdziesz w artykule Wysyłanie raportów na adres e-mail w innej domenie na stronie Raporty DMARC.
ruf

(Nieobsługiwane) Gmail nie obsługuje tagu ruf używanego do wysyłania raportów o niepowodzeniu. Raporty te są też nazywane raportami śledczymi.
sp (Opcjonalnie) Ustawia zasady dla wiadomości z subdomen domeny podstawowej. Użyj tej opcji, jeśli w subdomenach chcesz stosować inne zasady DMARC.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantine wiadomości są oznaczane jako spam i umieszczane w folderze spamu odbiorcy. Adresaci mogą przeglądać te wiadomości, aby sprawdzić, czy na pewno powinny trafić do spamu.
  • reject wiadomość jest odrzucana. W takim przypadku serwer odbierający powinien wysłać do serwera wysyłającego wiadomość o problemie z dostarczeniem.

Jeśli nie wybierzesz tej opcji w rekordzie, subdomeny odziedziczą zasady DMARC ustawione w domenie nadrzędnej.
adkim (Opcjonalne) Ustawia zasady dopasowania DKIM określające poziom zgodności informacji o wiadomościach z podpisami DKIM. Dowiedz się, jak działa dopasowanie (poniżej).
  • s dopasowanie ścisłe. Nazwa domeny nadawcy musi być dokładnie taka sama jak odpowiednia wartość d=nazwadomeny z nagłówków DKIM poczty.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (Opcjonalnie) Ustawia zasady dopasowania SPF określające poziom zgodności informacji o wiadomościach z podpisami SPF. Dowiedz się, jak działa dopasowanie (poniżej).
  • s dopasowanie ścisłe. Nagłówek Od: wiadomości musi być dokładnie taki sam jak nazwa domeny z polecenia SMTP MAIL FROM.
  • r dopasowanie luźne (domyślnie). Zezwala na dopasowanie częściowe. Akceptowana jest każda poprawna subdomena wartości, która jest nazwą domeny.

Dopasowanie DMARC

DMARC przepuszcza lub odrzuca wiadomość na podstawie tego, jak bardzo domena w nagłówku Od: pasuje do domeny wysyłającej wskazywanej za pomocą SPF lub DKIM. Jest to określane jako dopasowanie.

Do wyboru masz 2 tryby dopasowania: ścisłe lub luźne. W rekordzie DMARC ustaw tryb dopasowania SPF i DKIM za pomocą tych tagów rekordu DMARC: aspf i adkim.

Metoda uwierzytelniania Dopasowanie ścisłe Dopasowanie luźne
SPF Dopasowanie ścisłe między domeną w adresie nadawcy w danych koperty (zwanym też adresem zwrotnym lub adresem do odsyłania wiadomości) a domeną w adresie w nagłówku Od:. Domena w adresie w nagłówku Od: musi być zgodna z domeną w adresie nadawcy w danych koperty (zwanym też adresem zwrotnym lub adresem do odsyłania wiadomości) lub być jej subdomeną.
DKIM Dopasowanie ścisłe między odpowiednią domeną DKIM a domeną w adresie nadawcy z nagłówka. Domena w adresie w nagłówku Od: musi być zgodna z domeną określoną w tagu d= w podpisie DKIM lub być jej subdomeną.

W niektórych przypadkach zalecamy przejście na dopasowanie ścisłe. Pozwoli to zapewnić większą ochronę przed podszywaniem się w tych przypadkach:

  • poczta wysyłana do Twojej domeny pochodzi z subdomeny poza Twoją kontrolą,
  • masz subdomeny zarządzane przez inny podmiot.
Ważne: dopasowanie luźne zazwyczaj zapewnia wystarczającą ochronę przed podszywaniem się. Dopasowanie ścisłe może powodować odrzucanie wiadomości z powiązanych subdomen lub kierowanie ich do spamu.

Aby uwierzytelnianie DMARC powiodło się, wiadomość musi pozytywnie przejść co najmniej jedną z tych kontroli:

  • uwierzytelnianie SPF i dopasowanie SPF,
  • uwierzytelnianie DKIM i dopasowanie DKIM.

Wiadomość nie przejdzie kontroli DMARC, jeśli nie powiedzie się:

  • kontroli SPF lub dopasowania SPF,
  • kontroli DKIM lub dopasowania DKIM.

Krok 4. Dodaj rekord DMARC do swojej domeny

Ważne: podczas wykonywania tego kroku skorzystaj z dokumentacji pomocy DMARC dostawcy hostingu domeny. Czynności związane z dodawaniem rekordu DMARC różnią się w zależności od dostawcy hostingu domeny.

Dodawanie lub aktualizowanie rekordu

Ważne: zanim skonfigurujesz DMARC, skonfiguruj DKIM i SPF. DKIM i SPF powinny uwierzytelniać wiadomości przez co najmniej 48 godzin przed włączeniem DMARC.

  1. Przygotuj plik tekstowy lub wiersz zawierający rekord DMARC.
  2. Zaloguj się na swoje konto w systemie dostawcy hostingu domeny, czyli w miejscu, w którym domena została kupiona. Jeśli nie wiesz, kto jest Twoim dostawcą hostingu domeny, przeczytaj artykuł Identyfikowanie rejestratora domeny.
  3. Otwórz stronę, na której możesz zaktualizować rekordy DNS typu TXT swojej domeny. Informacje o tym, jak znaleźć tę stronę, znajdziesz w dokumentacji domeny.

  4. Dodaj lub zaktualizuj rekord TXT, podając te informacje (patrz dokumentacja Twojej domeny):

    Nazwa pola Wartość do wpisania
    Typ Typ rekordu to TXT.
    Host (Nazwa, Nazwa hosta, Alias) Ta wartość powinna wyglądać tak: _dmarc.example.com (zastąp example.com nazwą swojej domeny).
    Wartość Ciąg tekstowy, który tworzy rekord TXT. Na przykład: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Szczegółowe informacje znajdziesz w sekcji Określ rekord DMARC (powyżej).

    Uwaga: niektórzy dostawcy hostingu domeny automatycznie dodają nazwę domeny. Po dodaniu lub zaktualizowaniu rekordu TXT sprawdź nazwę domeny w rekordzie DMARC, aby upewnić się, że jest poprawnie sformatowana.

  5. Zapisz zmiany.
  6. Jeśli konfigurujesz DMARC dla więcej niż jednej domeny, wykonaj te czynności w przypadku każdej z nich. Każda domena może mieć własne zasady i opcje raportu (zdefiniowane w rekordzie).
  7. Aby sprawdzić, czy mechanizm DMARC jest skonfigurowany w Twojej domenie, użyj jednego z wielu bezpłatnych narzędzi dostępnych w internecie.


Google, Google Workspace i powiązane znaki oraz logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.