Technical Reference · 2026 Edition

Wyjaśnienie wymogu BIMI dotyczącego DMARC p=reject

Last updated min read

Wyjaśnienie wymogu BIMI dotyczącego DMARC p=reject

Większość nieudanych wdrożeń BIMI można sprowadzić do jednej przyczyny: nieprawidłowej polityki DMARC. Organizacje koncentrują się na generowaniu pliku logo SVG i pomijają wymóg uwierzytelniania, który decyduje o tym, czy logo w ogóle zostanie wyświetlone.

BIMI to protokół bezpieczeństwa, a nie funkcja brandingowa. Dostawcy skrzynek pocztowych wyświetlają Twoje logo dopiero po kryptograficznej weryfikacji, że wiadomość pochodzi z Twojej domeny [1].

Ten artykuł opisuje wymagania wstępne DMARC dla BIMI, porównuje trzy polityki egzekwowania i określa, jak przygotować Twoją domenę.

Czym jest DMARC?

Domain-based Message Authentication, Reporting, and Conformance (DMARC) to standard uwierzytelniania poczty elektronicznej, który uniemożliwia nieautoryzowanym nadawcom używanie Twojej domeny w nagłówku From.

DMARC opiera się na dwóch protokołach bazowych:

  1. SPF (Sender Policy Framework): Weryfikuje, czy wysyłający adres IP jest autoryzowany przez właściciela domeny.
  2. DKIM (DomainKeys Identified Mail): Stosuje podpis kryptograficzny do każdej wiadomości, dzięki czemu odbiorca może potwierdzić, że wiadomość nie została zmodyfikowana podczas transmisji.

Rekord DMARC instruuje serwery odbierające, takie jak Gmail i Yahoo, jak postępować z wiadomościami, które nie przejdą weryfikacji zarówno SPF, jak i DKIM.

Trzy polityki DMARC

Rekord DMARC publikujesz jako rekord TXT w strefie DNS Twojej domeny. Tag p= definiuje politykę egzekwowania.

1. p=none (Tryb monitorowania)

Serwer odbierający dostarcza wiadomości, które nie przeszły weryfikacji, do skrzynki odbiorczej i wysyła raporty zbiorcze na wskazany przez Ciebie adres. Używaj tej polityki, aby zidentyfikować legalne źródła wysyłki, zanim przejdziesz do egzekwowania. Status BIMI:Odrzucony. Dostawcy skrzynek pocztowych nie wyświetlają logo BIMI dla domen z polityką p=none.

2. p=quarantine (Tryb egzekwowania)

Serwer odbierający przekierowuje wiadomości, które nie przeszły weryfikacji, do folderu spam lub śmieci. Status BIMI:Akceptowany. To minimalna polityka kwalifikująca do BIMI. Polityka musi obejmować 100% wiadomości. Dodaj pct=100 lub pomiń tag pct (domyślna wartość to 100).

3. p=reject (Tryb ścisłego egzekwowania)

Serwer odbierający odrzuca wiadomości, które nie przeszły weryfikacji. Nie są one dostarczane. Status BIMI:Akceptowany. To zalecana polityka dla BIMI.

Dlaczego BIMI wymaga egzekwowania

Wymóg ten istnieje, aby zapobiec wizualnemu podszywaniu się. Gdy dostawca skrzynek pocztowych wyświetla Twoje logo obok wiadomości, potwierdza odbiorcy, że wiadomość jest autentyczna [2].

Gdyby BIMI akceptowało p=none, atakujący mógłby podszyć się pod Twoją domenę i spowodować, że dostawca skrzynek pocztowych wyświetliłby Twoje logo obok wiadomości phishingowej. Wymóg p=quarantine lub p=reject gwarantuje, że właściciel domeny zablokował nieuwierzytelnioną pocztę, zanim logo zostanie przyznane.

Kwestie dotyczące subdomen

Przedsiębiorstwa często używają subdomen dla odrębnych strumieni poczty, takich jak marketing.firma.com lub rachunki.firma.com. BIMI wymaga, aby domena organizacyjna była w trybie egzekwowania.

Jeśli Twoja domena organizacyjna publikuje p=reject, ale nadpisuje subdomeny za pomocą sp=none, BIMI nie zadziała dla poczty wysyłanej z tych subdomen. Egzekwowanie musi obejmować zarówno domenę organizacyjną, jak i jej subdomeny.

Jak przeprowadzić audyt infrastruktury

Potwierdź status DMARC przed wygenerowaniem pliku SVG lub złożeniem wniosku o Verified Mark Certificate (VMC).

Użyj makeBIMI, aby przeprowadzić audyt swojej domeny. Narzędzie odpytuje Twoje rekordy DNS, ocenia konfigurację SPF i DMARC oraz raportuje, czy Twoja domena spełnia wymóg egzekwowania dla BIMI.

Po pomyślnym przejściu audytu wygeneruj zgodny plik SVG i skontaktuj się z brokerem CA, takim jak veriBIMI, aby uzyskać certyfikat.

Źródła

[1] M. Blank, et al. "Brand Indicators for Message Identification (BIMI)." IETF Datatracker, RFC 9091, https://datatracker.ietf.org/doc/html/rfc9091 [2] DMARC.org. "Overview." DMARC, https://dmarc.org/overview/