Technical Reference · 2026 Edition

Jak skonfigurować DMARC: Od p=none do p=reject (Przewodnik 2026)

Kompletny przewodnik krok po kroku dotyczący konfiguracji DMARC w 2026 roku. Przejdź od monitorowania p=none przez p=quarantine do pełnego wymuszania p=reject — niezbędnego warunku wyświetlania logo BIMI w Gmail i Apple Mail.

Last updated min read

DMARC. Krok po kroku.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) to bezwzględny warunek wstępny dla BIMI. Domena z p=none nigdy nie wyświetli logo w Gmail ani Apple Mail, niezależnie od tego, jak perfekcyjnie skonfigurowany jest plik SVG. Ten przewodnik obejmuje pełną ścieżkę od początkowego wdrożenia do pełnego wymuszania.

Wymagania wstępne

Przed utworzeniem rekordu DMARC upewnij się, że następujące elementy są już skonfigurowane:

  1. Rekord SPF — Rekord TXT w domenie głównej określający, które serwery pocztowe są uprawnione do wysyłania w Twoim imieniu. Przykład: v=spf1 include:_spf.google.com -all
  2. Rekord DKIM — Klucz publiczny opublikowany w DNS, którego serwery odbierające używają do weryfikacji podpisów Twoich wiadomości e-mail. Generuje go Twój dostawca poczty.
  3. Dostęp do DNS — Uprawnienia do zapisu w strefie DNS Twojej domeny (Cloudflare, Route 53, GoDaddy lub panel kontrolny Twojego rejestratora).

DMARC wymaga, aby co najmniej SPF lub DKIM był poprawnie skonfigurowany i dopasowany do domeny From:, zanim zacznie działać.

Krok 1: Utwórz rekord monitorujący (p=none)

Zacznij od polityki wyłącznie monitorującej. Rejestruje ona błędy uwierzytelniania bez wpływu na dostarczanie poczty.

text
_dmarc.twojadomena.pl  IN  TXT  "v=DMARC1; p=none; rua=mailto:[email protected]; pct=100"

Opis znaczników:

| Znacznik | Wymagany | Opis | |---|---|---| | v=DMARC1 | Tak | Wersja protokołu. Musi być pierwszy. | | p=none | Tak | Polityka: tylko monitorowanie, brak działań. | | rua=mailto: | Zalecany | Adres e-mail dla raportów zbiorczych. | | pct=100 | Opcjonalny | Procent poczty podlegającej polityce (domyślnie: 100). |

Opublikuj ten rekord i poczekaj 48–72 godziny na propagację DNS.

Krok 2: Przeanalizuj raporty zbiorcze

Raporty zbiorcze (RUA) przychodzą jako załączniki XML, zazwyczaj raz dziennie z każdego źródła wysyłającego. Pokazują:

  • Które adresy IP wysyłały pocztę podszywając się pod Twoją domenę
  • Czy SPF i DKIM przeszły weryfikację, czy nie
  • Ile wiadomości zostało wysłanych z każdego źródła

Na co zwrócić uwagę: Każda legalna usługa wysyłająca (Twoja platforma ESP, CRM, system ticketowy, platforma marketingowa), która nie przechodzi weryfikacji dopasowania SPF lub DKIM, musi zostać naprawiona przed przejściem do wymuszania. Przejście do p=reject z nierozwiązanymi problemami dopasowania spowoduje blokowanie legalnej poczty.

Popularne źródła wymagające osobnej konfiguracji DKIM/SPF: Mailchimp, Salesforce, HubSpot, Zendesk, SendGrid, Google Workspace, Microsoft 365.

Krok 3: Przejdź do p=quarantine

Gdy wszystkie legalne źródła wysyłające przechodzą uwierzytelnianie, zaktualizuj politykę do kwarantanny wiadomości, które nie przeszły weryfikacji:

text
_dmarc.twojadomena.pl  IN  TXT  "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=25"

Zacznij od pct=25, aby zastosować politykę kwarantanny tylko do 25% wiadomości nieprzechodzących weryfikacji. Monitoruj przez jeden do dwóch tygodni. Jeśli żadna legalna poczta nie trafia do kwarantanny, zwiększ do pct=100.

Krok 4: Przejdź do p=reject

Pełne wymuszanie. Nieuwierzytelnione wiadomości są całkowicie odrzucane i nigdy nie docierają do odbiorcy.

text
_dmarc.twojadomena.pl  IN  TXT  "v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100"

To jest minimalny wymóg dla BIMI. Gmail i Apple Mail nie przetworzą Twojego rekordu BIMI, jeśli Twoja domena nie ma p=quarantine lub p=reject z pct=100. Polityka p=none jest niewidoczna dla BIMI — logo nigdy się nie pojawi, niezależnie od tego, jak poprawnie skonfigurowana jest reszta ustawień.

Dlaczego p=none blokuje BIMI

Specyfikacja BIMI wymaga, aby dostawcy skrzynek pocztowych zweryfikowali, że domena wysyłająca ma wymuszoną politykę DMARC przed wyświetleniem logo. Uzasadnienie: logo jest sygnałem zaufania. Wyświetlanie logo dla domeny, która nie wymusza kontroli antyspoofingowych, pozwoliłoby atakującym wyświetlać zweryfikowane logo w wiadomościach phishingowych. p=none nie zapewnia żadnego wymuszania, więc dostawcy odmawiają respektowania rekordu BIMI.

Dopasowanie: Szczegół, który większość przewodników pomija

DMARC przechodzi weryfikację tylko wtedy, gdy uwierzytelniona domena jest dopasowana do domeny w nagłówku From:. Istnieją dwa tryby dopasowania:

  • Łagodny (domyślny): Domena organizacyjna musi się zgadzać. mail.example.com jest dopasowana do example.com.
  • Ścisły: Dokładna domena musi się zgadzać. mail.example.com nie jest dopasowana do example.com.

Dla BIMI używaj łagodnego dopasowania (adkim=r; aspf=r), chyba że masz konkretny powód dla ścisłego. Ścisłe dopasowanie powoduje błędy dla subdomen i zewnętrznych usług wysyłających.

Pełna dokumentacja rekordu

text
_dmarc.twojadomena.pl  IN  TXT  "v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; rua=mailto:[email protected]; pct=100"

| Znacznik | Wartość | Znaczenie | |---|---|---| | p=reject | Odrzuć | Blokuj nieuwierzytelnioną pocztę | | sp=reject | Odrzuć | Zastosuj tę samą politykę do subdomen | | adkim=s | Ścisły | Dopasowanie DKIM musi być dokładne | | aspf=s | Ścisły | Dopasowanie SPF musi być dokładne | | rua= | E-mail | Miejsce docelowe raportów zbiorczych | | pct=100 | 100% | Zastosuj do całej poczty |

Kolejne kroki

Gdy Twoja domena osiągnie p=reject:

  1. Wygeneruj swój plik BIMI SVG — Użyj makeBIMI™, aby utworzyć plik logo zgodny z W3C SVG Tiny P/S. Bezpłatnie, bez konieczności zakładania konta.
  2. Przeprowadź audyt DMARC — Narzędzie makeBIMI Domain Audit weryfikuje status Twoich rekordów DMARC, SPF i BIMI w czasie rzeczywistym.
  3. Uzyskaj certyfikat — Do wyświetlania logo w Gmail wymagany jest VMC lub CMC. veriBIMI℠ przeprowadza cały proces certyfikacji, w tym zarządzanie wymuszaniem DMARC, przygotowanie pliku SVG i składanie wniosku do urzędu certyfikacji.