Umówmy się, uwierzytelnianie e-maili brzmi jak jeden z tych nudnych, technicznych tematów z backendu, który spędza sen z powiek wyłącznie działowi IT. Jeżeli jednak wysyłasz kampanie marketingowe lub wiadomości transakcyjne na większą skalę, protokół DMARC jest czymś, czego nie możesz ignorować.
Dostawcy skrzynek odbiorczych stawiają sprawy jasno: prawidłowo uwierzytelniaj swoje wiadomości e-mail albo licz się z gwałtownym spadkiem dostarczalności.
W tym artykule wyjaśnię, czym jest DMARC, dlaczego jego znaczenie rośnie oraz jak zająć się tym tematem mając jego pełne zrozumienie. Pokażę też, jak my w MessageFlow podchodzimy do niego w praktyczny sposób tak, abyś mógł cieszyć się poprawą wyników swoich kampanii.
Co to jest i jak działa rekord DMARC?
Zacznijmy od podstaw: DMARC to skrót od Domain-based Message Authentication, Reporting and Conformance. Jest to protokół uwierzytelniania stworzony z myślą o ochronie Twojej domeny e-mail przed nieautoryzowanym użyciem – chodzi tu o phishing, spoofing czy ataki typu Business Email Compromise (BEC). Mówiąc prościej: DMARC pomaga powstrzymać cyberprzestępców przed podszywaniem się pod Twoją markę.
Pamiętajmy jednak, że DMARC nie działa w próżni.
Jak DMARC uzupełnia się z SPF i DKIM
DMARC bazuje na działaniu dwóch innych protokołów uwierzytelniania, o których być może już słyszałeś: SPF (Sender Policy Framework) oraz DKIM (DomainKeys Identified Mail). SPF pozwala określić, które serwery mogą wysyłać e-maile w imieniu Twojej domeny, natomiast DKIM dodaje do wiadomości podpis cyfrowy, który serwer odbiorcy jest w stanie zweryfikować.
DMARC spina SPF i DKIM w całość i przekazuje serwerowi odbiorczemu następującą instrukcję:
„Zaakceptuj tę wiadomość tylko wtedy, gdy SPF lub DKIM przejdzie pomyślnie weryfikację i domena nadawcy zgadza się z tą, którą deklaruję. W przeciwnym razie odrzuć lub skieruj do spamu.”
Protokoły uwierzytelniania e-maili.
DMARC daje Ci również pełen wgląd w sytuację. Po wdrożeniu zaczyna przesyłać regularne raporty, które pokazują kto wysyła wiadomości z użyciem Twojej domeny i czy przechodzą one testy SPF/DKIM. Dzięki temu możesz szybko wychwycić próby podszywania się pod Twoją markę zanim fałszywe e-maile trafią do skrzynek Twoich klientów.
Oto uproszczona, lecz trafna analogia:
SPF → bramkarz sprawdzający, czy nadawca jest na liście gości.
DKIM → pieczątka UV potwierdzająca, że naprawdę wszedł legalnie.
DMARC → właściciel klubu, który ustala zasady i przegląda nagrania z monitoringu.
DMARC działa jako dodatkowa warstwa ochronna
Pomyśl o DMARC jak o ostatecznym decydencie. Stanowi on warstwę polityki e-mail, która stoi ponad SPF i DKIM. Egzekwuje on Twoje zasady i monitoruje ich realizację.
💡 Bez DMARC, nawet jeśli masz poprawnie skonfigurowane SPF i DKIM, złośliwy nadawca nadal może podszyć się pod Twoją domenę i „prześlizgnąć się” przez filtry. Dlaczego? Ponieważ wiele serwerów pocztowych nie reaguje na błędy SPF/DKIM, dopóki nie powie im tego DMARC.
Właśnie dlatego protokół ten nie jest już opcjonalny. Zmienia on uwierzytelnianie e-maili z sugestii w wytyczną.
W skrócie: DMARC dodaje pazur Twojemu systemowi uwierzytelniania. A w czasach, gdy tacy gracze jak Gmail, Yahoo czy Microsoft zaostrzają wymagania (o czym jeszcze będzie mowa), nie jest to już tylko dobra praktyka, ale nowy standard.
Stale zmieniające się wymagania dostarczycieli skrzynek odbiorczych
Jeśli kiedykolwiek miałeś wrażenie, że zasady email marketingu zmieniają się szybciej niż jesteś w stanie za nimi nadążyć – cóż, nie mylisz się.
Dostawcy skrzynek odbiorczych już dawno przestali oceniać Twoje wiadomości wyłącznie na podstawie treści czy zaangażowania odbiorców. Teraz patrzą na Twoją infrastrukturę. A w jej centrum znajduje się właśnie DMARC.
To, co kiedyś było uznawane za dobrą praktykę, dziś stało się realnym strażnikiem dostarczalności. Najwięksi gracze – Gmail, Yahoo, a teraz także Microsoft – stawiają sprawę jasno: uwierzytelniaj wiadomości albo wyląduj w otchłani. Przyjrzyjmy się kamieniom milowym, które doprowadziły nas do tego momentu.
Zmiana polityki DMARC przez Gmail i Yahoo w lutym 2024
Od lutego 2024 roku zarówno Gmail jak i Yahoo zaczęły egzekwować nowe wymagania skierowane przede wszystkim do nadawców masowych czyli takich, którzy wysyłają 5000+ wiadomości dziennie. Jeśli się do nich zaliczasz, to obecnie musisz spełniać następujące warunki:
uwierzytelnienie SPF i DKIM
polityka DMARC ustawiona dla Twojej domeny nadawczej
nagłówek umożliwiający wypisanie się jednym kliknięciem
współczynnik zgłoszeń jako spam poniżej 0,3%
Nie były to jedynie czcze zapowiedzi. Od momentu wejścia zmian w życie, wielu marketerów zauważyło wzrost współczynnika odbić, spadek dostarczalności do skrzynki głównej, a w niektórych przypadkach całkowite blokady wiadomości z domen niespełniających wymagań.
Gmail poszedł o krok dalej. W kwietniu 2024 r. wprowadził politykę DMARC p=quarantine dla całej domeny gmail.com. Oznacza to, że każda próba podszycia się pod adres Gmaila (tak, nawet w polach Reply-To czy Friendly-From) zostaje automatycznie odfiltrowana. Brak polityki DMARC? Brak dostarczania.
Wymagania dla masowych nadawców e-maili.
No dobrze, ale co to oznacza w praktyce?
Załóżmy, że korzystasz z adresu , ale Twoje e-maile są faktycznie wysyłane przez zewnętrzną platformę ESP lub CPaaS, która nie ma poprawnie skonfigurowanego SPF/DKIM albo co gorsza, całkowicie pominąłeś DMARC. W takiej sytuacji Gmail od razu patrzy na Twoją wiadomość podejrzliwie. Nawet starannie przygotowany mailing może nie trafić nawet do zakładki „Oferty”, nie mówiąc już o skrzynce głównej.
Nie sprawdzałeś jeszcze swojej konfiguracji po wejściu nowych zasad? Zrób to dziś.
Microsoft dołącza w maju 2025
Gmail i Yahoo były niczym sygnał ostrzegawczy. Microsoft to potwierdzenie: tak teraz wygląda rzeczywistość.
Od maja 2025 roku Microsoft zaczął egzekwować wymogi SPF, DKIM i DMARC wobec wszystkich nadawców kierujących wiadomości do skrzynek Outlook, Hotmail i Live.com – ponownie z progiem wysyłki wynoszącym 5000 wiadomości dziennie. Zasady są zbliżone do tych, które wprowadziły Gmail i Yahoo, ale jest jeden istotny dodatek: Microsoft już teraz odrzuca wiadomości, które nie mają poprawnie dopasowanego uwierzytelnienia, zwracając błąd 550 5.7.15.
Nie jest to stopniowe wdrożenie. To raczej zimny prysznic dla wszystkich, którzy nadal ignorują poprawność rekordów DNS domeny lub nie mają wdrożonej spójnej polityki DMARC.
Nie zapominajmy przy tym o jednym: Microsoft ma ogromny udział w komunikacji biznesowej i administracyjnej. Zablokowanie wiadomości w tym ekosystemie może oznaczać utratę kluczowych e-maili transakcyjnych takich jak resetowanie hasła, potwierdzenia zamówień czy faktury czyli dokładnie tych wiadomości, na któreTwoja firma nie może sobie pozwolić, by zaginęły.
💡 Jeśli zarządzasz wieloma domenami, korzystasz z zewnętrznych systemów wysyłkowych lub używasz różnych narzędzi e-mailowych, sytuacja szybko staje się skomplikowana. Dlatego w MessageFlow wbudowaliśmy możliwość zarządzania uwierzytelnianiem adresów i domen bezpośrednio w nasz panel tak, abyś mógł zachować zgodność z wymaganiami bez konieczności zabawy w DNS-owego detektywa przy każdej zmianie.
Uwierzytelnianie domeny w panelu MessageFlow.
Dlaczego musisz dodać rekord DMARC
Czy DMARC jest konieczny? Zdecydowanie. I to nie tylko dlatego, że tak każą dostawcy skrzynek odbiorczych.
E-mail stał się jednym z najcenniejszych i jednocześnie najbardziej nadużywanych kanałów komunikacji w cyfrowym biznesie. Jeśli nie wdrożysz odpowiedniego uwierzytelniania, ryzykujesz nie tylko niższe wskaźniki otwarć, ale też reputację swojej domeny, zaufanie klientów, a w niektórych branżach nawet konsekwencje prawne.
Przyjrzyjmy się konkretnym powodom, dla których DMARC nie może już być traktowany jako temat „na później”.
Poprawa dostarczalności i zaufania
Marketerzy uwielbiają rozmawiać o dostarczalności e-maili, ale zbyt często dyskusja ogranicza się do kwestii takich jak: temat wiadomości, godzina wysyłki czy kosmetyczne poprawki w treści. Owszem, to wszystko ma znaczenie, ale nie aż takie jak Twoja infrastruktura.
Oto niewygodna prawda: jeśli nie używasz DMARC, dostawcy skrzynek odbiorczych będą traktować Twoje wiadomości z podejrzliwością, bez względu na to, jak dopracowany jest ich przekaz.
Wdrażając DMARC razem z SPF i DKIM, wysyłasz do Gmaila, Outlooka, Yahoo i innych jasny sygnał:
„Ta wiadomość naprawdę pochodzi od nas. Mamy odpowiednią politykę i monitorujemy co dzieje się z naszymi e-mailami.”
To szczególnie istotne, bo DMARC nie tylko uwierzytelnia Twoje wiadomości. Daje Ci również pełny wgląd w to co dzieje się z Twoim adresem e-mail. Możesz zobaczyć, kto wysyła wiadomości w imieniu Twojej domeny (legalnie lub nielegalnie) i gdzie dokładnie dochodzi do błędów uwierzytelniania. Tego rodzaju dane są na wagę złota, zarówno dla zespołów marketingowych, jak i działów bezpieczeństwa.
Nie zapominajmy przy tym o ludzkim wymiarze zaufania.
Gdy Twoja domena jest zabezpieczona DMARC i odpowiednio skonfigurowana pod BIMI (o czym więcej za chwilę), Twoje wiadomości mogą zawierać logo marki widoczne bezpośrednio w skrzynce odbiorczej. Nie jest to tylko estetyczny detal, ale także sygnał dla odbiorcy: „ta wiadomość naprawdę pochodzi od tej firmy”. Jest to rodzaj wizualnego zaufania, wbudowanego w dostarczanie wiadomości.
W skrócie: uwierzytelnione e-maile są skuteczniej dostarczane, budują większe zaufanie i generują lepsze wyniki kampanii.
Walka z phishingiem, spoofingiem oraz atakami business email compromise
Nie jesteś jedyną osobą zainteresowaną swoją domeną. Cyberprzestępcy też ją obserwują i nie mają żadnych oporów, by ją wykorzystać.
Ataki typu Business Email Compromise (BEC) to obecnie jeden z najbardziej kosztownych rodzajów cyberprzestępczości. Szacuje się, że w latach 2013-2022 straty spowodowane tego typu incydentami osiągnęły globalnie niemal 51 miliardów dolarów. Tylko w Europie, między kwietniem 2023 a kwietniem 2024, roku liczba ataków BEC wzrosła aż o 123,8% rok do roku.
Statystyki Business Email Compromise.
Ten typ cyberprzestępczości działa, ponieważ atakujący nie muszą włamywać się do Twoich systemów. Wystarczy, że przekonująco się pod Ciebie podszyją, na tyle, by ktoś zapłacił fałszywą fakturę, przelał pieniądze lub przekazał dane dostępowe.
Jak im się to udaje?
Przy użyciu prostych technik, takich jak spoofing czy phishing. Fałszują nagłówki wiadomości, używają domen łudząco podobnych do Twojej albo, co gorsza, wysyłają e-maile z użyciem Twojej prawdziwej domeny, ale przez serwer, którego nie autoryzowałeś.
DMARC stawia potężny mur przed takimi działaniami. Wymuszając zgodność między adresem „From” a uwierzytelnionymi rekordami SPF/DKIM, blokuje nieautoryzowanych nadawców i informuje serwery odbiorcze, jak mają postępować z wiadomościami, które nie przechodzą weryfikacji.
Ten protokół to nie tylko kwestia bezpieczeństwa, to także kwestia kontroli.
Dzięki DMARC odzyskujesz kontrolę nad tym, kto może korzystać z Twojej domeny i chronisz swoich odbiorców przed staniem się kolejną ofiarą oszustwa.
Istota wypisu jednym kliknięciem oraz progów zgłoszeń spamu
DMARC to tylko jeden z elementów większej układanki. Współcześni dostawcy skrzynek odbiorczych podnoszą poprzeczkę na wielu frontach jednocześnie. Żeby w ogóle mieć szansę znaleźć się w skrzynce odbiorczej, zwłaszcza jeśli wysyłasz na dużą skalę, musisz dziś:
dodać możliwość wypisu jednym kliknięciem (zgodny z RFC 8058),
utrzymywać wskaźnik zgłoszeń spamu poniżej 0,3% (dla Gmaila to twarda granica)
Nie są już tylko „zalecenia”. Gmail, Yahoo i Microsoft traktują te elementy jako obowiązkowe wymogi zgodności, wraz z SPF, DKIM i DMARC. Jeśli ich nie spełnisz, Twoje wiadomości mogą zostać po cichu przekierowane do spamu albo całkowicie zablokowane.
To trudna rzeczywistość, zwłaszcza z perspektywy marketerów. Margines błędu drastycznie się kurczy.
💡 Właśnie dlatego w MessageFlow obsługa wypisów i monitorowanie współczynnika odbić są wbudowaną częścią procesu konfiguracji e-maili. Nie powinieneś potrzebować pięciu osobnych narzędzi, by spełniać standardy. Potrzebujesz platformy, która robi to z Tobą, automatycznie.
Statystyki odbić e-maili dostępne w panelu MessageFlow.
Jak ustawić rekord DMARC dla bezpieczeństwa e-mail
Wdrożenie DMARC nie jest tak trudne jak może się wydawać, ale jednocześnie nie jest czymś, co możesz zrobić „na oko”. Niedokładna konfiguracja może obrócić się przeciwko Tobie powodując, że wiadomości będą się odbijać lub trafiać do spamu. Jaka jest dobra wiadomość? Mając odpowiedni plan działania, możesz wdrożyć DMARC krok po kroku, bez przykrych niespodzianek i w pełni cieszyć się korzyściami, o których już wspomnieliśmy.
Przejdźmy więc przez to razem i zróbmy to dobrze.
Wybór polityki DMARC
Polityki uwierzytelniania DMARC występują w trzech wariantach:
p=none → Tryb monitorowania. Nie wymusza żadnych działań, zbiera jedynie raporty.
p=quarantine → Podejrzane wiadomości trafiają do spamu, ale są nadal dostarczane.
p=reject → Wiadomości nieautoryzowane są całkowicie blokowane.
Jeśli dopiero zaczynasz, najlepiej rozpocząć od p=none. Pozwoli Ci to zebrać dane o działaniu Twojej infrastruktury wysyłkowej zanim zaczniesz cokolwiek wymuszać. W odpowiedzi zaczniesz otrzymywać raporty zbiorcze (RUA), pokazujące kto i w jaki sposób korzysta z Twojej domeny, a także kto może próbować ją nadużywać. Aby z nich skorzystać, pamiętaj, by uwzględnić tag rua w swoim rekordzie DMARC.
Kiedy zyskasz pewność, że wszystkie legalne źródła wysyłki przechodzą uwierzytelnienie, możesz przejść do p=quarantine. Po dalszej obserwacji, jeśli wszystko nadal działa poprawnie, ustaw p=reject i przejmij pełną kontrolę.
Poziomy polityki DMARC.
Aby zminimalizować ryzyko, możesz użyć tagu pct (np. pct=10), który pozwala zastosować politykę tylko do części ruchu. Kontynuuj monitorowanie efektów przy pomocy raportów RUA. Jeśli uwierzytelnienie nadal działa poprawnie, a żadne istotne wiadomości nie są błędnie klasyfikowane, stopniowo zwiększaj poziom egzekwowania, aż osiągniesz p=reject z pełnym pokryciem (pct=100).
Pomyśl o tym jak o przechodzeniu przez kolejne poziomy zabezpieczeń:
none = obserwuj
quarantine = ostrzegaj
reject = egzekwuj
Przykładowy rekord DMARC:
v=DMARC1; p=none; rua=mailto:; pct=100
Warto pamiętać, że aby skorzystać z BIMI (logo w skrzynce odbiorczej), konieczne jest ustawienie DMARC na p=quarantine lub p=reject.
Konfiguracja wyrównania DMARC (wyrównanie SPF vs. DKIM)
Na tym etapie wielu marketerów traci klarowność. Niemniej jednak to właśnie wyrównanie (alignment) nadaje DMARC-owi realną siłę.
💡 DMARC sprawdza, czy domena widoczna w nagłówku „From” (czyli to, co widzi użytkownik) pokrywa się z domenami użytymi do uwierzytelnienia przez SPF i DKIM. To właśnie nazywamy wyrównaniem (alignment).
Wyróżniamy dwa typy wyrównania:
SPF alignment: domena w polu Return-Path (czyli nadawcy technicznego, tzw. envelope sender) zgadza się z domeną „From”.
DKIM alignment: domena, która podpisuje wiadomość przy pomocy rekordu DKIM, jest zgodna z domeną „From”.
W tym miejscu łatwo jest zgubić trop:
Czy DMARC wymaga jednoczesnego przejścia SPF i DKIM? Nie. DMARC uznaje wiadomość za poprawnie uwierzytelnioną, jeśli albo SPF, albo DKIM przejdzie pozytywną weryfikację i jest zgodny z domeną „From”. Nie musisz spełniać obu warunków… ale zdecydowanie zaleca się skonfigurowanie obu tych protokołów, aby zwiększyć odporność i mieć dodatkowe zabezpieczenie.
To czym różni się DKIM od DMARC?
DKIM to rekord zawierający podpis kryptograficzny. Dowód na to, że wiadomość została wysłana przez serwer uprawniony do korzystania z danej domeny.
DMARC korzysta z DKIM (i SPF) jako danych wejściowych. To on egzekwuje politykę i określa jak serwery odbiorcze mają reagować na błędy w uwierzytelnianiu.
Szybka porada: upewnij się, że Twoje narzędzie do wysyłki pozwala na personalizację domeny DKIM. Jeśli podpisy DKIM pochodzą z domeny dostawcy, a nie Twojej, wyrównanie się nie powiedzie, a DMARC uzna wiadomość za nieautoryzowaną. (W MessageFlow możesz dodać własną domenę i w pełni skonfigurować DKIM bezpośrednio z poziomu panelu.)
Konfiguracja DNS w panelu MessageFlow.
Mechanizmy raportujące (rua, ruf, pct)
Jedną z największych zalet DMARC jest to, że oferuje raportowanie. Publikując rekord DMARC, możesz określić gdzie mają być wysyłane dwa typy raportów:
RUA (raporty zbiorcze): pliki XML przesyłany codziennie, zawierający dane ogólne – kto wysyłał wiadomości w imieniu Twojej domeny, czy przeszły walidację DMARC i z jakiego źródła pochodziły.
RUF (raporty szczegółowe): bardziej rozbudowane raporty, często zawierające nagłówki lub fragmenty treści wiadomości (ograniczona dostępność z uwagi na kwestie prywatności).
Kluczowe tagi, które warto znać:
rua=mailto: – adres do otrzymywania raportów zbiorczych
ruf=mailto: – adres do raportów szczegółowych (jeśli są wspierane)
pct=100 – procent wiadomości, w stosunku do których ma być stosowana polityka (np. na etapie testów można ustawić 10, 50 itd.)
aspf / adkim – tryb wyrównania dla SPF i DKIM: strict (ścisły) lub relaxed (luźniejszy); tryb ścisły daje większe bezpieczeństwo, ale może powodować więcej odrzuceń, jeśli konfiguracja nie jest idealna
Szybka porada: upewnij się, że skrzynka odbiorcza do której trafiają raporty jest gotowa – liczba plików XML szybko rośnie. Aby zrozumieć dane i wyciągnąć z nich wnioski możesz skorzystać z narzędzi wizualizacyjnych takich jak DMARCian, Postmark czy dmarc.report. Więcej na ten temat znajdziesz w dalszej części artykułu.
Częste pułapki i problemy z przekazywaniem/listami
Nawet przy najlepszych intencjach DMARC może sprawić kłopoty. Oto kilka typowych pułapek, na które warto uważać:
Przekazywanie wiadomości: Przekazywanie często psuje SPF. Jeśli polityka DMARC jest zbyt restrykcyjna, takie wiadomości mogą nie przechodzić uwierzytelnienia. DKIM może temu zaradzić o ile podpis pozostanie nienaruszony.
Listy mailingowe: Niektóre systemy mailowe modyfikują treść wiadomości (np. dodając stopki), co może naruszać podpis DKIM.
Brak wyrównania po stronie ESP: Część platform wysyła e-maile z użyciem własnej domeny w podpisie DKIM lub Return-Path. Jeśli nie dają możliwości personalizacji, wyrównanie DMARC po prostu się nie uda.
Błędny format DNS: Rekord DMARC musi być opublikowany jako rekord TXT pod adresem _dmarc.twojadomena.com, a nie w katalogu głównym domeny. Jeśli umieścisz go w złym miejscu, polityka zostanie pominięta.
TL;DR: Testuj, monitoruj, dostosowywuj. DMARC to potężne narzędzie, ale nie jest ono rozwiązaniem typu „podłącz i zapomnij”.
Rola ARC
Aby rozwiązać problemy z uwierzytelnianiem w przypadku przekazywania wiadomości i list mailingowych, branża opracowała protokół ARC (Authenticated Received Chain). Pozwala on pośrednikom „zapieczętować” oryginalne wyniki uwierzytelnienia (SPF/DKIM) jeszcze przed przekazaniem wiadomości dalej.
Dzięki temu serwer odbiorcy końcowego może zaufać wiadomości nawet jeśli bezpośrednie sprawdzenie SPF lub DKIM zawiedzie po modyfikacji treści. Tym samym ARC staje się kluczowym uzupełnieniem DMARC, szczególnie w złożonych środowiskach wysyłkowych.
Wdrożenie rekordu DMARC w panelu klienta – przykłady dla popularnych dostawców hostingu
Aby wdrożyć DMARC, musisz opublikować odpowiedni rekord TXT w strefie DNS swojej domeny. Zazwyczaj robi się to z poziomu panelu administracyjnego u dostawcy hostingu.
W zasadzie proces wygląda podobnie u każdego operatora: dodajesz rekord TXT pod odpowiednim adresem (zwykle _dmarc.twojadomena.com) i określasz odpowiednią wartość. W praktyce jednak interfejsy i wymagania dotyczące formatowania mogą się nieco różnić między platformami. Z tego powodu nie ma sensu tworzyć jednego uniwersalnego poradnika dla wszystkich przypadków.
Nawet jeśli korzystasz z innego hostingu niż te wspomniane poniżej, przykłady te pomogą Ci zrozumieć jak podejść do konfiguracji. W przypadku tych dwóch dostawców podlinkowaliśmy szczegółowe instrukcje dostępne w naszej dokumentacji.
Warto też wiedzieć, że wiele platform, w tym MessageFlow, upraszcza proces wdrażania DMARC za pomocą rekordu CNAME. W takim przypadku wystarczy, że opublikujesz prosty rekord CNAME w DNS, który wskazuje na pełny rekord TXT z polityką DMARC, hostowany na infrastrukturze dostawcy. Stanowi to powszechne rozwiązanie, w pełni zgodne ze standardem, które eliminuje ryzyko błędów składniowych ponieważ nie musisz samodzielnie pisać treści polityki.
Tworzenie rekordu DMARC w Cloudflare
Panel zarządzania DNS w Cloudflare pozwala w prosty sposób dodawać i edytować rekordy TXT, w tym również rekordy DMARC. Aby konfiguracja przebiegła bezproblemowo, skorzystaj z naszego poradnika, w którym znajdziesz dokładne instrukcje, format nazewnictwa i przykładowe wartości rekordu dostosowane do interfejsu Cloudflare.
Użytkownicy GoDaddy mogą skonfigurować rekordy DMARC bezpośrednio w sekcji Zarządzanie DNS w ustawieniach swojej domeny. Nasz poradnik pokazuje co dokładnie wpisać, gdzie to zrobić oraz jak sprawdzić, czy rekord został poprawnie dodany i działa zgodnie z założeniami.
Przejdźmy teraz z tematów backendowych do tego, jak Twoja marka jest postrzegana przez odbiorcę. Bo choć DMARC działa w tle i chroni Twoją domenę przed nadużyciem, BIMI stawia Twoją markę na pierwszym planie, dosłownie, bezpośrednio w skrzynce odbiorczej.
Ale jest jeden haczyk: nie możesz korzystać z BIMI, jeśli najpierw nie uporządkujesz kwestii uwierzytelniania e-maili. A to oznacza konieczność wdrożenia restrykcyjnej polityki DMARC.
Co to jest BIMI i jakie ma znaczenie
BIMI to skrót od Brand Indicators for Message Identification. Mówiąc najprościej, umożliwia on wyświetlanie oficjalnego logo Twojej marki obok wiadomości e-mail w skrzynkach odbiorczych.
Przykład wdrożenia BIMI z logo marki widocznym przy jej nazwie i adresie nadawczym.
Pomyśl o BIMI jak o odznace weryfikacyjnej w świecie e-maili – odpowiedniku znanego „blue checka” z mediów społecznościowych. Odbiorca otwiera skrzynkę i od razu widzi, że wiadomość pochodzi od rozpoznawalnej, zweryfikowanej wizualnie marki.
Dlaczego to takie ważne?
Zwiększa rozpoznawalność marki już w momencie pierwszego kontaktu z wiadomością.
Buduje zaufanie jeszcze zanim ktoś przeczyta temat maila.
Może poprawić wskaźniki otwarć – istnieją badania pokazujące wzrost nawet o 39%, inne pokazują bardziej umiarkowane, ale wciąż istotne 10%.
Ale nic z tego nie dzieje się samo z siebie. BIMI to nie magiczny brandingowy dodatek, który można wrzucić do kampanii na ostatnią chwilę. To nagroda za prawidłowo wdrożone uwierzytelnianie i zgodność z wymaganiami.
Wymagania związane z BIMI: ścisłe zabezpieczenie DMARC
Oto, czego wymagają dostawcy skrzynek odbiorczych, zanim w ogóle rozważą wyświetlenie Twojego logo BIMI:
Poprawny rekord DMARC z polityką ustawioną na p=quarantine lub p=reject.
SPF i/lub DKIM zgodne z domeną widniejącą w polu „From”.
Logo w formacie SVG, hostowane i dostępne przez HTTPS.
VMC (Verified Mark Certificate), zwłaszcza jeśli kierujesz wiadomości do użytkowników Gmaila (wsparcie dotyczy też CMC – Common Mark Certificate – oraz iCloud Mail).
Pierwszy z powyższych punktów jest kluczowy: BIMI nie zadziała z polityką p=none. I to ma sens. BIMI to tak naprawdę komunikat, który marka wysyła do dostawców poczty:
„Zadbaliśmy o bezpieczeństwo naszej domeny. Zweryfikowaliśmy naszą tożsamość. Teraz pozwólcie nam się pokazać.”
Brak zabezpieczenia, brak logo. Proste. Warto jednak pamiętać, że wdrożenie BIMI to ruch strategiczny, a nie tylko techniczny.
Zaufanie do marki i wizualny wpływ w skrzynce odbiorczej
Postawmy sprawę jasno: BIMI to nie trik na poprawę dostarczalności. Nie ominie filtrów antyspamowych i nie pomoże na słabe praktyki wysyłkowe. Ale jeśli połączysz go z poprawnym uwierzytelnieniem, regularną wysyłką i higieną listy odbiorców, BIMI może stać się potężnym środkiem wzmacniającym zaangażowanie.
Oto jak to działa:
Zaufanie → Logo marki widoczne w skrzynce odbiorczej zwiększa pewność adresata. Nie ma momentu zawahania: „czy to na pewno nie oszustwo?”.
Zaangażowanie → Zaufanie przekłada się na wyższe wskaźniki otwarć i kliknięć.
Dostarczalność → Wyższe zaangażowanie to pozytywny sygnał dla dostawców poczty, co z czasem zwiększa wskaźnik dostarczania do skrzynki głównej (IPR).
Warto jednak powtórzyć: BIMI to jedynie dodatek, który działa tylko wtedy, gdy masz solidne fundamenty e-mailowe. Jeśli Twoje wiadomości są nieautoryzowane, niezgodne z domeną nadawcy lub generują dużo zgłoszeń jako spam, BIMI Ci nie pomoże. Mało tego, nie zostanie nawet aktywowane.
Pomyśl o tym w ten sposób:
DMARC to zamek. DKIM i SPF to klucze. BIMI to szyld na froncie, który mówi: „Ta firma jest wiarygodna.” Najpierw zadbaj o podstawy. Potem ciesz się widocznością, jaką zapewnia BIMI.
Jak MessageFlow pomaga Ci skonfigurować DMARC
Uwierzytelnianie e-maili to punkt wyjścia dla bezpiecznej, wiarygodnej i gotowej do dostarczenia komunikacji. Dlatego w MessageFlow postawiliśmy sobie za cel, aby wyposażyć nadawców takich jak Ty w odpowiednie narzędzia do zarządzania uwierzytelnianiem, tak abyś mógł działać nawet gdy branżowe wymagania wciąż się zmieniają.
Niezależnie od tego, czy wysyłasz wiadomości transakcyjne, kampanie marketingowe, czy alerty systemowe, wszystko zaczyna się od prawidłowego uwierzytelnienia domeny.
Uwierzytelnienia domeny nadawczej w panelu użytkownika
W MessageFlow proces uwierzytelniania domeny jest intuicyjny i przeprowadzany krok po kroku, bezpośrednio z poziomu panelu użytkownika.
Możesz dodać swoją domenę, wygenerować niezbędne rekordy SPF, DKIM i DMARC, a następnie skopiować gotowe wartości dostosowane do naszej platformy i wkleić je do swoich ustawień DNS. Całość jest prosta i szybka, a jeśli dopiero zaczynasz lub chcesz upewnić się, że niczego nie pominiesz, przygotowaliśmy dla Ciebie szczegółową instrukcję.
Niezależnie od tego z jakiej platformy korzystasz, skuteczne wdrożenie DMARC opiera się na kilku uniwersalnych zasadach. Oto nasze rekomendacje dla każdego nadawcy, który chce zachować zgodność z wymaganiami i poprawić dostarczalność:
Zacznij od monitorowania. Zawsze zaczynaj od polityki p=none, aby móc obserwować co dzieje się w trakcie wysyłek bez wpływu na dostarczanie wiadomości. Wykorzystuj raporty zbiorcze DMARC by zidentyfikować wszystkie autoryzowane źródła wysyłki.
Wprowadzaj egzekwowanie stopniowo. Gdy już upewnisz się, że wszystko działa poprawnie, przejdź do p=quarantine, a następnie do p=reject. Działaj spokojnie i świadomie, nie ma potrzeby się spieszyć.
Wyrównaj identyfikatory. Upewnij się, że domeny używane w SPF i DKIM są zgodne z domeną widoczną w polu „From”. Brak wyrównania to najczęstsza przyczyna błędów w uwierzytelnianiu DMARC.
Skonfiguruj adresy raportowe. Użyj tagu rua, aby otrzymywać codzienne podsumowania i śledzić nieautoryzowane próby wykorzystania Twojej domeny.
Udokumentuj swoje źródła wysyłki. Jeśli korzystasz z wielu narzędzi lub usług do wysyłania wiadomości (np. CRM, platformy marketingowe, systemy fakturujące), upewnij się, że każde z nich jest poprawnie uwierzytelnione w Twoich rekordach DNS.
Unikaj przestarzałych rekordów. Wraz z rozwojem Twojej infrastruktury regularnie przeglądaj i aktualizuj wpisy DNS. Usuń stare lub nieużywane źródła.
Najlepsze praktyki przy wdrażaniu DMARC.
Zaawansowane monitorowanie i rozwiązywanie problemów
Samo wdrożenie DMARC to jeszcze nie koniec pracy. Jak każde dobre zabezpieczenie, DMARC nie jest czymś, co można wdrożyć raz i o nim zapomnieć. Wymaga on ciągłego monitorowania, optymalizacji i dostosowywania do zmian w Twoim środowisku wysyłkowym.
To właśnie tutaj widoczność i bieżąca diagnostyka robią ogromną różnicę. Niezależnie od tego czy zarządzasz jedną domeną marki czy dwudziestoma, regularne monitorowanie pozwala wychwycić błędy konfiguracyjne, nieautoryzowanych nadawców czy zwykłe ludzkie przeoczenia, zanim przerodzą się one w poważne problemy z dostarczalnością.
Interpretacja raportów DMARC – tagi rua i ruf
Kiedy publikujesz rekord DMARC z tagami rua i ruf, wysyłasz do dostawców poczty jasny sygnał: „Chcę wiedzieć, co się dzieje z moimi wiadomościami”. I wiedziesz będziesz. Raport możesz otrzymywać nawet codziennie.
RUA (raporty zbiorcze): to podsumowania w formacie XML, pokazujące ile wiadomości przeszło lub nie przeszło SPF/DKIM, skąd pochodziły i jak zostały obsłużone. Traktuj to jak tablicę wyników uwierzytelniania. Na ich podstawie zidentyfikujesz, które systemy wysyłają maile w Twoim imieniu, wychwycisz anomalie i sprawdzisz poprawność wyrównania.
RUF (raporty szczegółowe): bardziej dokładne, czasem zawierają pełne nagłówki wiadomości (rzadziej treść). Nie są powszechnie wspierane, a ze względu na kwestie prywatności, wykorzystywane ostrożnie. Ale jeśli są dostępne, potrafią świetnie wskazać gdzie dokładnie występuje problem.
Czytanie tych raportów „na sucho” może być drogą przez mękę. Dlatego wiele zespołów korzysta z narzędzi do ich przetwarzania (o czym za chwilę), albo ustawia automatyczne alerty wykrywające nietypowe wzrosty błędów DMARC.
Szybka porada: analizując raporty, zwracaj uwagę na powtarzające się błędy pochodzące z nieznanych źródeł. Jednorazowe przypadki mogą być szumem. Ale jeśli coś powtarza się regularnie to znak, że coś jest źle skonfigurowane lub ktoś próbuje się pod Ciebie podszyć.
Narzędzia i automatyzacja
Jeśli Twoje pierwsze zetknięcie z raportem DMARC w formacie XML wywołało cichą panikę, spokojnie, nie jesteś sam.
Na szczęście dostępnych jest coraz więcej narzędzi, zarówno darmowych, jak i płatnych, które zdejmują z Ciebie ciężar żmudnej analizy. Platformy te pomagają wizualizować status uwierzytelnienia, analizować błędy, a nawet proaktywnie reagować na zmiany w zachowaniu nadawców.
Większość z tych narzędzi oferuje funkcje takie jak powiadomienia o incydentach, analiza trendów historycznych czy filtrowanie według źródła wysyłki. To szczególnie przydatne, gdy korzystasz z wielu platform wysyłkowych, systemów wewnętrznych czy zewnętrznych dostawców.
Podsumowując: DMARC daje Ci dostęp do mnóstwa cennych danych, z których możesz realnie skorzystać o ile wesprzesz się odpowiednimi narzędziami analitycznymi.
Skalowanie uwierzytelniania na wiele domen
Jeśli zarządzasz wysyłką e-maili z jednej domeny marki, DMARC da się okiełznać. Ale jeśli odpowiadasz za całe portfolio – spółki zależne, marki siostrzane, oddziały regionalne – sytuacja szybko robi się dużo bardziej złożona.
Oto jak zachować porządek i nie dać się chaosowi:
Scentralizuj raportowanie. Używaj jednego adresu rua dla wszystkich domen, aby śledzić uwierzytelnianie globalnie.
Oznaczaj i segmentuj. Korzystaj z narzędzi, które pozwalają tagować nadawców lub domeny. Łatwiej będzie Ci wyłapać źródła bez wyrównania.
Ustandaryzuj konfigurację. Ustal spójne nazewnictwo i domyślne ustawienia polityki w całej organizacji (np. zawsze zaczynamy od p=none, zawsze wymuszamy zgodność DKIM).
Regularnie audytuj. Ustaw przypomnienie co kwartał, aby przeglądać wszystkie rekordy DNS. Zmiany narzędzi czy dostawców często prowadzą do rozbieżności.
Automatyzuj proces wdrożeniowy. Jeśli Twoja firma często uruchamia nowe domeny, przygotuj szablony dla SPF/DKIM/DMARC. Dzięki temu konfiguracja będzie szybka i powtarzalna.
Jak używać protokołu DMARC – często zadawane pytania
DMARC potrafi szybko stać się bardzo techniczny, a nie każdy przypadek jego użycia jest oczywisty. Niniejsza sekcja odpowiada na najczęstsze pytania, które słyszymy od zespołów rozpoczynających jego wdrażanie. Potraktuj ją jako szybki punkt odniesienia lub pomoc przy rozwiązywaniu konkretnych problemów.
Jaka polityka DMARC będzie najlepsza dla małych nadawców? Zacznij od p=none, aby bezpiecznie monitorować ruch. Gdy zyskasz pewność, że wszystko jest poprawnie uwierzytelnione, przejdź do quarantine lub reject, by wymuszać ochronę.
Czy DMARC jest wymagany dla nadawców o niskim wolumenie? Technicznie nie, ale dostawcy skrzynek mogą i tak „karać” wiadomości bez uwierzytelnienia. Nawet mali nadawcy skorzystają na DMARC, zwłaszcza by chronić się przed spoofingiem.
Co się stanie jeśli nie wdrożę DMARC? Twoje e-maile mogą być nadal dostarczane, ale nie jesteś chroniony przed podszywaniem się. Dostawcy poczty nie będą wiedzieli, jak traktować nieudane SPF/DKIM, a Twoja marka staje się podatniejsza na nadużycia.
Czy DMARC zawiedzie, jeśli SPF się nie uda? Niekoniecznie. DMARC zadziała jeśli SPF lub DKIM pozytywnie przejdzie weryfikację i jest zgodny z domeną „From”. Wystarczy, że jedno z nich się powiedzie.
Czy mogę mieć DMARC bez DKIM? Tak, ale to ryzykowne. Jeśli SPF zawiedzie (np. przez przekierowanie wiadomości), nie masz żadnego zabezpieczenia zapasowego. Aby zapewnić stabilne uwierzytelnianie, skonfiguruj zarówno SPF jak i DKIM.
Ile trwa propagacja zmian DNS? Większość zmian widoczna jest po kilku godzinach, ale pełna propagacja może potrwać nawet do 48 godzin.
Czy DMARC może zakłócać przekazywanie wiadomości lub newslettery? Tak, zwłaszcza przy polityce p=reject. Przekazywanie często psuje SPF, a listy mailingowe mogą naruszać DKIM. Używaj wyrównanego DKIM i obserwuj raporty, zanim wprowadzisz egzekwowanie.
Jak monitorować przed przejściem na reject? Rozpocznij od p=none i skonfiguruj raportowanie RUA. Przeglądaj raporty przez kilka tygodni, zidentyfikuj problemy, a następnie stopniowo przejdź do quarantine, a potem reject.
Wnioski i kolejne kroki związane z weryfikacją
Skrzynka odbiorcza nie jest już neutralnym polem gry. To środowisko komunikacyjne, w którym priorytetem jest bezpieczeństwo i zgodność z politykami. DMARC stał się protokołem, który oddziela zaufanych nadawców od reszty. Jeśli dotarłeś aż tutaj, wniosek powinien być jasny:
DMARC przestał być opcjonalny, to konieczność.
Niezależnie od tego, czy chcesz chronić swoją domenę przed nadużyciami, poprawić dostarczalność, czy też przygotować się na wdrożenie BIMI i zwiększyć widoczność marki, wszystko zaczyna się od poprawnego uwierzytelnienia e-maili. Zacznij od podstaw, ale zacznij już teraz:
Opublikuj rekord DMARC w DNS z polityką p=none.
Monitoruj raporty i ustaw wyrównanie SPF/DKIM.
Gdy wszystko działa poprawnie, przejdź do quarantine, a następnie reject.
W MessageFlow uprościliśmy ten proces. Narzędzia do uwierzytelniania są wbudowane w naszą platformę. Od weryfikacji domeny, przez generowanie SPF/DKIM, aż po monitorowanie DMARC. Znajdziesz tam wszystko, czego potrzebujesz, aby zbudować bezpieczny i niezawodny fundament dla swojej komunikacji e-mailowej.
