Konfigurowanie DMARC

Użytkownicy Gmaila: jeśli w Gmailu otrzymujesz spam lub wiadomości będące próbami wyłudzenia informacji, kliknij tutaj. Jeśli masz problemy z wysyłaniem lub odbieraniem e-maili w Gmailu, kliknij tutaj.

Jako administrator, gdy skonfigurujesz SPF i DKIM, możesz też skonfigurować protokół DMARC (Domain-based Message Authentication, Reporting and Conformance) DMARC przekazuje serwerom odbierającym poczty instrukcje postępowania w sytuacjach, gdy wiadomość nie przejdzie weryfikacji SPF lub DKIM. Możesz też otrzymywać raporty, które pomogą Ci zidentyfikować potencjalne problemy z uwierzytelnianiem oraz szkodliwą aktywność związaną z wiadomościami wysyłanymi z Twojej domeny.

What is DMARC?

DMARC pomaga chronić użytkowników przed sfałszowanymi e-mailami
i umożliwia zarządzanie wiadomościami, które nie przeszły kontroli SPF lub DKIM.

Informacje dostępne na tej stronie

Krok 1. Włącz SPF i DKIM

Zanim zaczniesz korzystać z DMARC, musisz włączyć SPF i DKIM w swojej domenie. Jeśli nie masz skonfigurowanych SPF i DKIM, przeczytaj artykuł o zapobieganiu podszywaniu się i spamowi.

Rekordy SPF, DKIM i DMARC są stosowane oddzielnie w poszczególnych domenach. Jeśli zarządzasz więcej niż jedną domeną, musisz włączyć SPF, DKIM i DMARC oddzielnie dla każdej z nich.

Ważne:

  • Jeśli nie skonfigurujesz funkcji SPF i DKIM przed włączeniem protokołu DMARC, prawdopodobnie będą występować problemy z dostarczaniem wiadomości wysyłanych z Twojej domeny.
  • Po skonfigurowaniu SPF i DKIM odczekaj 48 godzin, zanim przejdziesz do konfiguracji DMARC.

Krok 2. Sprawdź, czy protokół DMARC jest już skonfigurowany

Jeśli używasz Google Workspace, sprawdź, czy protokół DMARC został skonfigurowany, za pomocą Narzędzi administracyjnych Google. W przeciwnym razie sprawdź to u dostawcy domeny.

Sprawdzanie za pomocą Narzędzi administracyjnych Google:

  1. Otwórz Zestaw narzędzi Google Admin.
  2. Otwórz Weryfikowanie problemów z systemem DNS a potem Sprawdzanie rekordów MX.
  3. Wpisz nazwę domeny w polu Nazwa domeny, a następnie kliknij URUCHOM TESTY!.
  4. Otrzymane wyniki wskażą, czy Twoja domena ma rekord DMARC:
    • Uwierzytelnianie DMARC nie zostało skonfigurowane – Twoja domena nie ma jeszcze rekordu DMARC.
    • Formatowanie zasad DMARC – Twoja domena ma istniejący rekord DMARC.

Sprawdzanie u dostawcy domeny:

  1. Zaloguj się w konsoli zarządzania dostawcy domeny.
  2. Otwórz stronę, na której możesz zaktualizować rekordy DNS typu TXT swojej domeny.
  3. Jeśli masz rekord DMARC, w subdomenie _dmarc.example.com (gdzie example to nazwa Twojej domeny) zobaczysz rekord TXT zaczynający się od v=DMARC.

Podejmij dalsze kroki zgodnie z otrzymanymi wynikami:

  • Jeśli protokół DMARC jest już skonfigurowany, sprawdź raporty DMARC, aby upewnić się, że DMARC skutecznie uwierzytelnia wiadomości i są one dostarczane zgodnie z oczekiwaniami.
  • Jeśli protokół DMARC nie jest skonfigurowany, przejdź do sekcji Skonfiguruj grupę lub skrzynkę pocztową na potrzeby raportów (na tej stronie).

Krok 3. Skonfiguruj grupę lub skrzynkę pocztową na potrzeby raportów

Liczba raportów DMARC otrzymywanych pocztą e-mail jest zależna od tego, ile wiadomości zostało wysłanych przez domenę i do ilu domen je wysłano. Każdego dnia możesz dostawać wiele takich raportów. Duże organizacje mogą otrzymywać ich setki, a nawet tysiące dziennie.

Z raportów DMARC dowiesz się, które wiadomości wysyłane z Twojej domeny przechodzą uwierzytelnianie za pomocą SPF i DKIM oraz czy jakieś wiadomości regularnie nie przechodzą uwierzytelniania. Dzięki raportom możesz też sprawdzić, kto wysyła pocztę w Twojej domenie, oraz otrzymywać alerty o potencjalnych spamerach. Monitorowanie raportów DMARC jest szczególnie przydatne w fazie wdrażania. Zapoznaj się z zalecanymi metodami wdrożenia DMARC.

Google zaleca utworzenie grupy lub skrzynki pocztowej przeznaczonej do otrzymywania raportów DMARC i zarządzania nimi.

Ważne: adres e-mail do raportów znajduje się zwykle w tej samej domenie co rekord DMARC. Jeśli adres e-mail korzysta z innej domeny, musisz dodać rekord DNS w tej domenie. Szczegółowe informacje znajdziesz w sekcji Wysyłanie raportów na adres e-mail w innej domenie na stronie Raporty DMARC.

Krok 4. Sprawdź, czy usługi innych firm są uwierzytelniane

Jeśli korzystasz z usługi innej firmy do wysyłania e-maili w imieniu organizacji, musisz sprawdzić, czy wiadomości wysyłane przez tę usługę są uwierzytelniane i przechodzą kontrolę SPF i DKIM:

  • Skontaktuj się z dostawcą zewnętrznym, by upewnić się, że poprawnie skonfigurowano DKIM.
  • Sprawdź, czy domena nadawcy w danych koperty dostawcy jest zgodna z Twoją. Dodaj adres IP serwerów wysyłających dostawcy do rekordu SPF Twojej domeny.
  • Kieruj pocztę wychodzącą od dostawcy przez serwery Google przy użyciu ustawienia usługi przekaźnika SMTP.

Krok 5. Przygotuj rekord DMARC

Zasady DMARC definiuje się w wierszu wartości tekstowych nazywanym rekordem DMARC. Określa się w nim:

  • jak bardzo rygorystycznie DMARC ma sprawdzać wiadomości;
  • zalecane działania, które ma podjąć serwer odbierający, gdy wiadomości nie przejdą uwierzytelniania.

Przykład rekordu zasad DMARC (zastąp example.com swoją domeną):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

Tagi v i p muszą zostać wymienione jako pierwsze, a pozostałe mogą być umieszczone w dowolnej kolejności:

Kiedy zaczynasz korzystać z DMARC, zalecamy ustawienie opcji zasad (p) na none. Gdy już dowiesz się, w jaki sposób wiadomości z Twojej domeny są uwierzytelniane przez serwery odbierające, możesz zaktualizować zasady. Z czasem możesz zmienić zasady adresata na quarantine (or reject). Zapoznaj się z zalecanymi metodami wdrożenia DMARC.

Definicje i wartości tagów rekordu DMARC

Tag Opis i wartości
v

(Wymagane) Wersja DMARC. Musi to być DMARC1.
p (Wymagane) Informuje serwer poczty przychodzącej, co zrobić z wiadomościami, które nie przejdą uwierzytelniania.
  • none – względem wiadomości nie są podejmowane żadne działania i zostaje ona dostarczona do adresata. Wiadomości są zapisywane w raporcie dziennym. Raport jest wysyłany na adres e-mail określony w rekordzie za pomocą opcji rua.
  • quarantine— wiadomości są oznaczane jako spam i umieszczane w folderze spamu odbiorcy. Adresaci mogą przeglądać te wiadomości, aby sprawdzić, czy na pewno powinny trafić do spamu.
  • reject— wiadomość jest odrzucana. W przypadku tej opcji serwer odbierający zwykle wysyła do serwera wysyłającego wiadomość o problemie z dostarczeniem.

Uwaga dotycząca BIMI: jeśli w domenie jest używany rekord BIMI, opcja p zasad DMARC musi być ustawiona jako quarantine lub reject. BIMI nie obsługuje zasad DMARC z opcją p ustawioną jako none.
pct

Tag pct jest opcjonalny, ale Google zaleca, aby uwzględnić go w rekordzie DMARC podczas wdrażania DMARC, aby można było zarządzać tymi e-mailami, do których mają zastosowanie zasady DMARC.

Określa, jaki procent nieuwierzytelnionych wiadomości podlega zasadom DMARC. Kiedy stopniowo wdrażasz DMARC, możesz zacząć od niewielkiego procentu wiadomości. Gdy coraz więcej wiadomości z Twojej domeny zacznie przechodzić uwierzytelnianie przez serwery odbierające, możesz zwiększać wartość procentową, aż osiągniesz 100%.

Wartość musi być liczbą całkowitą z zakresu od 1 do 100. Jeśli nie wybierzesz tej opcji w rekordzie, zasady DMARC będą stosowane do wszystkich wiadomości wysyłanych z Twojej domeny.

Uwaga dotycząca BIMI: jeśli w domenie jest używany rekord BIMI, wartość pct w zasadach DMARC musi być równa 100. BIMI nie obsługuje zasad DMARC z wartością pct mniejszą niż 100.
rua

Tag rua jest opcjonalny, ale zalecamy, aby zawsze uwzględniać go w rekordzie DMARC.

Raporty DMARC wysyłaj na adres e-mail. Adres e-mail musi zawierać fragment mailto:.
Przykład: mailto:dmarc-reports@example.com (zastąp example.com swoją domeną).

  • Aby wysyłać raporty DMARC na wiele adresów e-mail, rozdziel adresy e-mail przecinkami i dodaj prefiks mailto: przed każdym adresem. Przykład: mailto:dmarc-reports@example.com, mailto:dmarc-reports@example.com (zastąpexample.com swoją domeną).
  • Użycie tej opcji może powodować otrzymywanie dużej liczby e-maili z raportami. Nie zalecamy używania własnego adresu e-mail. Lepszym rozwiązaniem może być stworzenie osobnej skrzynki pocztowej albo grupy lub skorzystanie z usług innej firmy, która specjalizuje się w raportach DMARC.
  • Aby wysyłać raporty DMARC na adres e-mail w domenie innej niż domena, w której znajduje się rekord DMARC, dodaj rekord TXT do DNS domeny e-mail. Szczegółowe informacje znajdziesz w sekcji Wysyłanie raportów na adres e-mail w innej domenie na stronie Raporty DMARC.
ruf

(Nieobsługiwane) Gmail nie obsługuje tagu ruf używanego do wysyłania raportów o niepowodzeniu. Raporty te są też nazywane raportami śledczymi.
sp (Opcjonalne) Ustawia zasady dla wiadomości z subdomen domeny podstawowej. Użyj tej opcji, jeśli w subdomenach chcesz stosować inne zasady DMARC.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantine wiadomości są oznaczane jako spam i umieszczane w folderze spamu odbiorcy. Adresaci mogą przeglądać te wiadomości, aby sprawdzić, czy na pewno powinny trafić do spamu.
  • reject wiadomość jest odrzucana. W takim przypadku serwer odbierający powinien wysłać do serwera wysyłającego wiadomość o problemie z dostarczeniem.

Jeśli nie wybierzesz tej opcji w rekordzie, subdomeny odziedziczą zasady DMARC ustawione w domenie nadrzędnej.
adkim (Opcjonalne) Ustawia zasady dopasowania DKIM określające poziom zgodności informacji o wiadomościach z podpisami DKIM. Dowiedz się, jak działa dopasowanie (poniżej).
  • s dopasowanie ścisłe. Nazwa domeny nadawcy musi być dokładnie taka sama jak odpowiednia wartość d=domainname z nagłówków DKIM poczty.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (Opcjonalne) Ustawia zasady dopasowania SPF określające poziom zgodności informacji o wiadomościach z podpisami SPF. Dowiedz się, jak działa dopasowanie (poniżej).
  • s dopasowanie ścisłe. Nagłówek Od: wiadomości musi być dokładnie taki sam jak nazwa domeny z polecenia SMTP MAIL FROM.
  • r dopasowanie luźne (domyślnie). Zezwala na dopasowanie częściowe. Akceptowana jest każda poprawna subdomena wartości, która jest nazwą domeny.

Dopasowanie DMARC

DMARC przepuszcza lub odrzuca wiadomość na podstawie tego, jak bardzo domena w nagłówku Od: pasuje do domeny wysyłającej wskazywanej za pomocą SPF lub DKIM. Jest to określane jako dopasowanie.

Do wyboru masz 2 tryby dopasowania: ścisłe lub luźne. W rekordzie DMARC ustaw tryb dopasowania SPF i DKIM za pomocą tych tagów rekordu DMARC: aspf i adkim.

Metoda uwierzytelniania Dopasowanie ścisłe Dopasowanie luźne
SPF Dopasowanie ścisłe między domeną w adresie nadawcy w danych koperty (zwanym też adresem zwrotnym lub adresem do odsyłania wiadomości) a domeną w adresie w nagłówku Od:. Domena w adresie w nagłówku Od: musi być zgodna z domeną w adresie nadawcy w danych koperty (zwanym też adresem zwrotnym lub adresem do odsyłania wiadomości) lub być jej subdomeną.
DKIM Dopasowanie ścisłe między odpowiednią domeną DKIM a domeną w adresie w nagłówku Od:.

W niektórych przypadkach zalecamy przejście na dopasowanie ścisłe. Pozwoli to zapewnić większą ochronę przed podszywaniem się w tych przypadkach:

  • poczta wysyłana do Twojej domeny pochodzi z subdomeny poza Twoją kontrolą,
  • masz subdomeny zarządzane przez inny podmiot.
Ważne: dopasowanie luźne zazwyczaj zapewnia wystarczającą ochronę przed podszywaniem się. Dopasowanie ścisłe może powodować odrzucanie wiadomości z powiązanych subdomen lub kierowanie ich do spamu.

Aby uwierzytelnianie DMARC powiodło się, wiadomość musi pozytywnie przejść co najmniej jedną z tych kontroli:

  • uwierzytelnianie SPF i dopasowanie SPF, 
  • uwierzytelnianie DKIM i dopasowanie DKIM.

Wiadomość nie przejdzie kontroli DMARC w przypadku niepowodzenia:

  • kontroli SPF lub dopasowania SPF,
  • kontroli DKIM lub dopasowania DKIM.

Krok 6. Dodaj rekord DMARC

Gdy już przygotujesz tekst rekordu DMARC, dodaj lub zaktualizuj rekord DNS typu TXT u swojego dostawcy domeny. Za każdym razem, gdy zmieniasz zasady DMARC i aktualizujesz rekord, musisz również zaktualizować rekord TXT DMARC u swojego dostawcy domeny.

Dodawanie lub aktualizowanie rekordu

Ważne: zanim skonfigurujesz DMARC, skonfiguruj DKIM i SPF. DKIM i SPF powinny uwierzytelniać wiadomości przez co najmniej 48 godzin przed włączeniem DMARC.

  1. Przygotuj plik tekstowy lub wiersz zawierający rekord DMARC.
  2. Zaloguj się na swoje konto w systemie dostawcy hostingu domeny, czyli w miejscu, w którym domena została kupiona. Jeśli nie wiesz, kto jest Twoim dostawcą hostingu domeny, zidentyfikuj rejestratora domeny.
  3. Otwórz stronę umożliwiającą zaktualizowanie rekordów TXT DNS domeny. Informacje o tym, jak znaleźć tę stronę, znajdziesz w dokumentacji domeny.

  4. Dodaj lub zaktualizuj rekord TXT, podając te informacje (patrz dokumentacja Twojej domeny): 

    Nazwa pola Wartość do wpisania
    Typ Typ rekordu to TXT.
    Host (Nazwa, Nazwa hosta, Alias) Ta wartość powinna wyglądać tak: _dmarc.example.com (zastąp example.com nazwą swojej domeny).
    Wartość Ciąg, który tworzy rekord TXT. Przykład: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Szczegółowe informacje znajdziesz w sekcji Przygotuj rekord DMARC (powyżej).
    Uwaga: niektórzy dostawcy hostingu domeny automatycznie dodają nazwę domeny. Po dodaniu lub zaktualizowaniu rekordu TXT sprawdź nazwę domeny w rekordzie DMARC, aby upewnić się, że jest poprawnie sformatowana.
  5. Zapisz zmiany.
  6. Jeśli konfigurujesz DMARC dla więcej niż jednej domeny, wykonaj te czynności w przypadku każdej z nich. Każda domena może mieć własne zasady i opcje raportu (zdefiniowane w rekordzie).

Krok 7. Sprawdź rekord DMARC

Ważne: w krokach opisanych poniżej użyliśmy przykładowych domen. Zastąp te domeny własnymi.

Niektórzy dostawcy hostingu domeny automatycznie dodają nazwę domeny na końcu nazwy rekordu TXT. Może to spowodować nieprawidłowe formatowanie rekordu TXT dla DMARC. Jeśli na przykład wpiszesz _dmarc.example.com, a dostawca hostingu domeny automatycznie doda Twoją domenę, nazwa rekordu TXT może zostać nieprawidłowo sformatowana jako _dmarc.example.com.example.com.

Po dodaniu rekordu TXT DMARC zgodnie z procedurą opisaną w sekcji Dodawanie lub aktualizowanie rekordu sprawdź, czy jego nazwa jest prawidłowo sformatowana.

Rekord TXT DMARC możesz wyświetlić i sprawdzić za pomocą funkcji Dig w Narzędziach administracyjnych Google:

  1. Otwórz Zestaw narzędzi Google Admin i wybierz funkcję Dig.
  2. W polu Nazwa wpisz nazwę swojej domeny z fragmentem _dmarc. dodanym na początku. Jeśli na przykład nazwa Twojej domeny to example.com, wpisz _dmarc.example.com.
  3. Kliknij TXT poniżej pola Nazwa.
  4. W wyświetlonych wynikach sprawdź nazwę rekordu TXT dla DMARC. Poszukaj wiersza tekstu zaczynającego się od _dmarc.

Powiązane artykuły


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Zadaj pytanie na forum pomocy Uzyskaj odpowiedzi od członków społeczności
Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
14775038462954057710
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
73010
false
false