Konfigurowanie DMARC

DMARC przekazuje serwerom odbierającym pocztę instrukcje postępowania w sytuacjach, gdy wiadomość nie przejdzie weryfikacji SPF lub DKIM. Dostępne opcje to odrzucenie, umieszczenie w kwarantannie lub dostarczenie wiadomości. Możesz też otrzymywać raporty, które pomogą Ci zidentyfikować potencjalne problemy z uwierzytelnianiem oraz szkodliwą aktywność związaną z wiadomościami wysyłanymi z Twojej domeny. Skonfiguruj DMARC, dodając rekord DNS typu TXT DMARC (rekord DMARC) do swojej domeny.

Rekord DMARC to wiersz tekstu, który dodajesz do domeny zgodnie z instrukcjami jej dostawcy. Oto przykładowy rekord DMARC:

v=DMARC1; p=reject; rua=mailto:[email protected], mailto:[email protected]; pct=100; adkim=s; aspf=s

Gdy serwery odbierające otrzymują wiadomości z Twojej domeny, które nie przejdą weryfikacji SPF lub DKIM, sprawdzają rekord DMARC, aby określić, jakie działania podjąć: odrzucić, umieścić w kwarantannie lub dostarczyć w normalny sposób.

What is DMARC?

DMARC pomaga chronić użytkowników przed sfałszowanymi e-mailami
i umożliwia zarządzanie wiadomościami, które nie przeszły kontroli SPF lub DKIM.

Informacje dostępne na tej stronie

Zanim zaczniesz

  • Zanim zaczniesz korzystać z DMARC, musisz włączyć SPF lub DKIM w swojej domenie. Jeśli nie masz skonfigurowanych SPF lub DKIM, przeczytaj artykuł o zapobieganiu spamowi, podszywaniu się i wyłudzaniu informacji.
    • Jeśli nie skonfigurujesz funkcji SPF lub DKIM przed włączeniem protokołu DMARC, prawdopodobnie będą występować problemy z dostarczaniem wiadomości wysyłanych z Twojej domeny.
    • Po skonfigurowaniu SPF lub DKIM odczekaj 48 godzin, zanim przejdziesz do konfiguracji DMARC.
  • Aby sprawdzić, czy mechanizm DMARC jest już skonfigurowany dla Twojej domeny, użyj jednego z wielu bezpłatnych narzędzi dostępnych w internecie. Jeśli mechanizm DMARC jest już skonfigurowany, sprawdź raporty DMARC, aby upewnić się, że DMARC skutecznie uwierzytelnia wiadomości i że są one dostarczane zgodnie z oczekiwaniami.
  • Aby skonfigurować DMARC, nie musisz nic robić w konsoli administracyjnej Google. Zamiast tego określ rekord DMARC, wykonując instrukcje na tej stronie. Następnie zaloguj się w systemie dostawcy hostingu domeny i dodaj rekord DMARC zgodnie z instrukcjami dostawcy.

Krok 1. Skonfiguruj grupę lub skrzynkę pocztową na potrzeby raportów

Liczba raportów DMARC otrzymywanych pocztą e-mail jest zależna od tego, ile wiadomości zostało wysłanych przez domenę i do ilu domen je wysłano. Każdego dnia możesz dostawać wiele takich raportów. Duże organizacje mogą otrzymywać ich setki, a nawet tysiące dziennie. Google zaleca utworzenie grupy lub osobnej skrzynki pocztowej przeznaczonej do otrzymywania raportów DMARC i zarządzania nimi.

Ważne: adres e-mail na potrzeby raportów znajduje się zwykle w tej samej domenie co rekord DMARC. Jeśli adres e-mail korzysta z innej domeny, musisz dodać rekord DNS w tej domenie. W artykule „Raporty DMARC” przeczytaj sekcję Wysyłanie raportów na adres e-mail w innej domenie.

Krok 2. Sprawdź, czy zewnętrzna skrzynka pocztowa jest uwierzytelniona

Jeśli korzystasz z usługi innej firmy do wysyłania e-maili w imieniu organizacji, musisz sprawdzić, czy wiadomości wysyłane przez tę usługę są uwierzytelniane i przechodzą kontrolę SPF i DKIM:

  • Skontaktuj się z dostawcą zewnętrznym, aby upewnić się, że poprawnie skonfigurowano SPF i DKIM.
  • Sprawdź, czy domena nadawcy w danych koperty dostawcy jest zgodna z Twoją. Dodaj adres IP serwerów wysyłających dostawcy do rekordu SPF Twojej domeny.
  • Kieruj pocztę wychodzącą od dostawcy przez serwery Google przy użyciu ustawienia usługi przekaźnika SMTP.

Krok 3. Określ rekord DMARC

Zasady DMARC definiuje się w wierszu wartości tekstowych nazywanym rekordem DMARC. Ten rekord określa:

  • jak bardzo rygorystycznie DMARC ma sprawdzać wiadomości;
  • zalecane działania, które ma podjąć serwer odbierający, gdy wiadomości nie przejdą uwierzytelniania.

Przykład rekordu DMARC (zastąp example.com swoją domeną):

v=DMARC1; p=reject; rua=mailto:[email protected], mailto:[email protected]; pct=100; adkim=s; aspf=s.

Tagi v i p muszą zostać wymienione jako pierwsze, a pozostałe mogą być umieszczone w dowolnej kolejności:

Kiedy zaczynasz korzystać z DMARC, zalecamy ustawienie opcji zasad (p) na none. Gdy już dowiesz się, w jaki sposób wiadomości z Twojej domeny są uwierzytelniane przez serwery odbierające, możesz zaktualizować zasady. Z czasem możesz zmienić zasady adresata na quarantine (or reject). Zapoznaj się z zalecanymi metodami wdrożenia DMARC.

Definicje i wartości tagów rekordu DMARC

Tag Opis i wartości
v

(Wymagane) Wersja DMARC. Musi to być DMARC1.
p (Wymagane) Informuje serwer poczty przychodzącej, co zrobić z wiadomościami, które nie przejdą uwierzytelniania.
  • none – względem wiadomości nie są podejmowane żadne działania i zostaje ona dostarczona do adresata. Wiadomości są zapisywane w raporcie dziennym. Raport jest wysyłany na adres e-mail określony w rekordzie za pomocą opcji rua.
  • quarantine— wiadomości są oznaczane jako spam i umieszczane w folderze spamu odbiorcy. Adresaci mogą przeglądać te wiadomości, aby sprawdzić, czy na pewno powinny trafić do spamu.
  • reject— wiadomość jest odrzucana. W przypadku tej opcji serwer odbierający zwykle wysyła do serwera wysyłającego wiadomość o problemie z dostarczeniem.

Uwaga dotycząca BIMI: jeśli w domenie jest używany rekord BIMI, opcja p zasad DMARC musi być ustawiona jako quarantine lub reject. BIMI nie obsługuje zasad DMARC z opcją p ustawioną jako none.
pct

Tag pct jest opcjonalny, ale Google zaleca, aby uwzględnić go w rekordzie DMARC podczas wdrażania DMARC, aby można było zarządzać tymi e-mailami, do których mają zastosowanie zasady DMARC.

Określa, jaki procent nieuwierzytelnionych wiadomości podlega zasadom DMARC. Kiedy stopniowo wdrażasz DMARC, możesz zacząć od niewielkiego procentu wiadomości. Gdy coraz więcej wiadomości z Twojej domeny zacznie przechodzić uwierzytelnianie przez serwery odbierające, możesz zwiększać wartość procentową, aż osiągniesz 100%.

Wartość musi być liczbą całkowitą z zakresu od 1 do 100. Jeśli nie wybierzesz tej opcji w rekordzie, zasady DMARC będą stosowane do wszystkich wiadomości wysyłanych z Twojej domeny.

Uwaga dotycząca BIMI: jeśli w domenie jest używany rekord BIMI, wartość pct w zasadach DMARC musi być równa 100. BIMI nie obsługuje zasad DMARC z wartością pct mniejszą niż 100.
rua

Tag rua jest opcjonalny, ale zalecamy, aby zawsze uwzględniać go w rekordzie DMARC.

Raporty DMARC wysyłaj na adres e-mail. Adres e-mail musi zawierać fragment mailto:.
Przykład: mailto:[email protected] (zastąp example.com swoją domeną).

  • Aby wysyłać raporty DMARC na wiele adresów e-mail, rozdziel adresy e-mail przecinkami i dodaj prefiks mailto: przed każdym adresem. Przykład: mailto:[email protected], mailto:[email protected] (zastąpexample.com swoją domeną).
  • Użycie tej opcji może powodować otrzymywanie dużej liczby e-maili z raportami. Nie zalecamy używania własnego adresu e-mail. Lepszym rozwiązaniem może być stworzenie osobnej skrzynki pocztowej albo grupy lub skorzystanie z usług innej firmy, która specjalizuje się w raportach DMARC.
  • Aby wysyłać raporty DMARC na adres e-mail w domenie innej niż domena, w której znajduje się rekord DMARC, dodaj rekord TXT do DNS domeny e-mail. Szczegółowe informacje znajdziesz w sekcji Wysyłanie raportów na adres e-mail w innej domenie na stronie Raporty DMARC.
ruf

(Nieobsługiwane) Gmail nie obsługuje tagu ruf używanego do wysyłania raportów o niepowodzeniu. Raporty te są też nazywane raportami śledczymi.
sp (Opcjonalne) Ustawia zasady dla wiadomości z subdomen domeny podstawowej. Użyj tej opcji, jeśli w subdomenach chcesz stosować inne zasady DMARC.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantine wiadomości są oznaczane jako spam i umieszczane w folderze spamu odbiorcy. Adresaci mogą przeglądać te wiadomości, aby sprawdzić, czy na pewno powinny trafić do spamu.
  • reject wiadomość jest odrzucana. W takim przypadku serwer odbierający powinien wysłać do serwera wysyłającego wiadomość o problemie z dostarczeniem.

Jeśli nie wybierzesz tej opcji w rekordzie, subdomeny odziedziczą zasady DMARC ustawione w domenie nadrzędnej.
adkim (Opcjonalne) Ustawia zasady dopasowania DKIM określające poziom zgodności informacji o wiadomościach z podpisami DKIM. Dowiedz się, jak działa dopasowanie (poniżej).
  • s dopasowanie ścisłe. Nazwa domeny nadawcy musi być dokładnie taka sama jak odpowiednia wartość d=domainname z nagłówków DKIM poczty.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (Opcjonalne) Ustawia zasady dopasowania SPF określające poziom zgodności informacji o wiadomościach z podpisami SPF. Dowiedz się, jak działa dopasowanie (poniżej).
  • s dopasowanie ścisłe. Nagłówek Od: wiadomości musi być dokładnie taki sam jak nazwa domeny z polecenia SMTP MAIL FROM.
  • r dopasowanie luźne (domyślnie). Zezwala na dopasowanie częściowe. Akceptowana jest każda poprawna subdomena wartości, która jest nazwą domeny.

Dopasowanie DMARC

DMARC przepuszcza lub odrzuca wiadomość na podstawie tego, jak bardzo domena w nagłówku Od: pasuje do domeny wysyłającej wskazywanej za pomocą SPF lub DKIM. Jest to określane jako dopasowanie.

Do wyboru masz 2 tryby dopasowania: ścisłe lub luźne. W rekordzie DMARC ustaw tryb dopasowania SPF i DKIM za pomocą tych tagów rekordu DMARC: aspf i adkim.

Metoda uwierzytelniania Dopasowanie ścisłe Dopasowanie luźne
SPF Dopasowanie ścisłe między domeną w adresie nadawcy w danych koperty (zwanym też adresem zwrotnym lub adresem do odsyłania wiadomości) a domeną w adresie w nagłówku Od:. Domena w adresie w nagłówku Od: musi być zgodna z domeną w adresie nadawcy w danych koperty (zwanym też adresem zwrotnym lub adresem do odsyłania wiadomości) lub być jej subdomeną.
DKIM Dopasowanie ścisłe między odpowiednią domeną DKIM a domeną w adresie w nagłówku Od:. Domena w adresie w nagłówku Od: musi być zgodna z domeną określoną w tagu d= w podpisie DKIM lub być jej subdomeną.

W niektórych przypadkach zalecamy przejście na dopasowanie ścisłe. Pozwoli to zapewnić większą ochronę przed podszywaniem się w tych przypadkach:

  • poczta wysyłana do Twojej domeny pochodzi z subdomeny poza Twoją kontrolą,
  • masz subdomeny zarządzane przez inny podmiot.
Ważne: dopasowanie luźne zazwyczaj zapewnia wystarczającą ochronę przed podszywaniem się. Dopasowanie ścisłe może powodować odrzucanie wiadomości z powiązanych subdomen lub kierowanie ich do spamu.

Aby uwierzytelnianie DMARC powiodło się, wiadomość musi pozytywnie przejść co najmniej jedną z tych kontroli:

  • uwierzytelnianie SPF i dopasowanie SPF, 
  • uwierzytelnianie DKIM i dopasowanie DKIM.

Wiadomość nie przejdzie kontroli DMARC w przypadku niepowodzenia:

  • kontroli SPF lub dopasowania SPF,
  • kontroli DKIM lub dopasowania DKIM.

Krok 4. Dodaj rekord DMARC do swojej domeny

Ważne: podczas wykonywania tego kroku skorzystaj z dokumentacji pomocy DMARC dostawcy hostingu domeny. Instrukcje dodawania rekordu DMARC różnią się w zależności od dostawcy hostingu domeny.

Dodawanie lub aktualizowanie rekordu

Ważne: zanim skonfigurujesz DMARC, skonfiguruj DKIM i SPF. DKIM i SPF powinny uwierzytelniać wiadomości przez co najmniej 48 godzin przed włączeniem DMARC.

  1. Przygotuj plik tekstowy lub wiersz zawierający rekord DMARC.
  2. Zaloguj się na swoje konto w systemie dostawcy hostingu domeny, czyli w miejscu, w którym domena została kupiona. Jeśli nie wiesz, kto jest Twoim dostawcą hostingu domeny, zidentyfikuj rejestratora domeny.
  3. Otwórz stronę umożliwiającą zaktualizowanie rekordów TXT DNS domeny. Informacje o tym, jak znaleźć tę stronę, znajdziesz w dokumentacji domeny.

  4. Dodaj lub zaktualizuj rekord TXT, podając te informacje (patrz dokumentacja Twojej domeny): 

    Nazwa pola Wartość do wpisania
    Typ Typ rekordu to TXT.
    Host (Nazwa, Nazwa hosta, Alias) Ta wartość powinna wyglądać tak: _dmarc.example.com (zastąp example.com nazwą swojej domeny).
    Wartość Ciąg tekstowy, który tworzy rekord TXT. Przykład: v=DMARC1; p=none; rua=mailto:[email protected], mailto:[email protected]; pct=100; adkim=s; aspf=s. Szczegółowe informacje znajdziesz w sekcji  Określ rekord DMARC (powyżej).
    Uwaga: niektórzy dostawcy hostingu domeny automatycznie dodają nazwę domeny. Po dodaniu lub zaktualizowaniu rekordu TXT sprawdź nazwę domeny w rekordzie DMARC, aby upewnić się, że jest poprawnie sformatowana.
  5. Zapisz zmiany.
  6. Jeśli konfigurujesz DMARC dla więcej niż jednej domeny, wykonaj te czynności w przypadku każdej z nich. Każda domena może mieć własne zasady i opcje raportu (zdefiniowane w rekordzie).
  7. Aby sprawdzić, czy mechanizm DMARC jest skonfigurowany w Twojej domenie, użyj jednego z wielu bezpłatnych narzędzi dostępnych w internecie.

Powiązane artykuły


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Zadaj pytanie na forum pomocy Uzyskaj odpowiedzi od członków społeczności
Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
14322158551236286457
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
73010
false
false
false
false