Uwierzytelnianie poczty
Analizator DMARC
Sprawdza rekord DMARC, politykę, alignment, raporty i ostrzeżenia konfiguracji.
Jak używać narzędzia
- Wpisz domenę nadawcy widoczną w nagłówku From, na przykład example.com, bez protokołu, ścieżki ani prefiksu skrzynki. DN01 normalizuje nazwę, odrzuca błędne lub zastrzeżone hosty i używa domeny rejestrowalnej jako celu zapytania. Jeśli subdomena wysyła pocztę własną infrastrukturą, uruchom osobną kontrolę: polityka DMARC publikuje się na domenie organizacyjnej widocznej dla odbiorców.
- DN01 wykonuje na żywo zapytanie DNS TXT do `_dmarc.<domena>` z pięciosekundowym timeoutem resolvera i zapisuje czas trwania. Backend wybiera pierwszy ciąg TXT zaczynający się od `v=DMARC1`, dzieli tagi rozdzielone średnikami i mapuje `p`, `sp`, `pct`, `rua`, `ruf`, `adkim` oraz `aspf` na pola strukturalne. Brak rekordu lub błąd DNS zwracany jest jako diagnostyka, nie błąd HTTP — zawsze otrzymujesz czytelny raport.
- Przejrzyj rozpoznaną politykę (`none`, `quarantine` lub `reject`), politykę subdomen, procent `pct`, URI raportów zbiorczych `rua`, raporty forensic `ruf`, tryby alignment DKIM i SPF, listę tagów oraz surowy TXT tak, jak widzą go resolvery. Zwróć uwagę na `found` i `valid`: rekord może istnieć, ale być nieważny przy braku wymaganych tagów, nieznanej polityce, `pct` poza zakresem lub zduplikowanych nazwach tagów.
- Użyj paneli errors, warnings i recommendations, aby zaplanować kolejną zmianę DNS. DN01 ostrzega o `p=none` tylko do monitorowania, częściowym stosowaniu przy `pct` poniżej 100, braku `rua` i domyślnym relaxed alignment. Gdy raport jest niepełny, otwórz DKIM Validator i DNS Checker dla tej samej domeny przed przejściem na `quarantine` lub `reject`.
Co pokazuje wynik
Wynik rozdziela sygnały ważne dla tej konkretnej kontroli.
| Pole | Cel | Przykład |
|---|---|---|
| Domena | Znormalizowana domena rejestrowalna przekazana do analizatora. | example.com |
| Nazwa zapytania | Dokładna nazwa DNS TXT odpytywana przez resolver. | _dmarc.example.com |
| Found | Czy zwrócono TXT zaczynający się od v=DMARC1. | true |
| Valid | Czy rekord przeanalizowano bez blokujących błędów składni. | false |
| p= | Polityka organizacyjna dla poczty niezaliczonej DMARC. | quarantine |
| sp= | Polityka dla subdomen, gdy różni się od p=. | reject |
| pct= | Procent wiadomości z błędem objętych polityką. | 100 |
| rua= | Adresy raportów zbiorczych rozdzielone przecinkami. | mailto:[email protected] |
| ruf= | Adresy raportów forensic, jeśli opublikowane. | mailto:[email protected] |
| adkim= / aspf= | Ścisłe (s) lub relaxed (r) alignment dla DKIM i SPF. | adkim=r; aspf=s |
| Surowy rekord | Ciąg TXT z DNS bez modyfikacji. | v=DMARC1; p=none; rua=mailto:[email protected] |
| Errors / Warnings / Recommendations | Praktyczna diagnostyka z wartości tagów. | brak rua; po raportach przejdź do quarantine |
Kiedy ta kontrola pomaga
Przygotowujesz przejście z monitorowania na enforcement i musisz wiedzieć, czy opublikowany rekord przejdzie ocenę odbiorców. Marketing wysyła przez CRM, produkt przez dostawcę transakcyjnego, finanse przez lokalny relay. Zanim podniesiesz `p` z `none` do `quarantine`, DN01 pokazuje, czy TXT na `_dmarc.example.com` jest składniowo poprawny, czy zduplikowane tagi unieważniają rekord i czy `pct` już ogranicza enforcement. Ta jedna publikacja DNS jest oceniana przez miliardy skrzynek; literówka w `p=` lub drugi TXT DMARC może osłabić ochronę we wszystkich kanałach. Zachowaj raport DN01 jako snapshot przed i po zmianie w ticketach.
Zgłoszenia dostarczalności obwiniają DMARC, choć SPF osobno przechodzi. Wiadomość może mieć poprawny SPF i nadal nie przejść DMARC, gdy envelope From, header From i domena podpisu DKIM nie wyrównują się według `aspf` i `adkim`. DN01 pokazuje tryby alignment: bez tagów zakłada relaxed (`r`) i ostrzega, że odbiorcy mogą akceptować szersze dopasowania domen. Połącz wynik z DKIM Validator i DNS Checker.
Zespoły bezpieczeństwa używają DMARC jako kontroli anty-spoofing dla domen zarządu, portali partnerskich i podobnych marek. Gdy `_dmarc` brakuje, DN01 zwraca jasną diagnostykę — `no DMARC record found at _dmarc.<domain>` — i zaleca publikację `v=DMARC1` z polityką startową. To nie awaria narzędzia; to stan, który odbiorcy widzą, gdy phishing może użyć Twojej domeny bez opublikowanej polityki reject.
MSP przeglądają DMARC w dziesiątkach stref klientów przy onboardingu lub odnowieniu. Ręczne `dig` nie skaluje się, gdy trzeba porównać `sp` z `p`, sprawdzić skrzynki raportów i wykryć niepoprawny `pct`. DN01 zwraca spójny raport z czasem, inwentarzem tagów i rekomendacjami do ticketów.
Architektury z wieloma subdomenami — `news.example.com`, `billing.example.com`, `eu.example.com` — polegają na `sp=`, gdy strefy potomne wysyłają własnym SPF i DKIM. Bez `sp` odbiorcy stosują `p` do subdomen, co zaskakuje zespoły uważające strefę za izolowaną. DN01 pokazuje obie wartości i oznacza niepoprawne polityki subdomen.
Ankiety compliance wymagają dowodów dojrzałości uwierzytelniania poczty. Audytorzy pytają o raportowanie zbiorcze (`rua`), częściowe enforcement (`pct` poniżej 100) i ważność rekordu dziś. DN01 odpowiada z żywego DNS, zachowuje surowy TXT i rozdziela twarde błędy od ostrzeżeń. W audytach ISO często wystarczy link do strony wyniku i zrzut tabeli tagów, bo query name i `durationMs` dokumentują moment kontroli.
Po fali spoofingu incident response często zaczyna się od «DMARC brakuje czy jest zły?». Gdy kilka TXT na `_dmarc` zawiera więcej niż jeden fragment `v=DMARC1`, odbiorcy mogą uznać konfigurację za nieważną. Zespoły marketingu często zmieniają ESP i zapominają o `rua` lub `pct=100` po testach — DN01 uwidacznia takie stany pośrednie. Sprawdź ponownie po TTL, zweryfikuj podpisy w DKIM Validator i porównaj surową linię z panelem DNS klienta.
Co sprawdzić, gdy wynik wygląda błędnie
Gdy DN01 zgłasza brak DMARC, odpytaj `_dmarc.twojadomena.tld`, a nie apex TXT ze SPF. Wiele zespołów publikuje SPF w korzeniu i zakłada dziedziczenie DMARC. Potwierdź rekord na wszystkich autorytatywnych NS po migracji DNS. Rekomendacja «publish a TXT record at _dmarc…» w wyniku to ta sama wskazówka, którą backend zwraca przy NXDOMAIN — brak rekordu nie kończy się błędem HTTP.
Gdy `valid` jest fałszywe przy `found` true, najpierw czytaj tablicę errors. Zduplikowane tagi `p=`, nieznane polityki, niecałkowite `pct` lub wartości poza 0–100 unieważniają rekord. Usuń duplikaty, zostaw jeden TXT ze średnikami i odczekaj TTL przed ponownym uruchomieniem analizatora DN01.
Ostrzeżenia o `p=none`, braku `rua` lub relaxed alignment opisują ekspozycję. `p=none` monitoruje bez kwarantanny lub reject. Bez `rua` nie otrzymasz zbiorczych raportów XML. Zdecyduj, czy potrzebujesz `adkim=s` lub `aspf=s` przed `reject`.
Gdy żywy DNS różni się od panelu rejestratora, porównaj surowy rekord z `dig +short TXT _dmarc.domena`. Cache i częściowe importy mylą dashboardy. DN01 odpytuje w momencie żądania.
Gdy legalna poczta pada po zaostrzeniu polityki, DMARC może być poprawny, a SPF lub DKIM nie. DNS Checker dla include SPF, DKIM Validator dla selektorów i ważności kluczy. `pct` poniżej 100 sprawia, że błędy wyglądają losowo. Udokumentuj raport DN01 przed i po zmianie, aby decyzje rollback opierały się na tym samym parserze co API produkcyjne.
Jak interpretować wynik
DMARC opiera się na SPF i DKIM. SPF weryfikuje ścieżkę koperty; DKIM podpis kryptograficzny; DMARC pyta, czy któryś wynik wyrównuje się z domeną widoczną w From i co zrobić, gdy oba zawiodą. DN01 nie wysyła poczty ani nie ocenia pojedynczych wiadomości — sprawdza politykę DNS dla odbiorców. Łącz go z DKIM Validator i DNS Checker, zwłaszcza gdy planujesz strict alignment przed `reject`.
Tag `p=` jest obowiązkowy. Polityki muszą być `none`, `quarantine` lub `reject`; inna wartość jest nieważna. `none` służy do wstępnego monitorowania, ale DN01 ostrzega, że nie nakazuje blokady. `quarantine` zwykle trafia do spamu; `reject` prosi o odrzucenie. Eskalacja powinna opierać się na raportach `rua`.
`pct` ogranicza ułamek wiadomości z błędem objętych polityką. Wartości poniżej 100 oznaczają częściowe enforcement. DN01 parsuje `pct` jako liczbę całkowitą i zgłasza błąd poza 0–100. Marki produkcyjne kończą zwykle na `pct=100`.
Raporty zbiorcze trafiają na URI `rua`, zwykle `mailto:` zarejestrowane u procesora. DN01 wypisuje cele rozdzielone przecinkami i ostrzega o braku `rua`. Raporty forensic `ruf` są opcjonalne i wrażliwe.
`adkim` i `aspf` kontrolują ścisłe (`s`) lub relaxed (`r`) dopasowanie. Gdy brakuje, DN01 zakłada relaxed i ostrzega przed niechcianymi kombinacjami apex/subdomena. Tryby strict są typowe przed `reject`.
Ważny w DN01 oznacza brak blokujących błędów parsowania w chwili kontroli. `valid=false` traktuj jako krytyczną wadę DNS do naprawy. Rekord z `p=none` i bez `rua` może nadal dawać cenne ostrzeżenia, bo pokazuje monitoring bez raportowania i bez enforcement — typowy stan przed pierwszym onboardingiem ESP.
Zalecany przebieg
- Uruchom DMARC Analyzer na domenie apex widocznej w adresach From klientów.
- Przy błędach popraw składnię TXT, usuń zduplikowane tagi i zostaw jedną publikację na `_dmarc`.
- Otwórz DKIM Validator dla aktywnych selektorów i DNS Checker dla include SPF wymagających alignment z From.
- Opublikuj lub zaktualizuj `rua`, zbierz raporty zbiorcze, potem podnieś politykę z `none` do `quarantine` i `reject` z `pct=100`.
- Ponownie uruchom DN01 po TTL i dołącz stronę wyniku do ticketów lub dowodów compliance. Udostępnialny URL wyniku pod `/dmarc-analyzer/<domain>` ułatwia komunikację z klientem bez ponownego wpisywania domeny.
Narzędzie kontra ręczna kontrola
`dig TXT _dmarc.example.com` szybko pokazuje surowe ciągi, ale interpretacja pozostaje u operatora. DN01 koduje reguły duplikatów, `sp` i `rua` i zwraca rekomendacje w jednym przebiegu.
DNS Checker w DN01 pokazuje wszystkie TXT strefy; DMARC Analyzer skupia się na polityce pod `_dmarc` i ryzyku częściowego `pct`.
Zbiorcze raporty XML w skrzynce pokazują historię, ale nie dowodzą aktualnej publikacji DNS po pilnej zmianie. DN01 odpowiada w sekundach.
Konsole DMARC dostawców oferują dashboardy; zewnętrzni audytorzy potrzebują neutralnego lookup TXT widocznego w internecie.
Ogólne walidatory TXT nie zawsze stosują reguły DMARC. DN01 używa tego samego parsera Go co API produkcyjne.
Inwentarze w arkuszach starzeją się po edycji DNS. URL wyniku DN01 daje aktualny snapshot z query name, surowym rekordem i czasem. Dla klientów z wieloma domenami brand szybko widać, która strefa nadal ma `p=none` bez `rua`, a która wymusza już `reject` ze strict alignment — bez ponownego logowania do panelu DNS.
Dlaczego DN01
- Na żywo TXT lookup `_dmarc.<domena>` z normalizacją domeny, czasem resolvera i pełnym raportem tagów w jednym widoku.
- Analiza p, sp, pct, rua, ruf, adkim i aspf z walidacją duplikatów i polityk zgodnie z parserem API.
- Błędy, ostrzeżenia i rekomendacje na żywo; brak rekordu to diagnostyka zamiast błędu HTTP, tak jak przy NXDOMAIN w backendzie.
- Zaprojektowane do codziennej pracy z DKIM Validator i DNS Checker w pełnych audytach SPF, DKIM oraz DMARC wielu domen.
FAQ
FAQ — analizator DMARC
TXT na _dmarc, polityki, alignment, adresy raportów i bezpieczne zaostrzanie.
Czym jest rekord DNS DMARC?
DMARC publikuje się jako TXT na _dmarc.example.com. Mówi odbiorcom, jak traktować pocztę przy błędzie SPF lub DKIM alignment i gdzie wysyłać raporty aggregate (rua) lub forensic (ruf).
Co oznaczają p=none, quarantine i reject?
p=none tylko monitoruje: błędy są raportowane, ale nie blokowane. quarantine wysyła nieudaną pocztę do spamu. reject każe odrzucać nieuwierzytelnione wiadomości. Zwykle zaczyna się od none, analizuje rua, potem zaostrzia.
Jak DN01 znajduje i waliduje mój rekord DMARC?
Odpytuje _dmarc.twojadomena.com przez live DNS, parsuje tagi v=DMARC1, waliduje składnię i sygnalizuje typowe błędy jak nieprawidłowy pct lub złe adresy rua.
Jak DMARC łączy się ze SPF i DKIM?
SPF i DKIM dowodzą pojedynczych mechanizmów. DMARC definiuje alignment z domeną From i działanie przy błędzie. Potwierdź TXT SPF/DKIM w DNS Checker i waliduj selektory w walidatorze DKIM.
Czym są tagi rua i ruf?
rua listuje adresy dla dziennych raportów XML aggregate z wolumenami pass/fail. ruf prosi o próbki forensic pojedynczych błędów. Użyj dedykowanej skrzynki lub parsera; rua jest kluczowe przed zaostrzaniem.
Czy DMARC wystarczy, by zatrzymać spoofing?
DMARC z p=reject i aligned SPF/DKIM blokuje większość bezpośredniego spoofingu domeny, ale lookalike i skompromitowane konta wymagają osobnego monitoringu. To walidacja DNS, nie pełne bezpieczeństwo skrzynki.
Przełącznik narzędzi
Kontynuuj innym sprawdzeniem
Wybierz kolejny krok w pracy z domeną lub bezpieczeństwem.
- Walidator DKIMWyszukanie selektora DKIM i walidacja rekorduOtwórz
- Weryfikator DNSWszystkie główne typy rekordów w jednym przebieguOtwórz
- DIGJeden typ rekordu, odpowiedź w stylu resolveraOtwórz
- IP domenyAdresy A i AAAA domenyOtwórz
- Sprawdzanie wieku domenyUtworzenie, wiek, rejestrator i wygaśnięcieOtwórz
- WHOISRejestrator, wygaśnięcie i status domenyOtwórz
- Weryfikator nagłówków HTTPNagłówki odpowiedzi, przekierowania i cacheOtwórz
- Tester HTTP/2Wsparcie HTTP/2, ALPN i TLSOtwórz
- Weryfikator certyfikatu SSLŁańcuch certyfikatów, SAN i wersja TLSOtwórz
- Weryfikator czarnych listReputacja DNSBL dla IP i domenyOtwórz
- Konwerter PunycodeUnicode ↔ Punycode dla domen IDNOtwórz
- Rozdzielacz URLRozbicie URL na części i parametryOtwórz
- Kodek Base64Kodowanie i dekodowanie tekstu Base64Otwórz
- Generator hasełSilne losowe hasła do pracy operacyjnejOtwórz
- Sprawdzanie siły hasłaEntropia, czas złamania i sugestieOtwórz
- Generator fraz hasłowychZapamiętywalne losowe frazy do bezpiecznych testówOtwórz
- Weryfikator BINMarka karty, bank i kraj z BIN/IINOtwórz
- Kalkulator IPMatematyka podsieci IPv4 i IPv6 CIDROtwórz
- Sprawdzanie aktualizacji przeglądarkiWersja przeglądarki, aktualizacja i Client HintsOtwórz
Powiązane artykuły
Praktyczne poradniki do typowych zadań z Analizator DMARC: rekordy DNS, kroki diagnostyczne i linki do naszych bezpłatnych narzędzi.
dmarc policy, p=reject, email authentication
DMARC Policy Explained: none, quarantine, reject
Understand p=, sp=, pct=, and how policy changes affect spoofed mail before you move from monitoring to enforcement.
Czytaj artykuł →dmarc alignment, spf dkim dmarc, email deliverability
DMARC Alignment with SPF and DKIM
Why valid SPF or DKIM can still fail DMARC when envelope, header From, and signing domains do not align.
Czytaj artykuł →dmarc record tags, dmarc syntax, v=DMARC1
DMARC Record Tags and Syntax Operators Should Know
Decode v=DMARC1, p=, sp=, pct=, rua, ruf, fo, aspf, adkim, and common formatting mistakes in TXT records.
Czytaj artykuł →dmarc rua, dmarc ruf, aggregate reports
DMARC Aggregate and Forensic Reports: rua and ruf
How to publish rua and ruf mailto targets, what reports contain, and why forensic reports are often disabled.
Czytaj artykuł →dmarc sp tag, subdomain dmarc policy, sp=reject
DMARC Subdomain Policy sp= for Marketing and Product Hosts
When sp= matters for mail.example.com, how it inherits from p=, and why separate subdomain senders need explicit alignment.
Czytaj artykuł →dmarc reject migration, dmarc enforcement, dmarc rollout
Moving DMARC from p=none to quarantine or reject Safely
A staged rollout using reports, pct= sampling, and alignment fixes before full spoofing protection.
Czytaj artykuł →