Przejdź do treści
D1
PL

Uwierzytelnianie poczty

Analizator DMARC

Sprawdza rekord DMARC, politykę, alignment, raporty i ostrzeżenia konfiguracji.

Ten formularz wywołuje względny endpoint: /site-api/tools/dmarc

Jak używać narzędzia

  1. Wpisz domenę nadawcy widoczną w nagłówku From, na przykład example.com, bez protokołu, ścieżki ani prefiksu skrzynki. DN01 normalizuje nazwę, odrzuca błędne lub zastrzeżone hosty i używa domeny rejestrowalnej jako celu zapytania. Jeśli subdomena wysyła pocztę własną infrastrukturą, uruchom osobną kontrolę: polityka DMARC publikuje się na domenie organizacyjnej widocznej dla odbiorców.
  2. DN01 wykonuje na żywo zapytanie DNS TXT do `_dmarc.<domena>` z pięciosekundowym timeoutem resolvera i zapisuje czas trwania. Backend wybiera pierwszy ciąg TXT zaczynający się od `v=DMARC1`, dzieli tagi rozdzielone średnikami i mapuje `p`, `sp`, `pct`, `rua`, `ruf`, `adkim` oraz `aspf` na pola strukturalne. Brak rekordu lub błąd DNS zwracany jest jako diagnostyka, nie błąd HTTP — zawsze otrzymujesz czytelny raport.
  3. Przejrzyj rozpoznaną politykę (`none`, `quarantine` lub `reject`), politykę subdomen, procent `pct`, URI raportów zbiorczych `rua`, raporty forensic `ruf`, tryby alignment DKIM i SPF, listę tagów oraz surowy TXT tak, jak widzą go resolvery. Zwróć uwagę na `found` i `valid`: rekord może istnieć, ale być nieważny przy braku wymaganych tagów, nieznanej polityce, `pct` poza zakresem lub zduplikowanych nazwach tagów.
  4. Użyj paneli errors, warnings i recommendations, aby zaplanować kolejną zmianę DNS. DN01 ostrzega o `p=none` tylko do monitorowania, częściowym stosowaniu przy `pct` poniżej 100, braku `rua` i domyślnym relaxed alignment. Gdy raport jest niepełny, otwórz DKIM Validator i DNS Checker dla tej samej domeny przed przejściem na `quarantine` lub `reject`.

Co pokazuje wynik

Wynik rozdziela sygnały ważne dla tej konkretnej kontroli.

PoleCelPrzykład
DomenaZnormalizowana domena rejestrowalna przekazana do analizatora.example.com
Nazwa zapytaniaDokładna nazwa DNS TXT odpytywana przez resolver._dmarc.example.com
FoundCzy zwrócono TXT zaczynający się od v=DMARC1.true
ValidCzy rekord przeanalizowano bez blokujących błędów składni.false
p=Polityka organizacyjna dla poczty niezaliczonej DMARC.quarantine
sp=Polityka dla subdomen, gdy różni się od p=.reject
pct=Procent wiadomości z błędem objętych polityką.100
rua=Adresy raportów zbiorczych rozdzielone przecinkami.mailto:[email protected]
ruf=Adresy raportów forensic, jeśli opublikowane.mailto:[email protected]
adkim= / aspf=Ścisłe (s) lub relaxed (r) alignment dla DKIM i SPF.adkim=r; aspf=s
Surowy rekordCiąg TXT z DNS bez modyfikacji.v=DMARC1; p=none; rua=mailto:[email protected]
Errors / Warnings / RecommendationsPraktyczna diagnostyka z wartości tagów.brak rua; po raportach przejdź do quarantine

Kiedy ta kontrola pomaga

Przygotowujesz przejście z monitorowania na enforcement i musisz wiedzieć, czy opublikowany rekord przejdzie ocenę odbiorców. Marketing wysyła przez CRM, produkt przez dostawcę transakcyjnego, finanse przez lokalny relay. Zanim podniesiesz `p` z `none` do `quarantine`, DN01 pokazuje, czy TXT na `_dmarc.example.com` jest składniowo poprawny, czy zduplikowane tagi unieważniają rekord i czy `pct` już ogranicza enforcement. Ta jedna publikacja DNS jest oceniana przez miliardy skrzynek; literówka w `p=` lub drugi TXT DMARC może osłabić ochronę we wszystkich kanałach. Zachowaj raport DN01 jako snapshot przed i po zmianie w ticketach.

Zgłoszenia dostarczalności obwiniają DMARC, choć SPF osobno przechodzi. Wiadomość może mieć poprawny SPF i nadal nie przejść DMARC, gdy envelope From, header From i domena podpisu DKIM nie wyrównują się według `aspf` i `adkim`. DN01 pokazuje tryby alignment: bez tagów zakłada relaxed (`r`) i ostrzega, że odbiorcy mogą akceptować szersze dopasowania domen. Połącz wynik z DKIM Validator i DNS Checker.

Zespoły bezpieczeństwa używają DMARC jako kontroli anty-spoofing dla domen zarządu, portali partnerskich i podobnych marek. Gdy `_dmarc` brakuje, DN01 zwraca jasną diagnostykę — `no DMARC record found at _dmarc.<domain>` — i zaleca publikację `v=DMARC1` z polityką startową. To nie awaria narzędzia; to stan, który odbiorcy widzą, gdy phishing może użyć Twojej domeny bez opublikowanej polityki reject.

MSP przeglądają DMARC w dziesiątkach stref klientów przy onboardingu lub odnowieniu. Ręczne `dig` nie skaluje się, gdy trzeba porównać `sp` z `p`, sprawdzić skrzynki raportów i wykryć niepoprawny `pct`. DN01 zwraca spójny raport z czasem, inwentarzem tagów i rekomendacjami do ticketów.

Architektury z wieloma subdomenami — `news.example.com`, `billing.example.com`, `eu.example.com` — polegają na `sp=`, gdy strefy potomne wysyłają własnym SPF i DKIM. Bez `sp` odbiorcy stosują `p` do subdomen, co zaskakuje zespoły uważające strefę za izolowaną. DN01 pokazuje obie wartości i oznacza niepoprawne polityki subdomen.

Ankiety compliance wymagają dowodów dojrzałości uwierzytelniania poczty. Audytorzy pytają o raportowanie zbiorcze (`rua`), częściowe enforcement (`pct` poniżej 100) i ważność rekordu dziś. DN01 odpowiada z żywego DNS, zachowuje surowy TXT i rozdziela twarde błędy od ostrzeżeń. W audytach ISO często wystarczy link do strony wyniku i zrzut tabeli tagów, bo query name i `durationMs` dokumentują moment kontroli.

Po fali spoofingu incident response często zaczyna się od «DMARC brakuje czy jest zły?». Gdy kilka TXT na `_dmarc` zawiera więcej niż jeden fragment `v=DMARC1`, odbiorcy mogą uznać konfigurację za nieważną. Zespoły marketingu często zmieniają ESP i zapominają o `rua` lub `pct=100` po testach — DN01 uwidacznia takie stany pośrednie. Sprawdź ponownie po TTL, zweryfikuj podpisy w DKIM Validator i porównaj surową linię z panelem DNS klienta.

Co sprawdzić, gdy wynik wygląda błędnie

Gdy DN01 zgłasza brak DMARC, odpytaj `_dmarc.twojadomena.tld`, a nie apex TXT ze SPF. Wiele zespołów publikuje SPF w korzeniu i zakłada dziedziczenie DMARC. Potwierdź rekord na wszystkich autorytatywnych NS po migracji DNS. Rekomendacja «publish a TXT record at _dmarc…» w wyniku to ta sama wskazówka, którą backend zwraca przy NXDOMAIN — brak rekordu nie kończy się błędem HTTP.

Gdy `valid` jest fałszywe przy `found` true, najpierw czytaj tablicę errors. Zduplikowane tagi `p=`, nieznane polityki, niecałkowite `pct` lub wartości poza 0–100 unieważniają rekord. Usuń duplikaty, zostaw jeden TXT ze średnikami i odczekaj TTL przed ponownym uruchomieniem analizatora DN01.

Ostrzeżenia o `p=none`, braku `rua` lub relaxed alignment opisują ekspozycję. `p=none` monitoruje bez kwarantanny lub reject. Bez `rua` nie otrzymasz zbiorczych raportów XML. Zdecyduj, czy potrzebujesz `adkim=s` lub `aspf=s` przed `reject`.

Gdy żywy DNS różni się od panelu rejestratora, porównaj surowy rekord z `dig +short TXT _dmarc.domena`. Cache i częściowe importy mylą dashboardy. DN01 odpytuje w momencie żądania.

Gdy legalna poczta pada po zaostrzeniu polityki, DMARC może być poprawny, a SPF lub DKIM nie. DNS Checker dla include SPF, DKIM Validator dla selektorów i ważności kluczy. `pct` poniżej 100 sprawia, że błędy wyglądają losowo. Udokumentuj raport DN01 przed i po zmianie, aby decyzje rollback opierały się na tym samym parserze co API produkcyjne.

Jak interpretować wynik

DMARC opiera się na SPF i DKIM. SPF weryfikuje ścieżkę koperty; DKIM podpis kryptograficzny; DMARC pyta, czy któryś wynik wyrównuje się z domeną widoczną w From i co zrobić, gdy oba zawiodą. DN01 nie wysyła poczty ani nie ocenia pojedynczych wiadomości — sprawdza politykę DNS dla odbiorców. Łącz go z DKIM Validator i DNS Checker, zwłaszcza gdy planujesz strict alignment przed `reject`.

Tag `p=` jest obowiązkowy. Polityki muszą być `none`, `quarantine` lub `reject`; inna wartość jest nieważna. `none` służy do wstępnego monitorowania, ale DN01 ostrzega, że nie nakazuje blokady. `quarantine` zwykle trafia do spamu; `reject` prosi o odrzucenie. Eskalacja powinna opierać się na raportach `rua`.

`pct` ogranicza ułamek wiadomości z błędem objętych polityką. Wartości poniżej 100 oznaczają częściowe enforcement. DN01 parsuje `pct` jako liczbę całkowitą i zgłasza błąd poza 0–100. Marki produkcyjne kończą zwykle na `pct=100`.

Raporty zbiorcze trafiają na URI `rua`, zwykle `mailto:` zarejestrowane u procesora. DN01 wypisuje cele rozdzielone przecinkami i ostrzega o braku `rua`. Raporty forensic `ruf` są opcjonalne i wrażliwe.

`adkim` i `aspf` kontrolują ścisłe (`s`) lub relaxed (`r`) dopasowanie. Gdy brakuje, DN01 zakłada relaxed i ostrzega przed niechcianymi kombinacjami apex/subdomena. Tryby strict są typowe przed `reject`.

Ważny w DN01 oznacza brak blokujących błędów parsowania w chwili kontroli. `valid=false` traktuj jako krytyczną wadę DNS do naprawy. Rekord z `p=none` i bez `rua` może nadal dawać cenne ostrzeżenia, bo pokazuje monitoring bez raportowania i bez enforcement — typowy stan przed pierwszym onboardingiem ESP.

Zalecany przebieg

  1. Uruchom DMARC Analyzer na domenie apex widocznej w adresach From klientów.
  2. Przy błędach popraw składnię TXT, usuń zduplikowane tagi i zostaw jedną publikację na `_dmarc`.
  3. Otwórz DKIM Validator dla aktywnych selektorów i DNS Checker dla include SPF wymagających alignment z From.
  4. Opublikuj lub zaktualizuj `rua`, zbierz raporty zbiorcze, potem podnieś politykę z `none` do `quarantine` i `reject` z `pct=100`.
  5. Ponownie uruchom DN01 po TTL i dołącz stronę wyniku do ticketów lub dowodów compliance. Udostępnialny URL wyniku pod `/dmarc-analyzer/<domain>` ułatwia komunikację z klientem bez ponownego wpisywania domeny.

Narzędzie kontra ręczna kontrola

`dig TXT _dmarc.example.com` szybko pokazuje surowe ciągi, ale interpretacja pozostaje u operatora. DN01 koduje reguły duplikatów, `sp` i `rua` i zwraca rekomendacje w jednym przebiegu.

DNS Checker w DN01 pokazuje wszystkie TXT strefy; DMARC Analyzer skupia się na polityce pod `_dmarc` i ryzyku częściowego `pct`.

Zbiorcze raporty XML w skrzynce pokazują historię, ale nie dowodzą aktualnej publikacji DNS po pilnej zmianie. DN01 odpowiada w sekundach.

Konsole DMARC dostawców oferują dashboardy; zewnętrzni audytorzy potrzebują neutralnego lookup TXT widocznego w internecie.

Ogólne walidatory TXT nie zawsze stosują reguły DMARC. DN01 używa tego samego parsera Go co API produkcyjne.

Inwentarze w arkuszach starzeją się po edycji DNS. URL wyniku DN01 daje aktualny snapshot z query name, surowym rekordem i czasem. Dla klientów z wieloma domenami brand szybko widać, która strefa nadal ma `p=none` bez `rua`, a która wymusza już `reject` ze strict alignment — bez ponownego logowania do panelu DNS.

Dlaczego DN01

  • Na żywo TXT lookup `_dmarc.<domena>` z normalizacją domeny, czasem resolvera i pełnym raportem tagów w jednym widoku.
  • Analiza p, sp, pct, rua, ruf, adkim i aspf z walidacją duplikatów i polityk zgodnie z parserem API.
  • Błędy, ostrzeżenia i rekomendacje na żywo; brak rekordu to diagnostyka zamiast błędu HTTP, tak jak przy NXDOMAIN w backendzie.
  • Zaprojektowane do codziennej pracy z DKIM Validator i DNS Checker w pełnych audytach SPF, DKIM oraz DMARC wielu domen.

FAQ

FAQ — analizator DMARC

TXT na _dmarc, polityki, alignment, adresy raportów i bezpieczne zaostrzanie.

Czym jest rekord DNS DMARC?

DMARC publikuje się jako TXT na _dmarc.example.com. Mówi odbiorcom, jak traktować pocztę przy błędzie SPF lub DKIM alignment i gdzie wysyłać raporty aggregate (rua) lub forensic (ruf).

Co oznaczają p=none, quarantine i reject?

p=none tylko monitoruje: błędy są raportowane, ale nie blokowane. quarantine wysyła nieudaną pocztę do spamu. reject każe odrzucać nieuwierzytelnione wiadomości. Zwykle zaczyna się od none, analizuje rua, potem zaostrzia.

Jak DN01 znajduje i waliduje mój rekord DMARC?

Odpytuje _dmarc.twojadomena.com przez live DNS, parsuje tagi v=DMARC1, waliduje składnię i sygnalizuje typowe błędy jak nieprawidłowy pct lub złe adresy rua.

Jak DMARC łączy się ze SPF i DKIM?

SPF i DKIM dowodzą pojedynczych mechanizmów. DMARC definiuje alignment z domeną From i działanie przy błędzie. Potwierdź TXT SPF/DKIM w DNS Checker i waliduj selektory w walidatorze DKIM.

Czym są tagi rua i ruf?

rua listuje adresy dla dziennych raportów XML aggregate z wolumenami pass/fail. ruf prosi o próbki forensic pojedynczych błędów. Użyj dedykowanej skrzynki lub parsera; rua jest kluczowe przed zaostrzaniem.

Czy DMARC wystarczy, by zatrzymać spoofing?

DMARC z p=reject i aligned SPF/DKIM blokuje większość bezpośredniego spoofingu domeny, ale lookalike i skompromitowane konta wymagają osobnego monitoringu. To walidacja DNS, nie pełne bezpieczeństwo skrzynki.

Przełącznik narzędzi

Wybierz kolejny krok w pracy z domeną lub bezpieczeństwem.

Pełny katalog narzędzi

Poradniki

Praktyczne poradniki do typowych zadań z Analizator DMARC: rekordy DNS, kroki diagnostyczne i linki do naszych bezpłatnych narzędzi.

Wróć do Analizator DMARC