Rejestr domeny .pl (NASK) rozsyła maile do abonentów. To prawdziwa wiadomość, nie phishing
Naukowa i Akademicka Sieć Komputerowa (NASK), operator Krajowego Rejestru Domeny .pl, rozpoczęła masową wysyłkę wiadomości e-mail do abonentów nazw .pl. Mail informuje o nowych obowiązkach wynikających z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (wdrożenie dyrektywy NIS2). Wiadomość jest autentyczna — potwierdzają to zarówno nagłówki techniczne, jak i oficjalny komunikat opublikowany na stronie dns.pl.
Ponieważ w przeszłości pod Rejestr domeny .pl wielokrotnie podszywali się oszuści, wielu właścicieli domen podchodzi do takich maili nieufnie — i słusznie. Tym razem jednak wiadomość jest prawdziwa. Poniżej wyjaśniamy, po czym to poznać, oraz cytujemy pełną treść maila.
Kto jest nadawcą
Wiadomość wysyłana jest z adresu:
„Rejestr domeny .PL / .PL domain Registry”
<[email protected]>
Domena mailing.dns.pl to subdomena oficjalnego adresu Krajowego Rejestru Domeny — dns.pl. Temat wiadomości brzmi: „Informacja dla Abonentów nazw domeny .pl – obowiązki wynikające z przepisów dotyczących cyberbezpieczeństwa / Information for .pl domain name Registrants – obligations under cybersecurity regulations”. Mail wysyłany jest automatycznie i dwujęzycznie (polski + angielski).
Po czym poznać, że mail jest prawdziwy
Autentyczność wiadomości potwierdza kilka niezależnych sygnałów:
- Uwierzytelnianie poczty. Nagłówki analizowanego egzemplarza przechodzą wszystkie trzy testy: SPF (nadawca z autoryzowanego adresu IP 193.59.6.225), DKIM (podpis domeny
mailing.dns.pl) oraz DMARC z politykąp=REJECT. Polityka odrzucania oznacza, że wiadomości podszywające się pod tę domenę są blokowane przez serwery odbiorcze. - Treść zgodna z oficjalnym komunikatem NASK. Mail powtarza to, co Rejestr opublikował 17 czerwca 2026 r. na stronie dns.pl/newsy/zmiany-w-przepisach.
- Brak elementów typowych dla phishingu. W mailu nie ma linku do logowania, nie ma załącznika i nie ma prośby o podanie danych na jakiejkolwiek stronie. Wiadomość wprost prosi, by na nią nie odpowiadać, i odsyła wyłącznie do oficjalnych źródeł: cyber.gov.pl oraz www.dns.pl.
To ostatni punkt jest najważniejszy. Prawdziwe komunikaty Rejestru nie każą się nigdzie logować ani „potwierdzać” danych przez link. Ewentualna weryfikacja danych odbywa się poprzez Twojego rejestratora, a nie przez kliknięcie w odnośnik z e-maila. Dla przypomnienia: w styczniu 2024 r. CSIRT NASK (CERT Polska) ostrzegał przed kampanią phishingową wykorzystującą domenę dns-pl[.]com i fałszywy link do „potwierdzenia adresu e-mail”, wyłudzający dane logowania. Obecna wysyłka jest przeciwieństwem tamtego scenariusza.
Pełna treść wiadomości
Poniżej cytujemy całą treść maila w oryginalnym brzmieniu (wersja polska i angielska):
<English version below>
Szanowni Państwo,
informujemy Państwa jako Abonenta nazwy domeny utrzymywanej w Rejestrze domeny .pl prowadzonym przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy, że znowelizowana ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa wprowadza obowiązki związane z nazwami domen internetowych.
Nowe wymagania dotyczą przede wszystkim obowiązkowej weryfikacji danych dotyczących Abonentów, uzupełnienia kontaktowego numeru telefonu i obligatoryjnego publikowania w bazie Whois/RDAP danych kontaktowych Abonentów, którzy nie korzystają z ochrony RODO. Do dnia 3 kwietnia 2027 r. prowadzone będą działania dostosowawcze, w ramach których Państwa aktualny Rejestrator może kontaktować się w celu dokonania weryfikacji Państwa danych, ich uzupełnienia lub dokonania aktualizacji. Więcej informacji na temat nowych przepisów znajdą Państwo w serwisie Ministerstwa Cyfryzacji (cyber.gov.pl) oraz w oficjalnej witrynie Rejestru domeny .pl (www.dns.pl).
Dotychczasowa praktyka w domenie .pl odpowiada wprowadzanym przepisom, więc dodatkowe wymagania nie wpływają na Państwa status Abonenta, lecz wymagają przede wszystkim udziału w ww. procedurach weryfikacyjno-aktualizacyjnych. W związku z tym prosimy o zapewnienie responsywności i współpracę przy weryfikacji Państwa danych przez Rejestratora lub podmiot obsługujący Państwa w imieniu Rejestratora.
Wiadomość została wysłana automatycznie, prosimy na nią NIE ODPOWIADAĆ.
Z poważaniem Rejestr domeny .PL, NASK
================================================
Dear Sir or Madam,
We would like to inform you, as the Registrant of a domain name maintained in the .pl domain name registry operated by the Research and Academic Computer Network – National Research Institute (NASK), that the amended Act of 5 July 2018 on the National Cybersecurity System introduces new obligations relating to internet domain names.
The new requirements primarily concern the mandatory verification of Registrant data, the provision of a contact telephone number, and the mandatory publication in the Whois/RDAP database of the contact details of Registrants who are not protected under the GDPR. Until 3 April 2027, transitional measures will be in place, during which your current Registrar may contact you to verify, supplement or update your data. Further information on the new regulations can be found on the Ministry of Digital Affairs’ website (cyber.gov.pl) and on the official website of the .pl domain name registry (www.dns.pl/en).
Current practice within the .pl domain is already in line with the new regulations, so the additional requirements do not affect your status as a Registrant, but primarily require your participation in the aforementioned verification and update procedures. We therefore ask that you respond promptly and cooperate with the Registrar, or the entity acting on the Registrar’s behalf, when verifying your data.
This message has been sent automatically, please do NOT RESPOND.
Sincerely yours, .PL domain Registry, NASK
O co chodzi w nowych przepisach
Podstawą wysyłki jest nowelizacja ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa („UKSC”), wdrażająca dyrektywę NIS2. Zgodnie z oficjalnym komunikatem NASK nowelizacja weszła w życie 3 kwietnia 2026 r., a nowe obowiązki obejmują również ekosystem nazw domen — w tym dokładność i kompletność danych abonentów.
Dla domen .pl kluczowe zmiany to:
- obowiązkowa weryfikacja danych abonentów,
- uzupełnienie kontaktowego numeru telefonu, jeśli nie był dotąd podany (dotychczas był danymi fakultatywnymi),
- obowiązkowa publikacja w bazie Whois/RDAP danych kontaktowych (e-mail i numer telefonu) tych abonentów, którzy nie korzystają z ochrony RODO.
Co istotne: dane abonentów o statusie „osoba fizyczna” nadal pozostaną chronione zgodnie z RODO i nie będą publikowane. NASK podkreśla, że dotychczasowa praktyka w domenie .pl już w dużej mierze odpowiada nowym wymaganiom, więc status abonentów się nie zmienia — potrzebny jest natomiast ich udział w procedurach weryfikacyjnych.
Ustawodawca przewidział okres przejściowy trwający do 2 kwietnia 2027 r. (tak wskazuje oficjalny komunikat NASK; w treści maila mowa o „3 kwietnia 2027 r.”). W tym czasie Rejestr opublikuje wymaganą Politykę i Procedurę weryfikacji danych, a rejestratorzy będą kontaktować się z abonentami w celu weryfikacji, uzupełnienia lub aktualizacji danych — według własnych procedur.
Co powinien zrobić właściciel domeny .pl
- Nie ignoruj kontaktu od swojego rejestratora. To rejestrator (a nie bezpośrednio NASK) będzie prowadził weryfikację danych. Brak współpracy może w skrajnym przypadku utrudnić wypełnienie obowiązków ustawowych.
- Zadbaj o aktualność danych — zwłaszcza adresu e-mail i numeru telefonu w panelu rejestratora.
- Zachowaj czujność mimo wszystko. Nawet w okresie zmian obowiązuje żelazna zasada: prawdziwy Rejestr ani rejestrator nie proszą o hasło ani o logowanie przez link w mailu. Jeśli dostaniesz wiadomość z linkiem „potwierdź dane / zaloguj się, bo stracisz domenę” — to najpewniej phishing.
- Weryfikuj źródła. Oficjalne adresy to
www.dns.pl(Rejestr) icyber.gov.pl(Ministerstwo Cyfryzacji). Podejrzane wiadomości zgłaszaj do CERT Polska.
Źródła
- Oficjalny komunikat NASK: Zmiany w przepisach dotyczących krajowego systemu cyberbezpieczeństwa – nowe obowiązki związane z nazwami domeny .pl (17 czerwca 2026)
- Punkt kontaktowy Rejestru domeny .pl do spraw KSC
- Ministerstwo Cyfryzacji / portal cyber.gov.pl