SPF, DKIM, DMARC: checklista wdrożenia krok po kroku

Jeśli prowadzisz agencję marketingową lub sklep e-commerce i wysyłasz dziesiątki tysięcy e-maili miesięcznie, masz jeden wspólny problem: dostarczalność. Brak poprawnie skonfigurowanego SPF, DKIM i DMARC to nie tylko ryzyko trafienia do spamu — to otwarte zaproszenie dla cyberprzestępców do podszywania się pod Twoją domenę. Poniższa checklista przeprowadzi Cię przez każdy krok wdrożenia uwierzytelniania e-mail, od zera do pełnej ochrony.

Dlaczego SPF, DKIM i DMARC są obowiązkowe w 2024 roku

Od lutego 2024 roku Google i Yahoo wymagają od nadawców wysyłających ponad 5 000 wiadomości dziennie obowiązkowego wdrożenia SPF, DKIM oraz polityki DMARC. Niespełnienie tych wymagań skutkuje odrzucaniem lub masowym filtrowaniem wiadomości. Dla agencji obsługujących wielu klientów i dla e-commerce z kampaniami transakcyjnymi oznacza to realne straty przychodów.

Uwierzytelnianie e-mail chroni również przed atakami typu domain spoofing i phishingiem. Według raportu Verizon DBIR 2023, ponad 74% naruszeń danych zaczyna się od wiadomości e-mail. Poprawna konfiguracja SPF, DKIM i DMARC znacząco ogranicza ten wektor ataku.

Krok 1 — SPF: kto może wysyłać w imieniu Twojej domeny

Czym jest rekord SPF

SPF (Sender Policy Framework) to rekord DNS typu TXT, który definiuje listę serwerów uprawnionych do wysyłania e-maili z Twojej domeny. Serwer odbiorcy sprawdza, czy adres IP nadawcy znajduje się na tej liście. Jeśli nie — wiadomość może zostać oznaczona jako podejrzana lub odrzucona.

Checklista SPF

1. Zbierz wszystkie źródła wysyłki — własny serwer SMTP, platformy mailingowe (np. MailerPRO, systemy CRM, narzędzia do fakturowania). Każde z nich musi znaleźć się w rekordzie SPF.
2. Utwórz rekord TXT w DNS dla domeny nadawcy, np.:
   v=spf1 ip4:203.0.113.10 include:_spf.mailer.example.com ~all
3. Wybierz właściwy mechanizm końcowy:
   • -all — twarde odrzucenie (zalecane dla domen produkcyjnych)
   • ~all — miękkie odrzucenie (softfail, dobre na etapie testów)
   • ?all — neutralny (nie zalecany)
4. Nie przekraczaj 10 zapytań DNS (lookup limit). Każdy mechanizm include:, a:, mx: kosztuje jedno zapytanie. Przekroczenie limitu powoduje błąd permerror i skuteczne unieważnienie rekordu.
5. Zweryfikuj rekord narzędziami takimi jak MXToolbox SPF Checker lub Google Admin Toolbox.
6. Pamiętaj o subdomenach — SPF dla domeny głównej nie chroni automatycznie subdomen. Jeśli wysyłasz z noreply@sklep.twojadomena.pl, potrzebujesz osobnego rekordu lub odpowiedniej polityki DMARC.

Najczęstsze błędy przy konfiguracji SPF

• Duplikowanie rekordów TXT — może istnieć tylko jeden rekord SPF na domenę.
• Zapominanie o zewnętrznych dostawcach (np. systemy helpdesk, platformy e-commerce).
• Używanie +all — autoryzuje wszystkich nadawców, co całkowicie niweluje ochronę.

Krok 2 — DKIM: cyfrowy podpis Twoich wiadomości

Czym jest DKIM

DKIM (DomainKeys Identified Mail) dodaje do nagłówka każdej wiadomości kryptograficzny podpis oparty na parze kluczy RSA lub Ed25519. Klucz prywatny jest przechowywany na serwerze wysyłającym, a klucz publiczny — w rekordzie DNS. Serwer odbiorcy weryfikuje podpis, potwierdzając, że wiadomość nie została zmodyfikowana w drodze i pochodzi z autoryzowanego serwera.

Checklista DKIM

1. Wygeneruj parę kluczy RSA 2048-bit (minimum; 4096-bit dla wyższego bezpieczeństwa). Klucze 1024-bit są uważane za przestarzałe i niewystarczające.
2. Wybierz selektor — dowolny ciąg znaków identyfikujący klucz, np. mail2024 lub smtp1. Selektor pozwala na rotację kluczy bez przerywania działania systemu.
3. Opublikuj klucz publiczny w DNS jako rekord TXT pod adresem:
   selektor._domainkey.twojadomena.pl
   Przykład wartości: v=DKIM1; k=rsa; p=MIGfMA0GCSq...
4. Skonfiguruj serwer SMTP do podpisywania wychodzących wiadomości wybranym kluczem prywatnym.
5. Zweryfikuj podpis — wyślij testową wiadomość na adres Gmail lub Outlook i sprawdź nagłówki (Authentication-Results). Powinieneś zobaczyć dkim=pass.
6. Zaplanuj rotację kluczy co 6–12 miesięcy. Rotacja polega na wygenerowaniu nowego selektora i klucza, opublikowaniu go w DNS, przełączeniu serwera na nowy klucz, a następnie usunięciu starego rekordu po 48–72 godzinach (czas propagacji DNS).
7. Dla agencji obsługujących wiele domen: każda domena klienta wymaga własnej pary kluczy DKIM. Nie współdziel kluczy między domenami.

DKIM a przekazywanie wiadomości

Przekierowania e-mail (forwarding) mogą niszczyć podpis DKIM, jeśli pośredni serwer modyfikuje treść lub nagłówki. To normalne zachowanie — właśnie dlatego DMARC pozwala na weryfikację przez SPF lub DKIM (wystarczy jeden mechanizm).

Krok 3 — DMARC: polityka i raportowanie

Czym jest DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) łączy SPF i DKIM w spójną politykę. Definiuje, co serwer odbiorcy ma zrobić z wiadomością, która nie przejdzie weryfikacji, oraz gdzie wysyłać raporty o wynikach uwierzytelniania. To jedyne narzędzie z tej trójki, które daje Ci widoczność w to, kto wysyła e-maile z Twojej domeny.

Checklista DMARC

1. Utwórz rekord DMARC jako TXT pod adresem _dmarc.twojadomena.pl. Minimalna poprawna wartość:
   v=DMARC1; p=none; rua=mailto:dmarc-raporty@twojadomena.pl
2. Zacznij od polityki p=none (tryb monitorowania). Nie blokujesz jeszcze żadnych wiadomości, ale zbierasz dane przez minimum 2–4 tygodnie.
3. Skonfiguruj adres raportowy rua — tu trafią agregowane raporty XML od serwerów odbiorców (Google, Microsoft, itp.). Możesz też dodać ruf dla raportów forensycznych (szczegółowych), choć wiele dostawców ich nie wysyła ze względu na prywatność.
4. Przeanalizuj raporty — użyj narzędzi do parsowania XML (np. DMARC Analyzer, Postmark DMARC, dmarcian). Szukaj nieautoryzowanych źródeł wysyłki i niezgodności SPF/DKIM.
5. Przejdź na p=quarantine po ustabilizowaniu wyników — wiadomości niezgodne trafiają do folderu spam odbiorcy.
6. Docelowo wdróż p=reject — najsilniejsza ochrona. Serwer odbiorcy odrzuca wiadomości niespełniające polityki. Wymagane przez Gmail/Yahoo dla masowych nadawców.
7. Ustaw parametr pct (procent wiadomości objętych polityką) na wartość mniejszą niż 100 podczas przejścia między politykami, np. pct=25, potem pct=50, pct=100.
8. Skonfiguruj politykę dla subdomen parametrem sp=, np. sp=reject, jeśli subdomeny nie wysyłają e-maili.

Tabela: etapy wdrożenia DMARC

Krok 4 — Dodatkowe elementy bezpieczeństwa mailingowego

BIMI: logo Twojej marki w skrzynce odbiorcy

BIMI (Brand Indicators for Message Identification) to standard pozwalający wyświetlać logo firmy obok wiadomości w skrzynce odbiorczej. Wymaga aktywnej polityki DMARC na poziomie p=quarantine lub p=reject oraz — w przypadku Gmail — certyfikatu VMC (Verified Mark Certificate). To nie jest wymóg, ale silny sygnał zaufania dla odbiorców i dodatkowy bodziec do doprowadzenia DMARC do końca.

MTA-STS i TLS-RPT

MTA-STS (Mail Transfer Agent Strict Transport Security) wymusza szyfrowanie TLS przy przesyłaniu wiadomości między serwerami. TLS-RPT dostarcza raporty o nieudanych połączeniach TLS. Oba standardy uzupełniają SPF/DKIM/DMARC i są szczególnie istotne dla e-commerce przetwarzającego dane osobowe klientów — co wpisuje się w wymogi bezpieczeństwa transmisji danych wynikające z art. 32 RODO (obowiązek stosowania odpowiednich środków technicznych ochrony danych).

Reverse DNS (PTR) i reputacja IP

Serwer wysyłający powinien mieć poprawnie skonfigurowany rekord PTR (odwrotne DNS), który wskazuje na domenę zgodną z nagłówkiem SMTP HELO/EHLO. Brak rekordu PTR lub niezgodność to jeden z sygnałów obniżających reputację IP w filtrach antyspamowych.

Krok 5 — Weryfikacja i monitoring po wdrożeniu

Narzędzia do weryfikacji

• MXToolbox — szybka weryfikacja rekordów SPF, DKIM, DMARC, PTR
• Google Admin Toolbox (dig/check MX) — bezpośrednia analiza DNS
• Mail Tester — wysyłasz testową wiadomość i otrzymujesz ocenę punktową
• DMARC Analyzer / dmarcian — parsowanie raportów XML i wizualizacja danych
• Postmark DMARC — bezpłatne raporty tygodniowe dla małych wolumenów

Co sprawdzać regularnie

1. Raporty DMARC (co najmniej raz w tygodniu przez pierwsze 2 miesiące, potem miesięcznie)
2. Ważność i aktualność kluczy DKIM — zaplanuj rotację w kalendarzu
3. Zmiany w infrastrukturze wysyłkowej — każdy nowy dostawca usług wymaga aktualizacji SPF
4. Reputację IP i domeny w narzędziach takich jak Google Postmaster Tools i Microsoft SNDS
5. Wskaźniki dostarczalności kampanii (bounce rate, spam complaints) — anomalie mogą sygnalizować problemy z uwierzytelnianiem

Checklista zbiorcza — wydrukuj i odhaczaj

SPF

• ☐ Zidentyfikowane wszystkie źródła wysyłki
• ☐ Jeden rekord TXT SPF na domenę
• ☐ Limit 10 lookupów DNS nie przekroczony
• ☐ Mechanizm końcowy -all lub ~all
• ☐ Subdomeny wysyłające mają własne rekordy SPF
• ☐ Rekord zweryfikowany narzędziem zewnętrznym

DKIM

• ☐ Klucze RSA 2048-bit (lub Ed25519) wygenerowane
• ☐ Klucz publiczny opublikowany w DNS
• ☐ Serwer SMTP podpisuje wiadomości
• ☐ Weryfikacja podpisu przez nagłówki testowej wiadomości
• ☐ Plan rotacji kluczy co 6–12 miesięcy
• ☐ Osobne klucze dla każdej domeny (agencje)

DMARC

• ☐ Rekord _dmarc opublikowany w DNS
• ☐ Adres rua skonfigurowany i aktywny
• ☐ Polityka p=none → p=quarantine → p=reject zaplanowana
• ☐ Raporty są regularnie analizowane
• ☐ Polityka dla subdomen (sp=) ustawiona
• ☐ Docelowy p=reject wdrożony

Dodatkowe

• ☐ Rekord PTR skonfigurowany dla IP wysyłającego
• ☐ MTA-STS wdrożony (opcjonalnie, ale zalecane)
• ☐ Google Postmaster Tools i Microsoft SNDS skonfigurowane
• ☐ BIMI rozważony po osiągnięciu p=reject

Wdrożenie SPF, DKIM i DMARC to nie jednorazowa czynność, lecz proces, który wymaga monitorowania i aktualizacji wraz z rozwojem infrastruktury. Agencje zarządzające wieloma domenami klientów i sklepy e-commerce z rozbudowaną komunikacją transakcyjną zyskują podwójnie: lepszą dostarczalność i realną ochronę reputacji marki. Jeśli korzystasz z własnych skrzynek SMTP i narzędzi takich jak MailerPRO, upewnij się, że każda domena wysyłająca ma kompletnie skonfigurowane wszystkie trzy mechanizmy — to fundament, bez którego żadna strategia e-mail marketingowa nie będzie w pełni skuteczna. Zacznij od audytu DNS już dziś — pierwsze wyniki w raportach DMARC zobaczysz w ciągu 24–48 godzin od publikacji rekordu.