Jeśli wysyłasz e-maile z własnej domeny, a nie masz skonfigurowanych rekordów SPF, DKIM i DMARC, Twoje wiadomości trafiają do spamu — albo, co gorsza, ktoś podszywa się pod Twoją markę bez Twojej wiedzy. Ta instrukcja przeprowadzi Cię przez kompletną konfigurację uwierzytelniania domeny e-mail: od pierwszego rekordu TXT w DNS aż po weryfikację działającego zestawu. Żadnych skrótów — tylko konkretne kroki i przykłady gotowe do skopiowania.
Dlaczego SPF, DKIM i DMARC są niezbędne razem?
Każdy z trzech mechanizmów rozwiązuje inny problem. SPF mówi serwerom odbiorczym, które adresy IP mogą wysyłać pocztę w imieniu Twojej domeny. DKIM dodaje kryptograficzny podpis do każdej wiadomości, potwierdzając jej integralność. DMARC łączy obie metody i określa, co zrobić z wiadomościami, które nie przeszły weryfikacji — odrzucić, poddać kwarantannie lub przepuścić.
Stosowanie tylko jednego lub dwóch rekordów to dziura w zabezpieczeniach. Bez DMARC serwer odbiorcy sprawdzi SPF i DKIM, ale nie będzie wiedział, jak postąpić z podejrzaną wiadomością. Bez DKIM samo SPF nie chroni przed modyfikacją treści w trakcie przesyłu. Dopiero wszystkie trzy razem tworzą spójną, egzekwowalną politykę uwierzytelniania e-mail.
Krok 1 — Konfiguracja rekordu SPF
Jak działa SPF?
SPF (Sender Policy Framework) to rekord TXT w DNS Twojej domeny zawierający listę autoryzowanych serwerów pocztowych. Gdy serwer odbiorcy otrzymuje wiadomość, sprawdza, czy adres IP nadawcy widnieje na tej liście. Jeśli nie — wiadomość może zostać oznaczona jako spam lub odrzucona.
Standard opisuje RFC 7208. Kluczowa zasada: dla jednej domeny może istnieć dokładnie jeden rekord SPF. Wiele rekordów TXT z wartością v=spf1 powoduje błąd i nieskuteczną weryfikację.
Budowa rekordu SPF — składnia
Rekord SPF wygląda następująco:
v=spf1 ip4:203.0.113.10 include:_spf.przykladowysmtp.pl ~all
Poszczególne elementy oznaczają:
- v=spf1 — wersja protokołu (zawsze taka sama)
- ip4:203.0.113.10 — konkretny adres IPv4 uprawniony do wysyłki
- ip6:2001:db8::1 — analogicznie dla IPv6
- include:_spf.domena.pl — dołącza listę IP z innej domeny (np. dostawcy SMTP)
- a — dodaje adres IP wskazywany przez rekord A Twojej domeny
- mx — dodaje adresy IP Twoich serwerów MX
- ~all — softfail: wiadomości z nieznanych IP trafiają do spamu, ale nie są odrzucane
- -all — hardfail: wiadomości z nieznanych IP są odrzucane
Praktyczny przykład — firma korzystająca z kilku usług
Załóżmy, że firma przykład.pl wysyła e-maile przez własny serwer (IP 203.0.113.10), przez zewnętrzne narzędzie do mailingu (które udostępnia rekord _spf.mailernarzedzie.pl) oraz przez Google Workspace. Poprawny rekord SPF wygląda tak:
v=spf1 ip4:203.0.113.10 include:_spf.mailernarzedzie.pl include:_spf.google.com ~all
Pamiętaj o limicie 10 mechanizmów DNS lookup (każde include, a, mx liczy się jako jedno zapytanie). Przekroczenie tego limitu powoduje błąd permerror i SPF przestaje działać.
Jak dodać rekord SPF w panelu DNS?
- Zaloguj się do panelu zarządzania domeną (rejestrator lub hosting).
- Przejdź do sekcji DNS / Strefa DNS.
- Dodaj nowy rekord typu TXT.
- W polu Nazwa/Host wpisz
@(lub zostaw puste — zależy od panelu). - W polu Wartość/Treść wklej swój rekord SPF.
- TTL ustaw na 3600 (1 godzina) lub niżej podczas testów.
- Zapisz i poczekaj na propagację DNS (zwykle 15–60 minut, maksymalnie 48 godzin).
Krok 2 — Konfiguracja podpisu DKIM
Jak działa DKIM?
DKIM (DomainKeys Identified Mail) opiera się na kryptografii asymetrycznej. Serwer wysyłający podpisuje każdą wiadomość kluczem prywatnym. Serwer odbiorcy pobiera z DNS Twojej domeny klucz publiczny i weryfikuje podpis. Jeśli treść wiadomości lub nagłówki zostały zmodyfikowane po podpisaniu, weryfikacja się nie powiedzie.
Standard opisuje RFC 6376. Podpis DKIM jest dodawany jako nagłówek wiadomości DKIM-Signature i jest niewidoczny dla odbiorcy.
Generowanie pary kluczy DKIM
Klucze DKIM generuje się po stronie serwera pocztowego lub w panelu dostawcy SMTP. Jeśli korzystasz z własnego serwera (np. Postfix, Exim), użyj narzędzia opendkim-genkey:
opendkim-genkey -t -s mail -d przykład.pl
Polecenie tworzy dwa pliki: mail.private (klucz prywatny — zostaje na serwerze, nigdy go nie publikuj) oraz mail.txt (klucz publiczny — trafia do DNS). Selektor (mail) to dowolna nazwa, która identyfikuje klucz — możesz mieć ich kilka, np. smtp1, newsletter.
Zalecana długość klucza to 2048 bitów. Klucze 1024-bitowe są dziś uznawane za niewystarczające i mogą być odrzucane przez niektórych dostawców.
Dodanie klucza publicznego do DNS
Rekord DKIM dodajesz jako TXT w subdomenie o formacie: selektor._domainkey.twojadomena.pl. Dla selektora mail i domeny przykład.pl będzie to:
mail._domainkey.przykład.pl
Wartość rekordu (przykład dla klucza 2048-bit) wygląda mniej więcej tak:
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA…(długi ciąg Base64)…IDAQAB
Jeśli Twój dostawca SMTP (np. MailerPRO) generuje klucze DKIM automatycznie, w panelu znajdziesz gotowy rekord TXT do skopiowania — wystarczy wkleić go do strefy DNS swojej domeny.
Weryfikacja podpisu DKIM
Po dodaniu rekordu wyślij testową wiadomość na skrzynkę Gmail lub użyj narzędzia online (np. mail-tester.com lub MXToolbox). W nagłówkach odebranej wiadomości poszukaj linii:
dkim=pass header.i=@przykład.pl
Jeśli widzisz dkim=fail, sprawdź: czy klucz publiczny w DNS jest kompletny (bez złamania linii), czy selektor w konfiguracji serwera zgadza się z nazwą rekordu DNS, oraz czy TTL rekordu minął i propagacja jest zakończona.
Krok 3 — Konfiguracja polityki DMARC
Jak działa DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance) łączy SPF i DKIM w spójną politykę. Serwer odbiorcy sprawdza, czy wiadomość przeszła co najmniej jedną z metod uwierzytelniania i czy domena w nagłówku From: jest zgodna z domeną zweryfikowaną przez SPF lub DKIM (tzw. alignment). Jeśli nie — stosuje politykę zdefiniowaną przez właściciela domeny.
Standard opisuje RFC 7489. DMARC wprowadza też mechanizm raportowania: możesz otrzymywać raporty XML od serwerów odbiorczych o tym, które wiadomości przeszły lub nie przeszły weryfikacji.
Składnia rekordu DMARC
Rekord DMARC to kolejny rekord TXT, tym razem w subdomenie _dmarc.twojadomena.pl. Przykład minimalnego rekordu:
v=DMARC1; p=none; rua=mailto:dmarc-raporty@przykład.pl
Kluczowe tagi DMARC:
| Tag | Znaczenie | Przykład |
|---|---|---|
| v | Wersja (zawsze DMARC1) | v=DMARC1 |
| p | Polityka dla domeny głównej | p=none / p=quarantine / p=reject |
| sp | Polityka dla subdomen | sp=quarantine |
| pct | Procent wiadomości objętych polityką | pct=10 |
| rua | Adres do raportów zbiorczych (Aggregate) | rua=mailto:dmarc@domena.pl |
| ruf | Adres do raportów forensycznych | ruf=mailto:dmarc-fail@domena.pl |
| adkim | Tryb alignment dla DKIM (r=relaxed, s=strict) | adkim=r |
| aspf | Tryb alignment dla SPF | aspf=r |
Strategia wdrożenia DMARC — od monitoringu do odrzucania
Nie ustawiaj od razu polityki p=reject. Zacznij od p=none, zbieraj raporty przez 2–4 tygodnie i sprawdzaj, które serwery wysyłają e-maile w imieniu Twojej domeny. Dopiero gdy masz pewność, że SPF i DKIM są poprawnie skonfigurowane dla wszystkich Twoich kanałów wysyłki, przejdź do kolejnych etapów:
- Etap 1 (tygodnie 1–4):
p=none; pct=100; rua=mailto:dmarc@domena.pl— tylko monitoring, żadne wiadomości nie są blokowane. - Etap 2 (tygodnie 5–8):
p=quarantine; pct=10— 10% podejrzanych wiadomości trafia do spamu. Stopniowo zwiększaj pct do 100. - Etap 3 (od tygodnia 9+):
p=reject; pct=100— pełna ochrona, nieautoryzowane wiadomości są odrzucane.
Google i Yahoo od lutego 2024 roku wymagają rekordu DMARC (minimum p=none) od nadawców wysyłających powyżej 5000 wiadomości dziennie do skrzynek Gmail/Yahoo. Brak rekordu skutkuje odrzucaniem lub masowym trafianiem do spamu.
Krok 4 — Weryfikacja całej konfiguracji
Narzędzia do sprawdzenia rekordów DNS
Zanim wyślesz pierwszą kampanię, zweryfikuj wszystkie trzy rekordy. Możesz to zrobić z wiersza poleceń:
- SPF:
dig TXT przykład.pl +short - DKIM:
dig TXT mail._domainkey.przykład.pl +short - DMARC:
dig TXT _dmarc.przykład.pl +short
Narzędzia online, które warto znać: MXToolbox (mxtoolbox.com/SuperTool), DMARC Analyzer, mail-tester.com (wysyłasz testową wiadomość i dostajesz ocenę punktową). Każde z nich pokaże ewentualne błędy składniowe i ostrzeżenia.
Interpretacja nagłówków wiadomości
Najdokładniejszą weryfikację daje analiza nagłówków rzeczywistej wiadomości. W Gmail kliknij „Pokaż oryginał" (Show original). Szukaj sekcji Authentication-Results:
spf=pass (google.com: domain of info@przykład.pl designates 203.0.113.10 as permitted sender)
dkim=pass header.i=@przykład.pl header.s=mail
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=przykład.pl
Trzy razy „pass" — konfiguracja działa poprawnie. Jeśli którykolwiek element pokazuje „fail" lub „neutral", wróć do odpowiedniego kroku i sprawdź konfigurację.
Najczęstsze błędy i jak ich unikać
Błędy SPF
- Dwa rekordy SPF — połącz je w jeden rekord, oddzielając mechanizmy spacjami.
- Przekroczenie limitu 10 lookup — użyj narzędzi do spłaszczania SPF (SPF flattening), które zamieniają
includena konkretne adresy IP. - Brak
allna końcu — bez tego mechanizmu rekord jest niekompletny.
Błędy DKIM
- Złamanie linii klucza publicznego — niektóre panele DNS dzielą długie rekordy TXT; klucz 2048-bit musi być podzielony na fragmenty po 255 znaków w cudzysłowach lub obsługiwany przez panel automatycznie.
- Niezgodność selektora — selektor w konfiguracji serwera musi dokładnie odpowiadać nazwie subdomeny w DNS.
- Rotacja kluczy — klucze DKIM warto wymieniać co 6–12 miesięcy; stary klucz zostaw w DNS przez 48 godzin po przełączeniu.
Błędy DMARC
- Brak alignment — jeśli wysyłasz przez subdomenę (np.
newsletter.przykład.pl), a wFrom:maszprzykład.pl, ustawadkim=riaspf=r(relaxed), które akceptują subdomeny. - Ignorowanie raportów — raporty DMARC to cenne źródło informacji o nieautoryzowanym użyciu Twojej domeny. Analizuj je regularnie lub użyj narzędzia agregującego.
- Zbyt szybkie przejście do
p=reject— bez wcześniejszego monitoringu możesz zablokować legalne kanały wysyłki (np. powiadomienia z CRM-u).
Podsumowanie — Twoja checklista przed pierwszą wysyłką
Uwierzytelnianie domeny e-mail to nie jednorazowa czynność, lecz element stałej higieny technicznej. Przed każdą nową kampanią upewnij się, że:
- Rekord SPF istnieje, jest jeden i obejmuje wszystkie serwery wysyłające e-maile w imieniu Twojej domeny.
- Podpis DKIM jest aktywny na serwerze wysyłającym, a klucz publiczny jest poprawnie opublikowany w DNS.
- Rekord DMARC istnieje i masz skonfigurowany adres do odbioru raportów.
- Weryfikacja nagłówków testowej wiadomości pokazuje trzy razy „pass".
- Polityka DMARC jest dostosowana do etapu wdrożenia — nie blokujesz czegoś, czego nie sprawdziłeś.
Jeśli korzystasz z narzędzia do wysyłki mailingów, takiego jak MailerPRO, sprawdź w dokumentacji, jakie rekordy DNS musisz dodać dla swojej domeny nadawczej — większość platform udostępnia gotowe wartości SPF i DKIM do skopiowania. Poprawna konfiguracja SPF, DKIM i DMARC to inwestycja, która zwraca się natychmiast: lepsza dostarczalność, ochrona reputacji domeny i spokój, że nikt nie wysyła e-maili pod Twoim nazwiskiem.
📨 Wypróbuj Mailer PRO
Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.
Zobacz cennik Jak to działa
