Strona głównaBlog⚙️ Konfiguracja

SPF, DKIM i DMARC — kompletny przewodnik krok po kroku

Dowiedz się, jak poprawnie skonfigurować rekordy autentykacji e-mail, żeby Twoje wiadomości trafiały do skrzynki odbiorczej — nie do spamu.

📅 07.05.2026 ⏱ 11 min czytania 📝 2 480 słów 👤 Zespół Mailer PRO
developer workspace with multiple monitors showing terminal and config files, editorial quality, no text overlay, no watermarks

Wysyłasz kampanię e-mailową, a połowa wiadomości ląduje w spamie — mimo że lista jest czysta i treść nie zawiera podejrzanych słów. Najczęstsza przyczyna? Brak lub błędna konfiguracja rekordów SPF, DKIM i DMARC. Te trzy mechanizmy autentykacji maila to absolutna podstawa każdej poważnej wysyłki. W tym przewodniku znajdziesz wszystko, czego potrzebujesz: wyjaśnienie, jak działają, oraz instrukcje konfiguracji krok po kroku dla własnej domeny.

Czym są SPF, DKIM i DMARC — i dlaczego mają znaczenie?

Serwery pocztowe odbiorców (Gmail, Outlook, home.pl itp.) zanim przyjmą wiadomość, zadają jedno pytanie: czy ten nadawca ma prawo wysyłać maile z tej domeny? Odpowiedzi na to pytanie dostarczają właśnie rekordy DNS Twojej domeny. Brak odpowiedzi = podejrzenie = spam lub odrzucenie.

Od lutego 2024 r. Google i Yahoo wymagają od nadawców wysyłających ponad 5 000 wiadomości dziennie obowiązkowego SPF lub DKIM oraz polityki DMARC. Jednak nawet przy mniejszej skali brak tych rekordów obniża reputację domeny i dostarczalność — niezależnie od platformy wysyłkowej.

Krótkie definicje

Razem tworzą warstwowy system ochrony: SPF weryfikuje serwer wysyłający, DKIM weryfikuje treść i nadawcę, a DMARC łączy oba mechanizmy i nadaje im egzekucję.

Krok 1 — Konfiguracja rekordu SPF

Rekord SPF to wpis TXT dodawany do strefy DNS Twojej domeny. Może istnieć tylko jeden rekord SPF dla danej domeny — jeśli masz kilka, serwery odbiorcze mogą je zignorować lub potraktować jako błąd.

Składnia rekordu SPF

Podstawowy rekord wygląda tak:

v=spf1 ip4:1.2.3.4 include:smtp.twojprovider.pl ~all

Rozbijmy go na części:

Jak dodać rekord SPF w panelu DNS?

  1. Zaloguj się do panelu zarządzania domeną (np. home.pl, nazwa.pl, Cloudflare).
  2. Przejdź do sekcji Strefa DNS lub Rekordy DNS.
  3. Dodaj nowy rekord typu TXT.
  4. W polu Host/Nazwa wpisz @ (oznacza domenę główną).
  5. W polu Wartość/Treść wklej swój rekord SPF.
  6. TTL ustaw na 3600 (1 godzina) lub wartość domyślną.
  7. Zapisz i poczekaj na propagację DNS (do 48 h, zazwyczaj kilka minut).

Uwaga na limit 10 zapytań DNS

Standard SPF dopuszcza maksymalnie 10 mechanizmów wymagających zapytań DNS (include, a, mx, ptr, exists). Jeśli korzystasz z wielu dostawców (CRM, platforma mailingowa, własny SMTP), łatwo przekroczyć ten limit — skutkuje to błędem permerror i odrzuceniem wiadomości. Rozwiązanie: spłaszczanie SPF (SPF flattening) — zamiana include na bezpośrednie adresy IP.

Krok 2 — Konfiguracja rekordu DKIM

DKIM działa na zasadzie pary kluczy: klucz prywatny przechowywany na serwerze wysyłającym podpisuje każdą wiadomość, a klucz publiczny opublikowany w DNS pozwala odbiorcy zweryfikować podpis. Jeśli treść wiadomości zostanie zmieniona w trakcie przesyłania, podpis przestaje być ważny.

Generowanie pary kluczy DKIM

Większość platform do wysyłki maili (w tym MailerPRO) generuje parę kluczy automatycznie i pokazuje gotowy rekord DNS do skopiowania. Jeśli zarządzasz własnym serwerem Postfix lub Exim, możesz wygenerować klucze ręcznie narzędziem opendkim-genkey:

opendkim-genkey -t -s mail -d twojadomena.pl

Polecenie tworzy dwa pliki: mail.private (klucz prywatny — nigdy nie udostępniaj) oraz mail.txt (rekord DNS do wklejenia w strefie DNS).

Struktura rekordu DKIM w DNS

Rekord DKIM to wpis TXT o nazwie w formacie selektor._domainkey.twojadomena.pl. Selektor to dowolna etykieta (np. mail, smtp1, google). Przykład:

mail._domainkey.twojadomena.pl IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSq..."

Parametr p= to klucz publiczny zakodowany w Base64. Możesz mieć wiele selektorów DKIM dla jednej domeny — to przydatne, gdy korzystasz z kilku narzędzi do wysyłki.

Jak dodać rekord DKIM?

  1. Skopiuj rekord TXT wygenerowany przez Twój serwer SMTP lub platformę wysyłkową.
  2. W panelu DNS dodaj rekord typu TXT.
  3. W polu Host wpisz pełną nazwę selektora, np. mail._domainkey.
  4. W polu Wartość wklej treść klucza publicznego.
  5. Zapisz i poczekaj na propagację.

Ważne: niektóre panele DNS mają limit długości pola TXT (255 znaków). Długie klucze RSA-2048 trzeba podzielić na dwa ciągi w cudzysłowach — sprawdź dokumentację swojego rejestratora.

Krok 3 — Konfiguracja rekordu DMARC

DMARC to polityka, która mówi serwerowi odbiorcy: „jeśli wiadomość nie przeszła SPF ani DKIM, zrób z nią X". Dodatkowo wskazuje adres e-mail, na który mają być wysyłane raporty agregowane (rua) i raporty o błędach (ruf).

Składnia rekordu DMARC

v=DMARC1; p=quarantine; rua=mailto:dmarc@twojadomena.pl; ruf=mailto:dmarc-fail@twojadomena.pl; pct=100; adkim=s; aspf=s
Parametr Opis Przykładowe wartości
p= Polityka dla wiadomości niespełniających wymagań none, quarantine, reject
rua= Adres do raportów agregowanych (codziennych) mailto:dmarc@twojadomena.pl
ruf= Adres do raportów o pojedynczych błędach mailto:dmarc-fail@twojadomena.pl
pct= Procent wiadomości objętych polityką (1–100) 100
adkim= Tryb wyrównania DKIM: s (strict) lub r (relaxed) r (domyślnie)
aspf= Tryb wyrównania SPF: s (strict) lub r (relaxed) r (domyślnie)

Trzy poziomy polityki DMARC

Rekomendowana ścieżka wdrożenia: zacznij od p=none przez 2–4 tygodnie, analizuj raporty, następnie przejdź na quarantine, a docelowo na reject.

Jak dodać rekord DMARC?

  1. W panelu DNS dodaj rekord TXT.
  2. W polu Host wpisz _dmarc.
  3. W polu Wartość wklej politykę DMARC.
  4. Zapisz zmiany.

Weryfikacja — jak sprawdzić, czy wszystko działa?

Po dodaniu rekordów DNS nie zakładaj, że wszystko jest poprawne — zawsze weryfikuj. Propagacja DNS może zająć od kilku minut do 48 godzin, a literówka w rekordzie potrafi całkowicie zablokować dostarczalność.

Narzędzia do weryfikacji

Jak interpretować raporty DMARC?

Raporty agregowane (rua) przychodzą jako pliki XML — mało czytelne w surowej formie. Warto użyć narzędzia do ich parsowania, np. DMARC Analyzer, Postmark DMARC lub darmowego dmarcian. Raport pokazuje m.in.: z jakich adresów IP wysyłano maile z Twoją domeną, ile przeszło SPF i DKIM oraz ile zostało odrzuconych.

Najczęstsze błędy i jak ich unikać

Błąd 1 — Dwa rekordy SPF dla jednej domeny

Wiele firm dodaje drugi rekord SPF zamiast edytować istniejący. Skutek: permerror i potencjalne odrzucenie wiadomości. Zawsze edytuj istniejący rekord, łącząc wszystkie mechanizmy w jednej linii.

Błąd 2 — Zbyt liberalne SPF z +all

Rekord kończący się +all oznacza, że każdy serwer na świecie może wysyłać maile z Twojej domeny. To całkowita negacja celu SPF. Używaj ~all lub -all.

Błąd 3 — DMARC bez analizy raportów

Wdrożenie p=reject bez wcześniejszego okresu monitoringu (p=none) może spowodować, że legalne wiadomości (np. z Twojego CRM lub zewnętrznego systemu fakturowania) zaczną być odrzucane. Zawsze zacznij od monitoringu.

Błąd 4 — Brak wyrównania (alignment) w DMARC

DMARC wymaga, żeby domena w nagłówku From: była wyrównana z domeną zweryfikowaną przez SPF lub DKIM. Jeśli wysyłasz z adresu noreply@twojadomena.pl, ale Twój SMTP uwierzytelnia się przez subdomenę mail.twojadomena.pl, w trybie strict (aspf=s) DMARC może nie przejść. W trybie relaxed (aspf=r) subdomeny są akceptowane.

Błąd 5 — Zapomniane subdomeny

Polityka DMARC dla domeny głównej obejmuje subdomeny tylko wtedy, gdy dodasz parametr sp=reject (subdomain policy). Bez niego subdomeny, z których nie wysyłasz maili, mogą być wykorzystywane do spoofingu.

SPF, DKIM i DMARC a RODO oraz bezpieczeństwo

Autentykacja maila to nie tylko kwestia dostarczalności — to też element bezpieczeństwa danych. Spoofing domeny (podszywanie się pod Twoją firmę w e-mailach) może prowadzić do phishingu wymierzonego w Twoich klientów. Zgodnie z art. 32 RODO administrator danych jest zobowiązany do wdrożenia odpowiednich środków technicznych zapewniających bezpieczeństwo przetwarzania. Brak ochrony przed spoofingiem firmowej domeny e-mail można uznać za naruszenie tego obowiązku — szczególnie jeśli skutkuje wyciekiem danych lub wyłudzeniem informacji od klientów.

Wdrożenie p=reject w DMARC skutecznie uniemożliwia podmiotom trzecim wysyłanie wiadomości podszywających się pod Twoją domenę, co bezpośrednio chroni reputację firmy i bezpieczeństwo odbiorców.

Podsumowanie — checklista wdrożenia

Poniżej kompletna lista kontrolna, którą możesz wykorzystać przy konfiguracji autentykacji dla swojej domeny:

  1. Zidentyfikuj wszystkie serwery i usługi wysyłające maile z Twojej domeny (SMTP, CRM, platforma mailingowa, system fakturowania).
  2. Utwórz jeden rekord SPF zawierający wszystkie uprawnione serwery; zakończ go ~all lub -all.
  3. Wygeneruj parę kluczy DKIM dla każdego serwera wysyłającego; opublikuj klucze publiczne w DNS.
  4. Dodaj rekord DMARC z polityką p=none i adresem do raportów.
  5. Przez 2–4 tygodnie analizuj raporty DMARC i napraw wykryte problemy.
  6. Zmień politykę na p=quarantine, a następnie p=reject.
  7. Zweryfikuj konfigurację narzędziami MXToolbox lub mail-tester.com.
  8. Ustaw przypomnienie o odnowieniu/rotacji kluczy DKIM co 6–12 miesięcy.

Jeśli korzystasz z MailerPRO do wysyłki przez własne skrzynki SMTP, platforma podpowiada gotowe rekordy DNS do skopiowania — oszczędzasz czas i eliminujesz ryzyko literówek. Poprawna konfiguracja SPF, DKIM i DMARC to jednorazowy wysiłek, który przekłada się na trwałą poprawę dostarczalności, ochronę reputacji domeny i bezpieczeństwo Twoich odbiorców. Warto zrobić to raz, ale porządnie.

spf dkim dmarc autentykacja maila dostarczalność reputacja domeny konfiguracja dns

📨 Wypróbuj Mailer PRO

Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.

Zobacz cennik Jak to działa

Podobne artykuły

SMTP OVH vs home.pl — konfiguracja, błędy i wybór 2026

13.05.2026 · ⏱ 10 min

DKIM w cPanel i Plesk – konfiguracja krok po kroku

13.05.2026 · ⏱ 8 min

Konfiguracja SMTP w WooCommerce — porty i błędy

13.05.2026 · ⏱ 10 min