Wysyłasz e-maile z własnej domeny przez serwer SMTP, ale trafiają do spamu — albo w ogóle nie docierają? Najczęstszą przyczyną jest brak lub błędna konfiguracja rekordów SPF i DKIM w DNS. Jeśli Twoja domena obsługiwana jest przez Cloudflare, cały proces możesz przeprowadzić w kilkanaście minut — bez wiedzy programistycznej. Ten poradnik przeprowadzi Cię przez każdy krok, od logowania do panelu aż po weryfikację poprawności ustawień.
Czym są SPF i DKIM — i dlaczego mają znaczenie dla SMTP
SPF (Sender Policy Framework) to rekord DNS typu TXT, który wskazuje, które serwery mają prawo wysyłać pocztę w imieniu Twojej domeny. Serwery odbierające pocztę sprawdzają, czy adres IP nadawcy znajduje się na liście autoryzowanych źródeł. Jeśli nie — wiadomość może trafić do spamu lub zostać odrzucona.
DKIM (DomainKeys Identified Mail) działa inaczej: do każdej wysłanej wiadomości dodawany jest podpis kryptograficzny. Serwer odbiorcy weryfikuje go za pomocą klucza publicznego opublikowanego w DNS Twojej domeny. Jeśli podpis się zgadza, wiadomość nie była modyfikowana w drodze i pochodzi z autoryzowanego źródła.
Bez obu tych mechanizmów Twoja domena jest łatwym celem dla spoofingu, a Twoje wiadomości — nawet w pełni legalne — mogą być traktowane jako podejrzane przez Gmail, Outlook czy Yahoo. Od lutego 2024 roku Google i Yahoo wymagają SPF lub DKIM dla nadawców masowych, a brak DMARC blokuje możliwość wysyłki do ponad 5000 odbiorców dziennie.
Zanim zaczniesz — co musisz mieć przygotowane
Przed przejściem do panelu Cloudflare upewnij się, że masz pod ręką kilka informacji:
- Dostęp do panelu Cloudflare z uprawnieniami do edycji strefy DNS dla Twojej domeny.
- Adres IP lub hostname serwera SMTP, z którego wysyłasz pocztę (np. mail.twojafirma.pl lub 203.0.113.42).
- Klucz publiczny DKIM — generowany przez Twój serwer pocztowy lub dostawcę SMTP. Może to być ciąg znaków zaczynający się od
v=DKIM1; k=rsa; p=.... - Nazwę selektora DKIM — zazwyczaj nadawaną przez serwer pocztowy, np. default, mail lub s1.
Jeśli korzystasz z MailerPRO lub innego narzędzia do wysyłki przez własny serwer SMTP, klucz DKIM i selektor znajdziesz w ustawieniach konta lub w dokumentacji dostawcy.
Krok 1 — Konfiguracja rekordu SPF w Cloudflare
Jak zbudować poprawny rekord SPF
Rekord SPF ma postać jednej linii TXT w DNS. Jego składnia jest ściśle określona przez RFC 7208. Podstawowy rekord dla serwera wysyłającego pocztę z jednego adresu IP wygląda tak:
v=spf1 ip4:203.0.113.42 ~all
Jeśli wysyłasz pocztę przez serwer wskazany nazwą domenową (np. smtp.twojafirma.pl), użyj mechanizmu a lub mx:
v=spf1 mx a:smtp.twojafirma.pl ~all
Znaczenie końcówek (qualifier) jest kluczowe:
| Qualifier | Znaczenie | Zalecenie |
|---|---|---|
+all |
Każdy serwer może wysyłać — brak ochrony | ❌ Nigdy nie używaj |
~all |
Softfail — podejrzane, ale dostarczone | ✅ Dobry start |
-all |
Hardfail — odrzucone przez serwer | ✅ Docelowo, po testach |
?all |
Neutralny — brak decyzji | ⚠️ Nie zalecane |
Dodanie rekordu SPF w panelu Cloudflare
- Zaloguj się na dash.cloudflare.com i wybierz swoją domenę.
- Przejdź do zakładki DNS → Records.
- Kliknij Add record.
- Ustaw typ rekordu na TXT.
- W polu Name wpisz
@(oznacza domenę główną, np. twojafirma.pl). - W polu Content wklej swój rekord SPF, np.
v=spf1 ip4:203.0.113.42 ~all. - TTL ustaw na Auto lub 3600 sekund.
- Kliknij Save.
Ważne: Dla jednej domeny może istnieć tylko jeden rekord SPF (jeden rekord TXT zaczynający się od v=spf1). Jeśli masz już taki rekord (np. od poprzedniego dostawcy), nie dodawaj nowego — edytuj istniejący, dopisując kolejne mechanizmy. Dwa rekordy SPF powodują błąd PermError i całkowite odrzucenie weryfikacji.
Krok 2 — Konfiguracja rekordu DKIM w Cloudflare
Skąd wziąć klucz DKIM
Klucz publiczny DKIM generuje Twój serwer pocztowy lub panel administracyjny dostawcy SMTP. W zależności od oprogramowania wygląda to inaczej:
- Postfix + OpenDKIM: klucz znajdziesz w pliku
/etc/opendkim/keys/twojafirma.pl/default.txtpo wygenerowaniu go poleceniemopendkim-genkey. - cPanel / DirectAdmin: sekcja Email Authentication lub DKIM w panelu domeny — klucz wyświetlany jest gotowy do skopiowania.
- Zewnętrzny dostawca SMTP (np. MailerPRO, SendGrid, Brevo): klucz publiczny i selektor podawane są w ustawieniach konta lub kroku weryfikacji domeny.
Klucz publiczny wygląda mniej więcej tak (skrócony dla czytelności):
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3...
Dodanie rekordu DKIM w panelu Cloudflare
- W zakładce DNS → Records kliknij Add record.
- Ustaw typ rekordu na TXT.
- W polu Name wpisz nazwę w formacie:
selektor._domainkey, np.default._domainkeylubmail._domainkey. Cloudflare automatycznie doda nazwę domeny, więc nie musisz jej wpisywać. - W polu Content wklej pełny klucz publiczny DKIM, np.
v=DKIM1; k=rsa; p=MIGfMA0G.... - TTL ustaw na Auto.
- Kliknij Save.
Uwaga na proxy Cloudflare: Rekordy TXT (SPF, DKIM) nigdy nie powinny mieć włączonego proxy (pomarańczowa chmurka). Upewnij się, że ikona przy rekordzie DNS jest szara (DNS only). Proxy działa tylko dla rekordów A i AAAA obsługujących ruch HTTP.
Krok 3 — Rekord MX i opcjonalny DMARC
Rekord MX — jeśli odbierasz pocztę na tej samej domenie
Jeśli Twoja domena służy też do odbierania poczty, musisz mieć rekord MX wskazujący na serwer pocztowy. Dodaj go w Cloudflare jako typ MX, pole Name ustaw na @, a w Mail server wpisz hostname serwera, np. mail.twojafirma.pl. Priorytet (Priority) ustaw na 10.
DMARC — uzupełnienie, które zamyka lukę
SPF i DKIM to mechanizmy uwierzytelniania. DMARC (Domain-based Message Authentication, Reporting and Conformance) łączy oba i mówi serwerom odbiorczym, co zrobić z wiadomościami, które nie przeszły weryfikacji — oraz gdzie wysyłać raporty. Minimalny rekord DMARC wygląda tak:
v=DMARC1; p=none; rua=mailto:dmarc@twojafirma.pl
Dodaj go w Cloudflare jako rekord TXT, gdzie Name to _dmarc. Polityka p=none oznacza tryb monitorowania — wiadomości są dostarczane, ale raporty trafiają na podany adres. Po zebraniu danych i upewnieniu się, że SPF i DKIM działają poprawnie, możesz przejść na p=quarantine lub p=reject.
Krok 4 — Weryfikacja konfiguracji
Narzędzia do sprawdzenia rekordów DNS
Po zapisaniu rekordów poczekaj od kilku minut do 24 godzin na propagację DNS (przy Cloudflare zazwyczaj wystarczy 5–15 minut). Następnie zweryfikuj konfigurację:
- MXToolbox (mxtoolbox.com/SuperTool) — wpisz domenę i wybierz SPF Record Lookup lub DKIM Lookup (podaj selektor).
- mail-tester.com — wyślij testową wiadomość na podany adres i otrzymaj ocenę punktową wraz z raportem o SPF, DKIM i DMARC.
- Komenda dig (Linux/macOS):
dig TXT twojafirma.pl +short
dig TXT default._domainkey.twojafirma.pl +short
Poprawna odpowiedź dla SPF powinna zawierać ciąg zaczynający się od v=spf1, a dla DKIM — od v=DKIM1.
Typowe błędy i jak je naprawić
| Problem | Przyczyna | Rozwiązanie |
|---|---|---|
| Dwa rekordy SPF | Stary rekord nie został usunięty | Połącz mechanizmy w jeden rekord TXT |
| DKIM lookup nie zwraca wyników | Zły selektor lub rekord jeszcze się nie spropagował | Sprawdź nazwę selektora u dostawcy SMTP; poczekaj 15 min |
| SPF PermError — zbyt wiele lookupów | Rekord SPF ma więcej niż 10 mechanizmów DNS | Zastąp include: bezpośrednimi adresami IP lub użyj SPF flattening |
| Proxy (pomarańczowa chmurka) na rekordzie TXT | Włączone proxy Cloudflare dla rekordu DNS | Zmień na DNS only (szara chmurka) |
| Wiadomości nadal w spamie po konfiguracji | Brak DMARC lub zła polityka | Dodaj rekord DMARC z p=none i monitoruj raporty |
Podsumowanie — co powinieneś mieć po tym poradniku
Poprawna konfiguracja DNS poczty w Cloudflare składa się z trzech rekordów: SPF (TXT na @), DKIM (TXT na selektor._domainkey) i opcjonalnie DMARC (TXT na _dmarc). Razem tworzą kompletną warstwę uwierzytelniania e-mail, która zwiększa dostarczalność wiadomości i chroni Twoją domenę przed spoofingiem.
Jeśli wysyłasz pocztę przez własny serwer SMTP — np. przy użyciu MailerPRO — upewnij się, że klucz DKIM jest aktywny po stronie serwera i że rekord w Cloudflare zawiera dokładnie ten sam klucz publiczny. Rozbieżność między kluczem prywatnym serwera a publicznym w DNS to najczęstszy powód, dla którego weryfikacja DKIM kończy się błędem signature verification failed.
Skonfiguruj rekordy, zweryfikuj je narzędziem mail-tester.com i wyślij testową wiadomość do skrzynki Gmail lub Outlook — jeśli zobaczysz zielone potwierdzenie SPF i DKIM w nagłówkach wiadomości, Twoja domena jest gotowa do profesjonalnej wysyłki e-mail.
📨 Wypróbuj Mailer PRO
Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.
Zobacz cennik Jak to działa
