SPF, DKIM i DMARC — wyjaśnienie po ludzku | Scanthra

Scanthra · 7 min czytania · Zaktualizowano Maj 2026

30-sekundowe wyjaśnienie

• SPF — lista serwerów uprawnionych do wysyłania poczty z twojej domeny.
• DKIM — cyfrowy podpis na każdej wiadomości, dowodzący, że naprawdę pochodzi z twojej domeny i nie była modyfikowana.
• DMARC — twoja polityka mówiąca serwerom odbierającym, co robić z pocztą, która nie przejdzie SPF lub DKIM (przepuść, do spamu, odrzuć) i gdzie wysyłać raporty.

Wszystkie trzy to rekordy DNS TXT. Dodajesz je raz i zapominasz (dopóki nie zmienisz dostawcy poczty).

Dlaczego mała firma powinna się tym przejąć

Dwa konkretne skutki braku SPF/DKIM/DMARC, oba powszechne:

• Klienci widzą „via mailer.scanthra.net" w Gmailu zamiast twojej domeny. Subtelne, ale zabija zaufanie przy pierwszym e-mailu.
• Każdy może się pod ciebie podszywać. Oszust wysyła „Faktura zaległa — zapłać na to konto" od kasa@twojsklep.pl do twoich klientów. Z rygorystycznym DMARC wiadomość jest odrzucana zanim dotrze. Bez — ląduje w skrzynce.

Microsoft i Google wymagają teraz SPF + DKIM + DMARC dla masowych nadawców (od lutego 2024 roku). Jeśli wysyłasz jakikolwiek wolumen e-mail — nawet transakcyjne potwierdzenia ze sklepu WordPress — brakujące rekordy zaczną szkodzić dostarczalności.

SPF — lista dozwolonych

Rekord SPF wygląda tak:

twojadomena.pl.  IN TXT  "v=spf1 include:_spf.google.com include:sendgrid.net ~all"

Trzy rzeczy do zapamiętania:

• v=spf1 — zawsze wymagane, znacznik wersji.
• include: — wskazuje na własny SPF twojego dostawcy poczty lub nadawcy transakcyjnego. Każdy dostawca mówi ci, której wartości użyć.
• ~all — polityka dla wszystkich innych. Używaj ~all (softfail) podczas testowania, -all (hardfail) po ustabilizowaniu.

Limit: 10 zapytań DNS. Każde include: się liczy. Zbyt wielu dostawców po cichu psuje SPF. Jeśli osiągniesz limit, użyj flattenera SPF, np. w EasyDMARC, Postmark lub Cloudflare.

DKIM — podpis

DKIM podpisuje każdą wychodzącą wiadomość kluczem prywatnym na serwerze poczty i publikuje pasujący klucz publiczny w DNS:

selector1._domainkey.twojadomena.pl.  IN TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkq..."

Każdy dostawca ma swój własny selektor (selector1, google, k1 itd.). Postępuj dokładnie według instrukcji dostawcy — generuje on dokładną wartość do wklejenia. Możesz mieć wiele rekordów DKIM, po jednym na dostawcę, obok siebie.

DMARC — twoja polityka

Startowy rekord DMARC:

_dmarc.twojadomena.pl.  IN TXT  "v=DMARC1; p=none; rua=mailto:dmarc@twojadomena.pl; pct=100; adkim=s; aspf=s"

Kluczowe pola:

• p=none — otrzymuj raporty, nie podejmuj działania. Zawsze zacznij tutaj.
• p=quarantine — poczta niespełniająca wymagań trafia do spamu.
• p=reject — poczta niespełniająca wymagań jest odrzucana. Cel docelowy.
• rua=mailto:... — dzienne raporty zagregowane. Wczytaj je w darmowy czytnik, np. Postmark DMARC Digests lub dmarcian.

Bezpieczne wdrożenie etapowe

1. Dodaj SPF i DKIM dla każdego legalnego nadawcy (dostawca skrzynki, nadawca transakcyjny, narzędzie marketingowe, helpdesk).
2. Opublikuj DMARC z p=none. Poczekaj 2–4 tygodnie, czytając raporty zagregowane.
3. Gdy wszystkie legalne źródła są spójne (brak linii „fail" z własnych usług), przejdź na p=quarantine.
4. Po kolejnych 2–4 tygodniach czystych raportów przejdź na p=reject.

To wdrożenie etapowe stosuje każde duże przedsiębiorstwo. Przejście od razu do p=reject działa — aż do dnia, gdy marketing kupi nowe narzędzie i e-maile przestają przechodzić. A wtedy to już pożar.

Typowe błędy

• Dwa rekordy SPF na tej samej nazwie hosta — nie sumują się, wzajemnie się anulują. Zawsze łącz je w jeden.
• Zapominanie o dodaniu SPF/DKIM dla nadawcy marketingowego (Mailchimp, Brevo, HubSpot). Wysyłają też pod twoją domeną.
• Zła polityka subdomeny w DMARC (sp=) — jeśli masz p=reject, ale bez sp=, subdomeny dziedziczą łagodną politykę. Bądź precyzyjny(-a).
• Używanie ?all w SPF. To de facto „brak polityki" — serwery to ignorują.

Jak Scanthra to sprawdza

Nasz moduł Email Security wykonuje pasywne zapytania DNS dla SPF, DKIM (popularne selektory) i DMARC. Oznaczamy brakujące rekordy, słabe polityki (p=none po upływie okresu tolerancji), przepełnienie liczby zapytań SPF i rekordy SPF z ?all lub +all. Zobaczysz dokładną lukę w swoim raporcie PDF.