Wysłanie listu do skrzynki odbiorcy nie zawsze jest takie proste. Pomiędzy Tobą a odbiorcą stoi wiele filtrów i kontroli bezpieczeństwa. Trzy mechanizmy — SPF, DKIM i DMARC — są dziś niezbędne do tego, aby Twoje maile trafiały do folderu Inbox, a nie do Spamu. Jeśli chcesz wysyłać profesjonalne kampanie mailing, musisz zrozumieć, jak działają. W tym poradniku wyjaśniamy każdy z nich prostymi słowami.
Co to jest SPF (Sender Policy Framework)?
SPF to prosty mechanizm, który pozwala Ci zadeklarować, które serwery mailowe mogą wysyłać maile od Twojej domeny. Pracuje poprzez rekord TXT w strefie DNS.
Kiedy dostawca poczty odbiorcy (np. Gmail, WP.pl, Onet) otrzymuje wiadomość od Ciebie, sprawdza rekord SPF Twojej domeny i pyta: „Czy adres IP, z którego przyszła ta wiadomość, jest autoryzowany?" Jeśli tak — sprawdzenie przechodzi. Jeśli nie — wiadomość może zostać odrzucona lub wysłana do spamu.
Przykład rekordu SPF:
v=spf1 include:mail-esp-1.example include:mail-esp-2.example ~allTen rekord mówi: „Od mojej domeny mogą wysyłać dostawcy email-marketingu, a dla pozostałych (soft fail — ~all) nie gwarantujemy, ale tolerujemy."
Co to jest DKIM (DomainKeys Identified Mail)?
DKIM idzie dalej niż SPF. Zamiast sprawdzać tylko pochodzenie, dodaje cyfrowy podpis do każdej wysyłanej wiadomości. Ten podpis pochodzi z klucza prywatnego przechowywanego na Twoim serwerze mailowym.
Dostawca poczty odbiorcy ma dostęp do klucza publicznego (również w DNS) i może zweryfikować, czy podpis jest prawidłowy. Jeśli ktoś zmieni treść maila po drodze, podpis stanie się nieprawidłowy. To zapobiega podszywaniu się i phishingowi.
DKIM jest bardziej skomplikowany do konfiguracji niż SPF, ale zapewnia silniejszą ochronę. Większość dostawców poczty (Gmail, Yahoo, lokalne polskie serwisy takie jak WP.pl czy Onet) oczekuje, że poważne nadawcy mają DKIM.
Co to jest DMARC (Domain-based Message Authentication, Reporting & Conformance)?
DMARC to polityka, którą umieszczasz w DNS i która mówi filtrom poczty: „Co powinieneś zrobić, jeśli SPF lub DKIM się nie powiedzie?"
DMARC ma trzy główne polityki:
p=none— bez działania, ale przesyłaj nam raporty (rekomendacja na start)p=quarantine— wyślij podejrzane maile do folderu Spam, nie odrzucajp=reject— całkowicie odrzuć maile, które nie przeszły uwierzytelniania (najlepiej dla dojrzałych nadawców)
Ponadto DMARC wspiera wymóg „jeden klik, aby się odsubskrybować" — jest to wymóg Google i Yahoo od lutego 2024 r. i dotyczy każdego, kto wysyła maile reklamowe do tych dostawców.
Dlaczego wszystkie trzy są ważne?
Gmail, Yahoo i inne duże dostawcy poczty oczekują dziś, aby wszystkie trzy mechanizmy były prawidłowo skonfigurowane. To część wymogów, które weszły w życie od lutego 2024 r. Nadawcy, którzy nie spełniają tych warunków, doświadczają:
- Wyższych wskaźników spam-ratio (maile trafiają do folderu Spam zamiast Inbox)
- Powolniejszego treningu filtrów (sztuczna inteligencja ma trudności z klasyfikacją)
- Możliwego całkowitego zablokowania przez filtry (szczególnie dla nowych domen bez historii)
W Polsce dostawcy takie jak WP.pl, Onet, Interia i o2.pl są znani z konserwatywnych podejść do reputacji. Nawet jeśli masz prawidłowo ustawiony SPF/DKIM/DMARC, nowa domena bez historii może trafić do spamu. Dlatego oprócz konfiguracji trzeba również stopniowo rozgrzewać domenę (wysyłać mniejsze ilości w pierwszych tygodniach).
Jak sprawdzić swoje rekordy?
Możesz sprawdzić, czy Twoje rekordy SPF, DKIM i DMARC są prawidłowo ustawione, korzystając z kilku metod:
- Narzędzia online do sprawdzania SPF/DKIM/DMARC: Wyszukaj „SPF checker" lub „DKIM validator" — większość z nich bezpłatnie pokaże, czy Twoje rekordy są prawidłowe.
- Postmaster Tools od Google: Jeśli wysyłasz do użytkowników Gmaila, zarejestruj domenę w Google Postmaster Tools — zobaczysz raporty SPF/DKIM/DMARC i wskaźniki spam-ratio.
- Darmowy test dostarczalności: Nasze narzędzie do testowania dostarczalności pozwala wysłać testowy mail na kilkadziesiąt seed-adresów u różnych dostawców (Gmail, WP.pl, Outlook itd.). Zobaczysz dokładnie, gdzie trafił mail, jaki był wynik SPF/DKIM/DMARC i jak wygląda w prawdziwej skrzynce odbiorcy.
Podsumowanie
SPF, DKIM i DMARC to trzy filarowe mechanizmy nowoczesnego email-marketingu. Razem tworzą łańcuch zaufania pomiędzy Tobą a dostawcą poczty odbiorcy:
- SPF mówi: „Ten adres IP jest autoryzowany do wysyłania od mojej domeny"
- DKIM mówi: „Podpisuję każdy mail cyfrowo, aby zapobiec podszywaniu się"
- DMARC mówi: „Jeśli coś pójdzie nie tak, zablokuj lub wyślij do spamu, a mnie powiedzcie"
Jeśli chcesz wysyłać skuteczne maile (szczególnie do polskich dostawców takich jak Gmail, WP.pl czy Onet), musisz mieć wszystkie trzy skonfigurowane. To nie jest opcjonalne — to standard branżowy.
Czy mogę wysyłać maile bez SPF/DKIM/DMARC?
Ile czasu zajmuje konfiguracja SPF/DKIM/DMARC?
Co to znaczy „soft fail" (~all) i „hard fail" (-all) w SPF?
~all oznacza soft fail — jeśli adres IP nie pasuje do listy autoryzowanych, dostawca poczty może zaakceptować mail, ale zaznaczy go jako podejrzany. -all oznacza hard fail — jeśli IP nie pasuje, dostawca poczty powinien odrzucić mail bez względu na nic. Większość nadawców zaczyna od ~all (bezpieczniej), a przechodzi na -all dopiero po kilku miesiącach, kiedy pewni są, że wszystkie autoryzowane adresy IP są poprawnie wymienione w rekordzie.