Podstawy8 min czytania

SPF, DKIM i DMARC — co to jest?

Trzy fundamentalne mechanizmy ochrony poczty elektronicznej. Poznaj ich rolę w poprawie dostarczalności Twoich listów i spełnieniu wymogów największych dostawców.

Wysłanie listu do skrzynki odbiorcy nie zawsze jest takie proste. Pomiędzy Tobą a odbiorcą stoi wiele filtrów i kontroli bezpieczeństwa. Trzy mechanizmy — SPF, DKIM i DMARC — są dziś niezbędne do tego, aby Twoje maile trafiały do folderu Inbox, a nie do Spamu. Jeśli chcesz wysyłać profesjonalne kampanie mailing, musisz zrozumieć, jak działają. W tym poradniku wyjaśniamy każdy z nich prostymi słowami.

SPFAutoryzuje adresy IP uprawnione do wysyłania od Twojej domenyDKIMCyfrowo podpisuje treść maila, zapobiegając zmianom w drodzeDMARCInstruuje filtry, co robić w przypadku niepowodzenia SPF lub DKIM
Trzy filary uwierzytelniania email: SPF weryfikuje IP, DKIM podpisuje wiadomość, DMARC określa zasady

Co to jest SPF (Sender Policy Framework)?

SPF to prosty mechanizm, który pozwala Ci zadeklarować, które serwery mailowe mogą wysyłać maile od Twojej domeny. Pracuje poprzez rekord TXT w strefie DNS.

Kiedy dostawca poczty odbiorcy (np. Gmail, WP.pl, Onet) otrzymuje wiadomość od Ciebie, sprawdza rekord SPF Twojej domeny i pyta: „Czy adres IP, z którego przyszła ta wiadomość, jest autoryzowany?" Jeśli tak — sprawdzenie przechodzi. Jeśli nie — wiadomość może zostać odrzucona lub wysłana do spamu.

Przykład rekordu SPF:

v=spf1 include:mail-esp-1.example include:mail-esp-2.example ~all

Ten rekord mówi: „Od mojej domeny mogą wysyłać dostawcy email-marketingu, a dla pozostałych (soft fail — ~all) nie gwarantujemy, ale tolerujemy."

Co to jest DKIM (DomainKeys Identified Mail)?

DKIM idzie dalej niż SPF. Zamiast sprawdzać tylko pochodzenie, dodaje cyfrowy podpis do każdej wysyłanej wiadomości. Ten podpis pochodzi z klucza prywatnego przechowywanego na Twoim serwerze mailowym.

Dostawca poczty odbiorcy ma dostęp do klucza publicznego (również w DNS) i może zweryfikować, czy podpis jest prawidłowy. Jeśli ktoś zmieni treść maila po drodze, podpis stanie się nieprawidłowy. To zapobiega podszywaniu się i phishingowi.

DKIM jest bardziej skomplikowany do konfiguracji niż SPF, ale zapewnia silniejszą ochronę. Większość dostawców poczty (Gmail, Yahoo, lokalne polskie serwisy takie jak WP.pl czy Onet) oczekuje, że poważne nadawcy mają DKIM.

Co to jest DMARC (Domain-based Message Authentication, Reporting & Conformance)?

DMARC to polityka, którą umieszczasz w DNS i która mówi filtrom poczty: „Co powinieneś zrobić, jeśli SPF lub DKIM się nie powiedzie?"

DMARC ma trzy główne polityki:

  • p=none — bez działania, ale przesyłaj nam raporty (rekomendacja na start)
  • p=quarantine — wyślij podejrzane maile do folderu Spam, nie odrzucaj
  • p=reject — całkowicie odrzuć maile, które nie przeszły uwierzytelniania (najlepiej dla dojrzałych nadawców)

Ponadto DMARC wspiera wymóg „jeden klik, aby się odsubskrybować" — jest to wymóg Google i Yahoo od lutego 2024 r. i dotyczy każdego, kto wysyła maile reklamowe do tych dostawców.

Dlaczego wszystkie trzy są ważne?

Gmail, Yahoo i inne duże dostawcy poczty oczekują dziś, aby wszystkie trzy mechanizmy były prawidłowo skonfigurowane. To część wymogów, które weszły w życie od lutego 2024 r. Nadawcy, którzy nie spełniają tych warunków, doświadczają:

  • Wyższych wskaźników spam-ratio (maile trafiają do folderu Spam zamiast Inbox)
  • Powolniejszego treningu filtrów (sztuczna inteligencja ma trudności z klasyfikacją)
  • Możliwego całkowitego zablokowania przez filtry (szczególnie dla nowych domen bez historii)

W Polsce dostawcy takie jak WP.pl, Onet, Interia i o2.pl są znani z konserwatywnych podejść do reputacji. Nawet jeśli masz prawidłowo ustawiony SPF/DKIM/DMARC, nowa domena bez historii może trafić do spamu. Dlatego oprócz konfiguracji trzeba również stopniowo rozgrzewać domenę (wysyłać mniejsze ilości w pierwszych tygodniach).

Jak sprawdzić swoje rekordy?

Możesz sprawdzić, czy Twoje rekordy SPF, DKIM i DMARC są prawidłowo ustawione, korzystając z kilku metod:

  1. Narzędzia online do sprawdzania SPF/DKIM/DMARC: Wyszukaj „SPF checker" lub „DKIM validator" — większość z nich bezpłatnie pokaże, czy Twoje rekordy są prawidłowe.
  2. Postmaster Tools od Google: Jeśli wysyłasz do użytkowników Gmaila, zarejestruj domenę w Google Postmaster Tools — zobaczysz raporty SPF/DKIM/DMARC i wskaźniki spam-ratio.
  3. Darmowy test dostarczalności: Nasze narzędzie do testowania dostarczalności pozwala wysłać testowy mail na kilkadziesiąt seed-adresów u różnych dostawców (Gmail, WP.pl, Outlook itd.). Zobaczysz dokładnie, gdzie trafił mail, jaki był wynik SPF/DKIM/DMARC i jak wygląda w prawdziwej skrzynce odbiorcy.
Wskazówka: testuj przed wysłaniem kampanii
Zawsze przetestuj swoje rekordy SPF, DKIM i DMARC na małej próbce adresów testowych przed wysłaniem dużej kampanii. Jeśli coś jest nie tak, duża liczba maili trafiających do spamu zniszczy reputację domeny na długo. Nasze darmowe narzędzie pozwala to zrobić w kilka minut bez rejestracji.

Podsumowanie

SPF, DKIM i DMARC to trzy filarowe mechanizmy nowoczesnego email-marketingu. Razem tworzą łańcuch zaufania pomiędzy Tobą a dostawcą poczty odbiorcy:

  • SPF mówi: „Ten adres IP jest autoryzowany do wysyłania od mojej domeny"
  • DKIM mówi: „Podpisuję każdy mail cyfrowo, aby zapobiec podszywaniu się"
  • DMARC mówi: „Jeśli coś pójdzie nie tak, zablokuj lub wyślij do spamu, a mnie powiedzcie"

Jeśli chcesz wysyłać skuteczne maile (szczególnie do polskich dostawców takich jak Gmail, WP.pl czy Onet), musisz mieć wszystkie trzy skonfigurowane. To nie jest opcjonalne — to standard branżowy.

Czy mogę wysyłać maile bez SPF/DKIM/DMARC?

Technicznie — tak, ale maile będą regularnie trafiać do spamu, szczególnie u dużych dostawców takich jak Gmail czy lokalne serwisy (WP.pl, Onet). Od lutego 2024 r. Gmail i Yahoo wymagają co najmniej SPF i DKIM dla maili zbiorczych. Nowe domeny bez tych mechanizmów będą blokowane lub ograniczane. Nie polecamy zaniedbywania konfiguracji — to mały wysiłek na początek, a zaoszczędzony ból głowy jest ogromny.

Ile czasu zajmuje konfiguracja SPF/DKIM/DMARC?

SPF to zwykle 5–10 minut. DKIM zajmuje nieco więcej czasu (20–30 minut), ponieważ trzeba wygenerować parę kluczy i dodać je do DNS. DMARC to zaledwie kilka minut. Czasami czekanie na propagację zmian w DNS zajmuje więcej czasu niż sama konfiguracja — zwykle 15 minut do kilku godzin. Jeśli masz dostęp do panelu DNS dostawcy, możesz to zrobić samodzielnie; jeśli nie, poproś administratora sieci lub dostawcę hostingu.

Co to znaczy „soft fail" (~all) i „hard fail" (-all) w SPF?

W SPF ~all oznacza soft fail — jeśli adres IP nie pasuje do listy autoryzowanych, dostawca poczty może zaakceptować mail, ale zaznaczy go jako podejrzany. -all oznacza hard fail — jeśli IP nie pasuje, dostawca poczty powinien odrzucić mail bez względu na nic. Większość nadawców zaczyna od ~all (bezpieczniej), a przechodzi na -all dopiero po kilku miesiącach, kiedy pewni są, że wszystkie autoryzowane adresy IP są poprawnie wymienione w rekordzie.
Powiązane artykuły
Found this useful? Share it
AB
O autorze
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Sprawdź dostarczalność u ponad 20 dostawców

Gmail, Outlook, WP, Onet, Interia, GMX, ProtonMail i inne. Prawdziwe zrzuty skrzynki odbiorczej, SPF/DKIM/DMARC, werdykty filtrów antyspamowych. Za darmo, bez rejestracji.

Uruchom darmowy test →

Testy bez limitu · Ponad 20 skrzynek · Wyniki na żywo · Bez konta