Pytanie „ile firm ma poprawnie ustawiony SPF i DKIM?" brzmi technicznie, ale leży u podstaw dostarczalności e-maili. Czy wiesz, że poczta bez prawidłowej autentykacji nie dociera do powiększości skrzynek — nie tylko w Polsce, ale na całym świecie? Co gorsza, Gmail i Yahoo od lutego 2024 roku nie negotiują: SPF i DKIM to obowiązek dla każdego, kto wysyła hurtowo.
Postanowiliśmy sprawdzić rzeczywisty stan rzeczy. Korzystając z danych z skanów mailowych Tranco top-1M domeny, analizujemy, ile polskich firm faktycznie ma poprawnie skonfigurowaną autentykację — i dlaczego luka jest wciąż duża.
Czym jest SPF i DKIM — szybkie wyjaśnienie
SPF (Sender Policy Framework) i DKIM (DomainKeys Identified Mail) to dwa elementy trójkąta autentykacji poczty. Pracują razem z DMARC-em, aby powiedzieć skrzynce odbiorcy: „Tak, ta wiadomość rzeczywiście pochodzi od nas i można jej ufać".
SPF to wpis w DNS, który mówi: „Oto adresy IP, które mogą wysyłać maile z naszej domeny". DKIM to kryptograficzny podpis każdej wiadomości — odbiornik sprawdza go przeciwko kluczowi publicznemu w DNS Twojej domeny.
Gdy obie metody zawiodą, DMARC decyduje, co się dzieje z e-mailem: czy trafia do spamu, czy jest blokowany całkowicie.
Dane z Polski: jak wygląda rzeczywistość?
Nasze skanowanie najczęściej odwiedzanych polskich domen pokazuje pewną, możliwie smutną prawdę: nie większość polskich firm ma poprawnie ustawioną autentykację. Szczegóły znajdziesz w naszej bazie danych email-stats, gdzie regularnie raportujemy adopcję SPF, DKIM, DMARC i BIMI.
Oczywiście, firmy większe i bardziej techniczne (e-commerce, media, usługi) zwykle mają to w porządku. Ale dla małych biur, sklepów na Shoperze czy stron na WordPress — konfiguracja SPF/DKIM to często nieznany problem, a skutek to: e-maile trafiają do spamu.
Dlaczego polskie firmy zaniedbują autentykację?
Przyczyn jest kilka:
- Brak świadomości. Wielu właścicieli małych firm nie zdaje sobie sprawy, że bez SPF/DKIM ich kampanie mogą nie dotrzeć. To jest poza ich radarem.
- Bariera techniczna. Dostęp do DNS, edycja wpisów MX, CNAME, TXT — to wymaga wiedzy lub wsparcia od helpdesku hostingowca. Dla osób bez tech-backgroundu to może być przytłaczające.
- Złe narzędzia lub brak konsultacji. Część firm korzysta z platformy taniej niż GetResponse (np. PrestaShop, WooCommerce bez SMTP-pluginu), która domyślnie wysyła z serwera hosta — i nikt im nie powiada, że trzeba skonfigurować DKIM.
- Czasowe procrastynowanie. Jeśli reklama „jakoś działa", to dlaczego coś zmieniać? Problem pojawia się dopiero, gdy Google lub dostawca (Allegro, WP.pl) zacyna blokować e-maile.
Wytyczne Google i Yahoo — od lutego 2024 to obowiązek
Google i Yahoo opublikowały wymagania dla nadawców hurtowych. W skrócie:
- SPF + DKIM = obowiązkowe
- DMARC = co najmniej p=none (lepiej p=quarantine lub p=reject)
- Częstość spamu poniżej 0,3% (mierzone w Postmaster Tools)
- One-click unsubscribe (RFC 8058) w każdym e-mailu marketingowym
To nie są rekomendacje. To warunki, bez których poczta zwyczajnie nie przechodzi. A skoro Gmail i Outlook stanowią znaczną część skrzynek polskich użytkowników, to de facto każda firma powinna je stosować.
Polskie dostawcy poczty: szczególnie surowe wobec reklamy z nowych domen
WP.pl, Onet, Interia, o2.pl — to rodzimi giganci, którzy mają moc filtracji. Ich algorytmy są zwyczajnie mniej tolerancyjne dla:
- Nowych domen bez historii reputacji
- Domen bez SPF/DKIM (nawet jeśli Gmail by je przepuścił)
- Treści, która wygląda jak masowa reklama (jeśli nie ma personalizacji czy ścieżek konwersji)
To oznacza, że polska firma mająca kampanię do bazy 10 000 adresów @wp.pl będzie walczyć wbrew prądowi, jeśli jej domena nie ma ustalonej reputacji oraz poprawnych rekordów DNS.
Jak sprawdzić swoją konfigurację i co zrobić, jeśli coś brakuje?
Kroki:
- Testuj teraz, darmo. Przejdź na check.live-direct-marketing.online, wpisz swoją domenę i wyślij przykładowy e-mail. System automatycznie sprawdzi SPF, DKIM, DMARC i pokaże screenshoty, jak Twój e-mail wygląda w prawdziwych skrzynkach (Gmail, WP.pl, Onet itp.) w trybie jasnym i ciemnym.
- Przejrzyj wynik. Szukaj czerwonych flag: brakujące rekordy DNS, błędy w składni, brakujący DMARC.
- Skontaktuj się z hostingiem lub administratorem DNS. Jeśli nie masz dostępu do panelu DNS, poproś support. Większość hostów (Nazwa.pl, OVH, Cloudflare) ma prosty interfejs do dodawania wpisów TXT.
- Dodaj wpisy SPF, DKIM i DMARC. Format znajdziesz w dokumentacji Twojego ESP lub poradniku hostingowca. Na przykład SPF wygląda tak:
v=spf1 include:sendgrid.net ~all(jeśli używasz SendGrid; inne ESP mają swoje include-y). - Czekaj 24–48 godzin na propagację DNS. Po dodaniu wpisów, propagacja może zająć czas.
- Testuj ponownie. Wyślij drugi test na check.live-direct-marketing.online i porównaj wynik. SPF powinno się zaokrąglić zieloną ikoną ✓.
Kompleksowość problemu: SPF/DKIM to zaledwie początek
Nawet jeśli masz SPF i DKIM, dostarczalność zależy również od:
- Reputacji IP (czy Twój serwer nie jest na blackliście RBL?)
- Historii domeny (czy ktoś nie wysyłał spama z Twojej domeny wcześniej?)
- Treści maila (słowa kluczowe takie jak „FREE", wiele linków, duże obrazy mogą być flagowane)
- Harmonogramu wysyłu (gwałtowny skok z 100 na 10 000 e-maili dziennie alertuje filtry)
- Wskaźników zaangażowania (open rate, click-through rate) — jeśli mała część osób otwiera i klika, filtr uczy się, że to spam
Ale SPF/DKIM są fundamentem. Bez nich, reszta to słabe fundamenty budynku.
Podsumowanie: stan polski — nie taki źle, ale jeszcze wiele do zrobienia
Polska, jako kraj o wysokim poziomie e-commerce i nowoczesnych usług cyfrowych, stoi przed wyzwaniem: część firm ma autentykację w porządku, ale zbyt wiele jeszcze jej zaniedbuje. Szczególnie małe firmy i freelancerzy.
Jeśli sam wysyłasz e-maile marketingowe (niezależnie od platformy), pamiętaj: SPF + DKIM są obowiązkowe — nie opcjonalne. Jeśli chcesz, żeby Twoje kampanie docierały do WP.pl, Onet i do skrzynek Gmail polskich odbiorców, musisz to ustawić.
A jeśli wciąż nie wiesz, czy masz to poprawnie? Testuj — za darmo, bez rejestracji. To 2 minuty, które mogą zmienić wyniki Twoich kampanii.
Czy SPF + DKIM wystarczą, żeby moje e-maile dotarły do inboxa?
Czy DMARC zastępuje SPF i DKIM?
Czy mogę użyć jednego SPF dla wielu domen lub subdomeny?
v=spf1 include:hubspot.com include:shopify.com ~all