SPF, DKIM i DMARC krok po kroku - jak skonfigurować uwierzytelnianie maila

Dostarczalność cold mailingu

SPF, DKIM i DMARC to trzy rekordy DNS, które razem decydują, czy Twój mail trafi do skrzynki odbiorczej, do folderu spam czy w ogóle zostanie odrzucony. Jeśli prowadzisz cold mailing B2B i nie masz tych trzech rekordów skonfigurowanych poprawnie, możesz wysyłać najlepsze treści świata - i tak osiągniesz dostarczalność na poziomie 30-40 procent.

Gmail i Microsoft 365 od 2024 roku obowiązkowo wymagają DMARC dla każdego nadawcy wysyłającego ponad 5 000 maili dziennie. W praktyce to oznacza, że bez tych trzech rekordów cold mailing po prostu nie działa.

W artykule wyjaśnimy, czym jest SPF, DKIM i DMARC, jak je skonfigurować krok po kroku w Google Workspace, Microsoft 365 i własnym serwerze SMTP, jak sprawdzić poprawność konfiguracji i jakie błędy najczęściej widzimy u klientów.

Konfiguracja SPF DKIM DMARC to fundament dostarczalnosci kazdej kampanii cold mailingowej - bez tych trzech rekordow DNS Twoje maile koncza w spamie. W tym artykule pokazemy jak skonfigurowac SPF DKIM DMARC krok po kroku.

Czym jest SPF (Sender Policy Framework)

SPF to rekord DNS typu TXT, który mówi serwerom pocztowym: „te konkretne adresy IP mogą wysyłać maile w imieniu mojej domeny - inne nie". Cel: walka ze spoofingiem, czyli sytuacją, w której ktoś podszywa się pod Twoją domenę przy wysyłce złośliwych maili.

Działa to prosto. Kiedy serwer odbiorcy dostaje mail od jan@twoja-firma.pl, sprawdza w DNS rekord SPF dla domeny twoja-firma.pl. Jeśli IP, z którego mail został wysłany, znajduje się na liście dozwolonych - SPF passed. Jeśli nie - SPF failed, i serwer może odrzucić mail lub przekierować do spamu.

Przykładowy rekord SPF

v=spf1 include:_spf.google.com include:sendgrid.net ip4:185.123.45.67 -all

Co oznaczają poszczególne elementy:

• v=spf1 - wersja protokołu SPF (zawsze 1, inne nie istnieją).
• include:_spf.google.com - autoryzujesz serwery Google Workspace do wysyłki w Twoim imieniu.
• include:sendgrid.net - jeśli używasz SendGrid (lub innego ESP), dodajesz jego SPF.
• ip4:185.123.45.67 - konkretny adres IP własnego serwera SMTP.
• -all - fail: wszystkie inne IP są nieautoryzowane (twardo odrzuć).

Najczęstsze błędy SPF

• Brak rekordu SPF - serwery odbiorcy nie mogą zweryfikować nadawcy, mail wpada w spam.
• Dwa rekordy SPF dla jednej domeny - RFC dopuszcza tylko jeden TXT rozpoczynający się od v=spf1. Drugi unieważnia oba.
• Za dużo include: - SPF ma limit 10 zapytań DNS. Po 10 walidacja kończy się permerror.
• +all zamiast -all - +all oznacza „wszystkie IP są OK", co zabija sens SPF.

Czym jest DKIM (DomainKeys Identified Mail)

DKIM to mechanizm podpisu cyfrowego maila. Działa jak pieczęć: każda wiadomość wychodząca z Twojego serwera dostaje kryptograficzny podpis w nagłówku, a serwer odbiorcy weryfikuje go przy użyciu klucza publicznego opublikowanego w DNS.

Jeśli treść maila po drodze została zmieniona (np. ktoś przerobił link), podpis się nie zgodzi i serwer odbiorcy oznaczy mail jako niewiarygodny.

Jak DKIM wygląda w DNS

Rekord DKIM jest typu TXT, ma format selector._domainkey.twoja-firma.pl i zawiera klucz publiczny:

google._domainkey.twoja-firma.pl    TXT    "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUA..."

• v=DKIM1 - wersja DKIM.
• k=rsa - algorytm szyfrowania (RSA).
• p=... - klucz publiczny.
• google - selector (każdy dostawca ma własny: google dla Workspace, selector1 dla Microsoft 365).

Jak wygenerować DKIM

1. Google Workspace - panel admina, Apps -> Google Workspace -> Gmail -> Authenticate email. Wybierz domenę, kliknij Generate new record. Klucz 2048 bit. Dodaj rekord do DNS, poczekaj 24h, kliknij Start authentication.
2. Microsoft 365 - security.microsoft.com -> Email & collaboration -> Policies & rules -> Threat policies -> DKIM. Wybierz domenę, włącz, skopiuj rekordy CNAME (Microsoft używa CNAME zamiast TXT).
3. Własny serwer (Postfix + OpenDKIM) - instalujesz opendkim, generujesz parę kluczy, dodajesz public key do DNS, podłączasz OpenDKIM do Postfixa przez milter.

Czym jest DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC to nadrzędna polityka, która łączy SPF i DKIM. Mówi serwerowi odbiorcy: „co zrobić, jeśli SPF lub DKIM zawiodą". Daje też reporting - dostajesz mailem raporty o tym, kto i z jakich IP wysyła maile w imieniu Twojej domeny.

Trzy polityki DMARC

• p=none - tylko monitoruj, nie blokuj. Używaj na początku do nauki.
• p=quarantine - jeśli SPF/DKIM zawiodą, wrzuć mail do spamu.
• p=reject - twardo odrzuć mail. Stosuj po 2-3 miesiącach quarantine, gdy raporty pokazują 100% legitnych wysyłek.

Przykładowy rekord DMARC

_dmarc.twoja-firma.pl    TXT    "v=DMARC1; p=quarantine; rua=mailto:dmarc@twoja-firma.pl; ruf=mailto:dmarc@twoja-firma.pl; fo=1; sp=quarantine"

• p=quarantine - polityka dla głównej domeny.
• rua=mailto:... - adres na raporty agregowane (codzienne podsumowania).
• ruf=mailto:... - adres na raporty failure (każdy nieudany mail osobno).
• sp=quarantine - polityka dla subdomen.
• fo=1 - generuj raport jeśli SPF lub DKIM zawiodą.

Jak sprawdzić poprawność SPF, DKIM i DMARC

Cztery sposoby na weryfikację konfiguracji:

1. MXToolbox - mxtoolbox.com/SuperTool. Wpisz domenę, wybierz SPF/DKIM/DMARC, dostaniesz pełną analizę.
2. mail-tester.com - wysyłasz testowy mail na podany adres, dostajesz wynik 0-10 wraz z listą problemów.
3. Google Postmaster Tools - postmaster.google.com. Po dodaniu domeny widzisz statystyki dostarczalności do Gmail.
4. Raporty DMARC - codzienne XML-e przychodzące na adres z rua=. Możesz je parsować przez dmarcian.com lub Postmark Analytics.

Najczęstsze błędy w konfiguracji

1. Klient ma SPF ale brak DKIM

Spotykamy to u 60% nowych klientów cold mailingu. Ktoś kiedyś dodał rekord SPF, ale o DKIM nikt nie pamięta. Skutek: Gmail oznacza maile jako „nie do końca zweryfikowane", dostarczalność jest gorsza, a po wprowadzeniu DMARC=reject połowa wiadomości po prostu znika.

2. DMARC ustawiony za ostry zbyt szybko

Klient czyta poradnik, ustawia od razu p=reject, a jego booking system z innej domeny zaczyna nie dostarczać potwierdzeń rezerwacji. Zawsze zacznij od p=none przez 30 dni, potem quarantine.

3. Brak wsparcia dla subdomen

Wysyłasz cold mailing z newsletter.twoja-firma.pl, ale SPF/DKIM/DMARC masz tylko na twoja-firma.pl. Skutek: każdy mail z subdomeny przechodzi przez DMARC dziedziczone (sp=) - jeśli nie jest dobrze ustawione, wszystko leci do spamu.

FAQ - dostarczalność cold mailingu

Czy wystarczy sam SPF?
Nie. Od 2024 r. Google i Microsoft wymagają DMARC. SPF bez DKIM i DMARC to dziurawa ochrona.

Ile czasu trzeba czekać po dodaniu rekordów DNS?
Typowo 4-48 godzin na propagację. Zanim zaczniesz kampanię, sprawdź MXToolbox.

Czy DKIM trzeba zmieniać co jakiś czas?
Tak - rekomendowana rotacja co 6-12 miesięcy. Google Workspace robi to półautomatycznie.

Co zrobić jeśli mam wielu dostawców ESP?
Każdy musi mieć DKIM ze swoim selectorem (np. google._domainkey, sendgrid._domainkey). SPF łączysz w jeden rekord z wieloma include:.

Co dalej - audyt SPF DKIM DMARC Twojej domeny

Konfiguracja SPF, DKIM i DMARC to absolutna podstawa przed uruchomieniem kampanii cold mailingowej. Bez tego dostarczalność spada do 30-40%, a przy DMARC=reject u odbiorcy maile w ogóle nie dochodzą.

W 444data konfigurujemy SPF/DKIM/DMARC jako część usługi Cold mailing B2B - pomagamy dobrać dostawcę skrzynek, ustawić rekordy DNS, rozgrzać skrzynkę (mailbox warmup) i przygotować sekwencję maili. Wysyłkę uruchamiasz samodzielnie ze swojego konta - my pracujemy na backendzie.

Powiązane: Baza CEIDG - świeże firmy B2B, Weryfikacja e-maili przed wysyłką.