Prawie każdy problem z pocztą, który trafia do mnie na audyt, sprowadza się do jednego: brak albo błędna konfiguracja trzech mechanizmów uwierzytelniania nadawcy. SPF, DKIM i DMARC to nie ezoteryka dla adminów, tylko podstawa tego, czy Wasze maile w ogóle docierają i czy ktoś może się pod Was podszyć. Wyjaśniam je po kolei, a potem pokazuję, jak wdrożyć je bez strzelania sobie w stopę.

Dlaczego to w ogóle działa

Protokół poczty powstał w czasach, gdy nikt nie zakładał oszustw. Domyślnie każdy serwer może wysłać maila w imieniu dowolnej domeny. SPF, DKIM i DMARC to warstwa zaufania dołożona później, która pozwala serwerowi odbiorcy sprawdzić, czy wiadomość naprawdę pochodzi z uprawnionego źródła. Bez nich firmowa domena jest łatwym celem do podszywania, a maile lądują w spamie, bo nic nie potwierdza ich autentyczności.

SPF, czyli kto może wysyłać w Twoim imieniu

SPF (Sender Policy Framework) to lista serwerów uprawnionych do wysyłania poczty z Twojej domeny. Publikujesz ją jako rekord TXT w DNS. Serwer odbiorcy sprawdza, czy adres nadawcy jest na liście.

Kilka zasad, które ratują przed typowymi błędami:

  • Jeden rekord SPF na domenę. Dwa rekordy to błąd, który unieważnia oba.
  • Limit dziesięciu odwołań DNS. Przekroczenie powoduje odrzucenie SPF. Uważaj na łańcuchy include do wielu usług.
  • Zakończenie polityki. Stosuj -all (twarde odrzucenie) lub ~all (miękkie). Otwarte +all otwiera domenę dla każdego.
  • Uwzględnij wszystkich nadawców. Poczta główna, systemy wysyłkowe, CRM, formularze na stronie.

DKIM, czyli podpis wiadomości

DKIM (DomainKeys Identified Mail) dokłada do maila kryptograficzny podpis. Serwer wysyłający podpisuje wiadomość kluczem prywatnym, a odbiorca weryfikuje go kluczem publicznym opublikowanym w DNS. Jeśli podpis się zgadza, wiadomość nie została zmieniona po drodze i naprawdę pochodzi z tej domeny.

W praktyce włączasz DKIM w panelu dostawcy poczty, który generuje parę kluczy i podaje rekord do wpisania w DNS. Warto używać kluczy o długości co najmniej 2048 bitów i pamiętać o rotacji klucza co jakiś czas.

DMARC, czyli reguła i raporty

DMARC (Domain-based Message Authentication) spina SPF i DKIM w jedną politykę. Mówi serwerowi odbiorcy, co zrobić z mailem, który nie przejdzie weryfikacji, i pozwala zbierać raporty o tym, kto wysyła w imieniu Twojej domeny.

Polityka DMARC ma trzy poziomy, które wdraża się stopniowo:

  1. p=none. Nic nie blokujesz, tylko zbierasz raporty. Punkt startowy.
  2. p=quarantine. Podejrzane maile trafiają do spamu.
  3. p=reject. Maile, które nie przejdą weryfikacji, są odrzucane. Cel docelowy.

Największy błąd, jaki widuję, to ustawienie od razu p=reject bez etapu obserwacji. Firma odcina wtedy własne systemy wysyłkowe, o których zapomniała, i przez tydzień nie rozumie, czemu faktury nie docierają. Zawsze zaczynaj od p=none i czytaj raporty.

Kolejność wdrożenia, która nie boli

Kolejność ma znaczenie. Zrobiona odwrotnie potrafi na kilka dni zablokować firmową pocztę.

  1. Zinwentaryzuj wszystkie źródła wysyłki: pocztę, CRM, newslettery, formularze, systemy fakturowe.
  2. Skonfiguruj SPF tak, by obejmował je wszystkie, na razie z ~all.
  3. Włącz DKIM u każdego dostawcy, który go obsługuje.
  4. Opublikuj DMARC z p=none i adresem do raportów.
  5. Przez dwa do czterech tygodni analizuj raporty i domykaj brakujących nadawców.
  6. Zaostrz SPF do -all, a DMARC przesuń przez quarantine do reject.

Jeśli firma korzysta z chmury Microsoft, część tej pracy upraszcza wdrożenie Microsoft 365, bo DKIM i wskazówki do SPF są tam dobrze udokumentowane. Przy wysyłce masowej, newsletterach i systemach transakcyjnych warto oprzeć się o dedykowane serwery do mailingu, które dbają o reputację adresów nadawczych.

BIMI, czyli krok po DMARC

Kiedy DMARC działa już w trybie egzekwowania, otwiera się droga do BIMI (Brand Indicators for Message Identification). To mechanizm, który pozwala wyświetlić logo firmy przy Twoich mailach w skrzynce odbiorcy. Nie jest to konieczne do dostarczalności, ale działa na wiarygodność i rozpoznawalność marki. Warunkiem jest właśnie poprawnie wdrożony DMARC z polityką quarantine lub reject, a w części usług także zweryfikowany certyfikat marki. Traktuj BIMI jako nagrodę za porządek w uwierzytelnianiu, a nie punkt wyjścia.

Co jeszcze wpływa na dostarczalność

Trzy rekordy to fundament, ale nie całość układanki. Nawet przy poprawnej konfiguracji maile potrafią wpadać do spamu, jeśli zaniedbasz resztę.

  • Reputacja adresu IP i domeny. Buduje się miesiącami, a psuje w kilka dni przez wysyłkę do nieaktualnej bazy.
  • Jakość listy odbiorców. Wysyłka na martwe adresy i skargi na spam obniżają reputację nadawcy.
  • Treść wiadomości. Same wielkie litery, podejrzane załączniki i skracacze linków podnoszą ocenę spamową.
  • Rekord PTR. Odwrotny wpis DNS dla serwera wysyłkowego, którego brak od razu obniża zaufanie.

Częste pułapki

  • Dodanie nowego systemu wysyłkowego bez aktualizacji SPF, przez co jego maile wpadają do spamu.
  • Zapomniana subdomena, z której też wychodzi poczta.
  • Brak monitoringu raportów DMARC, więc nikt nie zauważa prób podszywania.
  • Zbyt niski limit DNS w SPF po dodaniu kolejnych usług.

SPF, DKIM i DMARC to konfiguracja, którą ustawia się raz porządnie i potem tylko pilnuje przy zmianach. Efekt jest wymierny: lepsza dostarczalność i domena odporna na podszywanie. Jeśli chcesz mieć pewność, że wszystkie trzy rekordy są ustawione poprawnie i obejmują każdego nadawcę, pomożemy przejść przez audyt konfiguracji i wdrożyć DMARC bez ryzyka odcięcia własnej poczty.