Prawie każdy problem z pocztą, który trafia do mnie na audyt, sprowadza się do jednego: brak albo błędna konfiguracja trzech mechanizmów uwierzytelniania nadawcy. SPF, DKIM i DMARC to nie ezoteryka dla adminów, tylko podstawa tego, czy Wasze maile w ogóle docierają i czy ktoś może się pod Was podszyć. Wyjaśniam je po kolei, a potem pokazuję, jak wdrożyć je bez strzelania sobie w stopę.
Dlaczego to w ogóle działa
Protokół poczty powstał w czasach, gdy nikt nie zakładał oszustw. Domyślnie każdy serwer może wysłać maila w imieniu dowolnej domeny. SPF, DKIM i DMARC to warstwa zaufania dołożona później, która pozwala serwerowi odbiorcy sprawdzić, czy wiadomość naprawdę pochodzi z uprawnionego źródła. Bez nich firmowa domena jest łatwym celem do podszywania, a maile lądują w spamie, bo nic nie potwierdza ich autentyczności.
SPF, czyli kto może wysyłać w Twoim imieniu
SPF (Sender Policy Framework) to lista serwerów uprawnionych do wysyłania poczty z Twojej domeny. Publikujesz ją jako rekord TXT w DNS. Serwer odbiorcy sprawdza, czy adres nadawcy jest na liście.
Kilka zasad, które ratują przed typowymi błędami:
- Jeden rekord SPF na domenę. Dwa rekordy to błąd, który unieważnia oba.
- Limit dziesięciu odwołań DNS. Przekroczenie powoduje odrzucenie SPF. Uważaj na łańcuchy include do wielu usług.
- Zakończenie polityki. Stosuj -all (twarde odrzucenie) lub ~all (miękkie). Otwarte +all otwiera domenę dla każdego.
- Uwzględnij wszystkich nadawców. Poczta główna, systemy wysyłkowe, CRM, formularze na stronie.
DKIM, czyli podpis wiadomości
DKIM (DomainKeys Identified Mail) dokłada do maila kryptograficzny podpis. Serwer wysyłający podpisuje wiadomość kluczem prywatnym, a odbiorca weryfikuje go kluczem publicznym opublikowanym w DNS. Jeśli podpis się zgadza, wiadomość nie została zmieniona po drodze i naprawdę pochodzi z tej domeny.
W praktyce włączasz DKIM w panelu dostawcy poczty, który generuje parę kluczy i podaje rekord do wpisania w DNS. Warto używać kluczy o długości co najmniej 2048 bitów i pamiętać o rotacji klucza co jakiś czas.
DMARC, czyli reguła i raporty
DMARC (Domain-based Message Authentication) spina SPF i DKIM w jedną politykę. Mówi serwerowi odbiorcy, co zrobić z mailem, który nie przejdzie weryfikacji, i pozwala zbierać raporty o tym, kto wysyła w imieniu Twojej domeny.
Polityka DMARC ma trzy poziomy, które wdraża się stopniowo:
- p=none. Nic nie blokujesz, tylko zbierasz raporty. Punkt startowy.
- p=quarantine. Podejrzane maile trafiają do spamu.
- p=reject. Maile, które nie przejdą weryfikacji, są odrzucane. Cel docelowy.
Największy błąd, jaki widuję, to ustawienie od razu p=reject bez etapu obserwacji. Firma odcina wtedy własne systemy wysyłkowe, o których zapomniała, i przez tydzień nie rozumie, czemu faktury nie docierają. Zawsze zaczynaj od p=none i czytaj raporty.
Kolejność wdrożenia, która nie boli
Kolejność ma znaczenie. Zrobiona odwrotnie potrafi na kilka dni zablokować firmową pocztę.
- Zinwentaryzuj wszystkie źródła wysyłki: pocztę, CRM, newslettery, formularze, systemy fakturowe.
- Skonfiguruj SPF tak, by obejmował je wszystkie, na razie z ~all.
- Włącz DKIM u każdego dostawcy, który go obsługuje.
- Opublikuj DMARC z p=none i adresem do raportów.
- Przez dwa do czterech tygodni analizuj raporty i domykaj brakujących nadawców.
- Zaostrz SPF do -all, a DMARC przesuń przez quarantine do reject.
Jeśli firma korzysta z chmury Microsoft, część tej pracy upraszcza wdrożenie Microsoft 365, bo DKIM i wskazówki do SPF są tam dobrze udokumentowane. Przy wysyłce masowej, newsletterach i systemach transakcyjnych warto oprzeć się o dedykowane serwery do mailingu, które dbają o reputację adresów nadawczych.
BIMI, czyli krok po DMARC
Kiedy DMARC działa już w trybie egzekwowania, otwiera się droga do BIMI (Brand Indicators for Message Identification). To mechanizm, który pozwala wyświetlić logo firmy przy Twoich mailach w skrzynce odbiorcy. Nie jest to konieczne do dostarczalności, ale działa na wiarygodność i rozpoznawalność marki. Warunkiem jest właśnie poprawnie wdrożony DMARC z polityką quarantine lub reject, a w części usług także zweryfikowany certyfikat marki. Traktuj BIMI jako nagrodę za porządek w uwierzytelnianiu, a nie punkt wyjścia.
Co jeszcze wpływa na dostarczalność
Trzy rekordy to fundament, ale nie całość układanki. Nawet przy poprawnej konfiguracji maile potrafią wpadać do spamu, jeśli zaniedbasz resztę.
- Reputacja adresu IP i domeny. Buduje się miesiącami, a psuje w kilka dni przez wysyłkę do nieaktualnej bazy.
- Jakość listy odbiorców. Wysyłka na martwe adresy i skargi na spam obniżają reputację nadawcy.
- Treść wiadomości. Same wielkie litery, podejrzane załączniki i skracacze linków podnoszą ocenę spamową.
- Rekord PTR. Odwrotny wpis DNS dla serwera wysyłkowego, którego brak od razu obniża zaufanie.
Częste pułapki
- Dodanie nowego systemu wysyłkowego bez aktualizacji SPF, przez co jego maile wpadają do spamu.
- Zapomniana subdomena, z której też wychodzi poczta.
- Brak monitoringu raportów DMARC, więc nikt nie zauważa prób podszywania.
- Zbyt niski limit DNS w SPF po dodaniu kolejnych usług.
SPF, DKIM i DMARC to konfiguracja, którą ustawia się raz porządnie i potem tylko pilnuje przy zmianach. Efekt jest wymierny: lepsza dostarczalność i domena odporna na podszywanie. Jeśli chcesz mieć pewność, że wszystkie trzy rekordy są ustawione poprawnie i obejmują każdego nadawcę, pomożemy przejść przez audyt konfiguracji i wdrożyć DMARC bez ryzyka odcięcia własnej poczty.