SPF, DKIM i DMARC — jak skonfigurować ochronę poczty w hostingu
Opublikowano: 7 kwietnia 2026 · Kategoria: Bezpieczeństwo
Krótka odpowiedź: SPF, DKIM i DMARC to trzy rekordy DNS chroniące Twoją domenę
przed podszywaniem się (email spoofing). Bez nich ktoś może wysyłać spam „od Ciebie" — i Twoje własne
emaile mogą trafiać do spamu u odbiorców. Konfiguracja zajmuje 15 minut w panelu DNS.
Co robi każdy z rekordów?
| Standard | Typ rekordu DNS | Co sprawdza? | Ochrona przed |
|---|---|---|---|
| SPF | TXT w @ | Adres IP serwera wysyłającego | Podszywanie się pod domenę (spoofing) |
| DKIM | TXT w selector._domainkey | Podpis kryptograficzny wiadomości | Modyfikacja treści w drodze (man-in-the-middle) |
| DMARC | TXT w _dmarc | Polityka reakcji na wynik SPF/DKIM | Phishing, spear phishing, Business Email Compromise |
Analogia: SPF to lista gości na drzwiach (tylko te serwery mogą wejść), DKIM to pieczęć na liście (dowód autentyczności), DMARC to ochroniarz decydujący co zrobić z podejrzanymi gośćmi.
Krok 1 — Konfiguracja SPF
Zaloguj się do panelu DNS w swoim hostingu (DirectAdmin lub cPanel → Zone Editor). Dodaj
rekord TXT dla domeny głównej (@):
v=spf1 include:_spf.lh.pl ~all
Gdzie _spf.lh.pl to serwery mailowe dostawcy. Każdy host ma własną wartość:
| Dostawca hostingu | Rekord SPF (include) |
|---|---|
| LH.pl | include:_spf.lh.pl |
| CyberFolks | include:_spf.cyberfolks.pl |
| home.pl | include:_spf.home.pl |
| Google Workspace | include:_spf.google.com |
| Microsoft 365 | include:spf.protection.outlook.com |
Jeśli wysyłasz z kilku serwerów jednocześnie (np. hosting + Mailchimp):
v=spf1 include:_spf.lh.pl include:servers.mcsv.net ~all
Limit DNS lookups: Rekord SPF może zawierać maksymalnie 10 zapytań DNS (include,
a, mx, ptr, exists). Przekroczenie limitu powoduje błąd "SPF PermError". Sprawdź liczbę zapytań
na mxtoolbox.com/spf.
Krok 2 — Konfiguracja DKIM
DKIM wymaga pary kluczy kryptograficznych. Klucz prywatny jest na serwerze mailowym, klucz publiczny publikujesz w DNS. W DirectAdmin i cPanel konfiguracja jest półautomatyczna:
- Zaloguj się do panelu DirectAdmin → Email Manager → Email Authentication (DKIM)
- Kliknij "Generate DKIM Keys" dla domeny
-
Skopiuj wygenerowany rekord TXT (zaczyna się od
default._domainkey) - Wklej rekord w DNS — nazwa:
default._domainkey, typ:TXT - Odczekaj 24-48h na propagację DNS
Weryfikacja: wyślij email na mail-tester.com i sprawdź wynik DKIM.
Krok 3 — Konfiguracja DMARC
Dodaj rekord TXT w DNS o nazwie _dmarc:
| Etap | Polityka | Rekord DMARC | Kiedy stosować |
|---|---|---|---|
| 1. Monitorowanie | p=none | v=DMARC1; p=none; rua=mailto:[email protected] | Pierwsze 2-4 tygodnie — tylko zbieraj raporty |
| 2. Kwarantanna | p=quarantine | v=DMARC1; p=quarantine; pct=50; rua=mailto:[email protected] | Po weryfikacji SPF/DKIM — podejrzane do spamu |
| 3. Odrzucenie | p=reject | v=DMARC1; p=reject; rua=mailto:[email protected] | Cel docelowy — twarde odrzucenie spoofingu |
Parametr rua=mailto: to adres, na który dostawcy pocztowi (Gmail, Outlook) wysyłają
dzienne raporty XML o emailach wysłanych z Twojej domeny. Analizuj raporty przez
DMARC Digests (bezpłatne narzędzie).
Weryfikacja konfiguracji
Po konfiguracji sprawdź wszystkie rekordy:
- MXToolbox SPF — sprawdź poprawność rekordu SPF i liczbę DNS lookups
- mail-tester.com — wyślij testowy email i uzyskaj ocenę 1-10 z diagnostyką
- Google Admin Toolbox — Check MX, sprawdza konfigurację DNS i MX
- dmarcian.com/dmarc-inspector — analiza rekordu DMARC
Cel: Wynik mail-tester.com 9/10 lub 10/10 = kompletna konfiguracja
SPF + DKIM + DMARC + właściwy reverse DNS (PTR). Większość polskich hostingów konfiguruje PTR automatycznie
dla serwerów mailowych.
Najczęstsze pytania
Szybkie przejście do ofert związanych z tym tematem
Wybraliśmy oferty i strony z kodami rabatowymi, które najczęściej pasują do tego scenariusza użycia.