SPF, DKIM i DMARC — jak skonfigurować ochronę poczty w hostingu
Opublikowano: 7 kwietnia 2026 · Kategoria: Bezpieczeństwo
Krótka odpowiedź: SPF, DKIM i DMARC to trzy rekordy DNS chroniące Twoją domenę
przed podszywaniem się (email spoofing). Bez nich ktoś może wysyłać spam „od Ciebie" — i Twoje własne
emaile mogą trafiać do spamu u odbiorców. Konfiguracja zajmuje 15 minut w panelu DNS.
Co robi każdy z rekordów?
Standard
Typ rekordu DNS
Co sprawdza?
Ochrona przed
SPF
TXT w @
Adres IP serwera wysyłającego
Podszywanie się pod domenę (spoofing)
DKIM
TXT w selector._domainkey
Podpis kryptograficzny wiadomości
Modyfikacja treści w drodze (man-in-the-middle)
DMARC
TXT w _dmarc
Polityka reakcji na wynik SPF/DKIM
Phishing, spear phishing, Business Email Compromise
Analogia: SPF to lista gości na drzwiach (tylko te serwery mogą wejść), DKIM to
pieczęć na liście (dowód autentyczności), DMARC to ochroniarz decydujący co zrobić z podejrzanymi
gośćmi.
Krok 1 — Konfiguracja SPF
Zaloguj się do panelu DNS w swoim hostingu (DirectAdmin lub cPanel → Zone Editor). Dodaj
rekord TXT dla domeny głównej (@):
v=spf1 include:_spf.lh.pl ~all
Gdzie _spf.lh.pl to serwery mailowe dostawcy. Każdy host ma własną wartość:
Limit DNS lookups: Rekord SPF może zawierać maksymalnie 10 zapytań DNS (include,
a, mx, ptr, exists). Przekroczenie limitu powoduje błąd "SPF PermError". Sprawdź liczbę zapytań
na mxtoolbox.com/spf.
Krok 2 — Konfiguracja DKIM
DKIM wymaga pary kluczy kryptograficznych. Klucz prywatny jest na serwerze mailowym, klucz
publiczny publikujesz w DNS. W DirectAdmin i cPanel konfiguracja jest półautomatyczna:
Zaloguj się do panelu DirectAdmin → Email Manager → Email Authentication (DKIM)
Kliknij "Generate DKIM Keys" dla domeny
Skopiuj wygenerowany rekord TXT (zaczyna się od default._domainkey)
Wklej rekord w DNS — nazwa: default._domainkey, typ: TXT
Odczekaj 24-48h na propagację DNS
Weryfikacja: wyślij email na mail-tester.com i sprawdź wynik DKIM.
Parametr rua=mailto: to adres, na który dostawcy pocztowi (Gmail, Outlook) wysyłają
dzienne raporty XML o emailach wysłanych z Twojej domeny. Analizuj raporty przez
DMARC Digests (bezpłatne narzędzie).
Weryfikacja konfiguracji
Po konfiguracji sprawdź wszystkie rekordy:
MXToolbox SPF — sprawdź poprawność rekordu SPF i liczbę DNS lookups
mail-tester.com — wyślij testowy email i uzyskaj ocenę 1-10 z diagnostyką
Google Admin Toolbox — Check MX, sprawdza konfigurację DNS i MX
dmarcian.com/dmarc-inspector — analiza rekordu DMARC
Cel: Wynik mail-tester.com 9/10 lub 10/10 = kompletna konfiguracja
SPF + DKIM + DMARC + właściwy reverse DNS (PTR). Większość polskich hostingów konfiguruje PTR automatycznie
dla serwerów mailowych.
Najczęstsze pytania
Co to jest rekord SPF i dlaczego jest potrzebny? +
SPF (Sender Policy Framework) to rekord DNS TXT, który deklaruje jakie serwery mogą wysyłać emaile w imieniu Twojej domeny. Bez SPF każdy serwer może podszywać się pod Twoją domenę — co jest używane w phishingu. Rekord SPF wygląda np. tak: "v=spf1 include:_spf.home.pl ~all". Symbol "~all" oznacza miękkie odrzucenie (softfail), "-all" twarde odrzucenie (fail).
Czym różni się DKIM od SPF? +
SPF sprawdza z jakiego serwera wysłano wiadomość (adres IP). DKIM (DomainKeys Identified Mail) weryfikuje podpis kryptograficzny samej wiadomości — czy email nie był modyfikowany w drodze. Razem tworzą dwie niezależne warstwy ochrony. Jeśli używasz Google Workspace lub zewnętrznego SMTP, dodaj ich serwery do SPF i skonfiguruj DKIM przez ich panel.
Jaka polityka DMARC jest zalecana dla nowej domeny? +
Dla nowej domeny zacznij od polityki monitorowania: "v=DMARC1; p=none; rua=mailto:dmarc@twojadomena.pl". Parametr p=none oznacza, że raporty są generowane ale wiadomości nie są odrzucane. Po 2-4 tygodniach przejdź do p=quarantine (trafia do spamu), a docelowo p=reject (twarde odrzucenie). Zbyt szybkie ustawienie p=reject bez konfiguracji SPF+DKIM może zablokować własną pocztę.
Dlaczego moje emaile trafiają do spamu mimo SPF i DKIM? +
SPF i DKIM to tylko część "reputacji nadawcy". Email może trafiać do spamu też przez: (1) wysyłkę do starych/nieistniejących adresów (wysoki bounce rate), (2) treść zawierającą spam words, (3) brak rekordu PTR (reverse DNS) na IP serwera, (4) IP serwera na czarnej liście (Spamhaus, Barracuda). Sprawdź reputację IP na mxtoolbox.com/blacklists i mail-tester.com.
Szybkie przejście do ofert związanych z tym tematem
Wybraliśmy oferty i strony z kodami rabatowymi, które najczęściej pasują do tego scenariusza użycia.
Twoja prywatność = Twoja decyzja. Używamy anonimowych plików cookies Google Analytics,
żeby wiedzieć które porównania hostingów są dla Ciebie przydatne. Bez Twojej zgody nie uruchamiamy
żadnych skryptów śledzących — domyślnie wszystko jest wyłączone.
Szczegóły w polityce prywatności.