Autor: [Tomasz Nowosielski](/autorzy/tomasz-nowosielski) Redaktor naczelny, analityk hostingu · Zweryfikowano Kwiecień 2026 1. [Strona główna](/) › 2. [Baza wiedzy](/baza-wiedzy/) › 3. Dostarczalność emaili — SPF, DKIM, DMARC # Dostarczalność emaili — SPF, DKIM, DMARC i blacklist Opublikowano: 10 kwietnia 2026 · Kategoria: Hosting / Email Twoje emaile lądują w spamie mimo że są legalne? Problem leży zwykle w braku lub błędnej konfiguracji SPF, DKIM i DMARC — trzech standardów uwierzytelniania poczty. Razem informują odbiorców czy email naprawdę pochodzi od Ciebie i co zrobić jeśli nie pochodzi. Bez tych rekordów nawet dobrze skonstruowany email może zostać odrzucony lub oznaczony jako spam. Artykuł przeprowadza przez kompletną konfigurację, diagnostykę i monitoring dostarczalności. ## SPF — Sender Policy Framework SPF to rekord TXT w DNS definiujący które serwery IP są uprawnione do wysyłania emaili z Twojej domeny. Odbiorca sprawdza rekord SPF dla domeny w nagłówku Return-Path (envelope sender). Mechanizmy SPF: \# Przyklad rekordow SPF — dodaj jako TXT do DNS domeny # Tylko własny serwer (IP 1.2.3.4) v=spf1 ip4:1.2.3.4 -all # Serwer + Google Workspace v=spf1 ip4:1.2.3.4 include:\_spf.google.com -all # Serwer + Mailchimp + SendGrid v=spf1 ip4:1.2.3.4 include:servers.mcsv.net include:sendgrid.net -all # Mechanizmy: # ip4:1.2.3.4 — konkretne IP IPv4 # ip4:1.2.3.0/24 — caly subnet # ip6:2001:db8::/32 — IPv6 # include:domena.com — rekord SPF innej domeny # a — IP z rekordu A Twojej domeny # mx — IP z rekordow MX Twojej domeny # ~all — softfail (podejrzane, ale dostarczone) # -all — hardfail (odrzuc) # +all — allow all (NIGDY nie uzywac!) # Weryfikacja SPF przez dig dig TXT twojadomena.pl | grep spf nslookup -type=TXT twojadomena.pl # Test przez MXToolbox # https://mxtoolbox.com/spf.aspx **Limit 10 DNS lookupów:** SPF ma twardy limit 10 mechanizmów wymagających DNS lookup (include, a, mx, ptr, exists). Przekroczenie = SPF PermError = fail. Używaj narzędzi jak dmarcian SPF Surveyor do sprawdzenia liczby lookupów. ## DKIM — DomainKeys Identified Mail DKIM podpisuje emaile kryptograficznie — serwer wysyłający dodaje podpis do nagłówka, a odbiorca weryfikuje go kluczem publicznym z DNS. Podpis pokrywa treść emaila i wybrane nagłówki, więc modyfikacja emaila w tranzycie unieważnia podpis. \# Generowanie pary kluczy DKIM (serwer Postfix + OpenDKIM) sudo apt install opendkim opendkim-tools -y # Generuj klucze mkdir -p /etc/opendkim/keys/twojadomena.pl opendkim-genkey -b 2048 -d twojadomena.pl -D /etc/opendkim/keys/twojadomena.pl \\ -s mail -v # Tworzy: mail.private (klucz prywatny) + mail.txt (rekord DNS) # Wyswietl rekord do wklejenia w DNS cat /etc/opendkim/keys/twojadomena.pl/mail.txt # mail.\_domainkey IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhki..." # Konfiguracja OpenDKIM (/etc/opendkim.conf) # Domain twojadomena.pl # KeyFile /etc/opendkim/keys/twojadomena.pl/mail.private # Selector mail # Socket inet:8891@localhost # Integracja z Postfix (/etc/postfix/main.cf) # milter\_protocol = 6 # milter\_default\_action = accept # smtpd\_milters = inet:localhost:8891 # non\_smtpd\_milters = inet:localhost:8891 sudo systemctl restart opendkim postfix # Test DKIM dig TXT mail.\_domainkey.twojadomena.pl # Powinien zwrocic klucz publiczny # Weryfikacja przez MXToolbox # https://mxtoolbox.com/dkim.aspx ## DMARC — polityka i raporty \# Rekord DMARC — dodaj jako TXT do \_dmarc.twojadomena.pl # Faza 1 — monitoring (brak akcji, tylko raporty) v=DMARC1; p=none; rua=mailto:dmarc-raporty@twojadomena.pl; pct=100; adkim=r; aspf=r # Faza 2 — kwarantanna (spam folder) v=DMARC1; p=quarantine; rua=mailto:dmarc-raporty@twojadomena.pl; pct=25; adkim=r; aspf=r # Faza 3 — odrzucanie (docelowe) v=DMARC1; p=reject; rua=mailto:dmarc-raporty@twojadomena.pl; ruf=mailto:dmarc-forensic@twojadomena.pl; pct=100; adkim=r; aspf=r # Parametry: # p=none/quarantine/reject — polityka # rua= — adres raportow agregatowych (dzienne) # ruf= — adres raportow forensycznych (per-wiadomosc) # pct= — procent maili objetych polityka (100 = wszystkie) # adkim=r/s — alignment DKIM (r=relaxed, s=strict) # aspf=r/s — alignment SPF (r=relaxed, s=strict) # sp= — polityka dla subdomen # Weryfikacja dig TXT \_dmarc.twojadomena.pl ## Parsowanie raportów DMARC Raporty DMARC przychodzą jako XML w ZIP — nie do czytania ręcznie. Użyj narzędzia do ich wizualizacji: - **dmarcian.com** — bezpłatny plan, dashboard z wykresami, wyszukiwanie po IP i domenie, kategoryzacja źródeł wysyłki (własny serwer, ESP, forwarding) - **postmarkapp.com/dmarc** — bezpłatne parsowanie, cotygodniowe podsumowanie email - **Google Postmaster Tools** — dla domen wysyłających dużo do Gmail; osobny dashboard z reputacją IP i domeny - **self-hosted: parsedmarc** — Python, eksportuje do Elasticsearch/Grafana, pełna kontrola nad danymi ## Blacklist check i derejestracja \# Sprawdz IP serwera pocztowego w listach RBL # 1. MXToolbox Blacklist Check: https://mxtoolbox.com/blacklists.aspx # 2. MultiRBL: https://multirbl.valli.org/ # 3. Spamhaus: https://check.spamhaus.org/ # Sprawdz przez CLI (dig odwrotne lookup w Spamhaus SBL) # Dla IP 1.2.3.4 — odwroc oktety: 4.3.2.1 dig 4.3.2.1.zen.spamhaus.org # 127.0.0.2 = SBL (spam source) # 127.0.0.10/11 = PBL (dynamiczne IP — nie powinno wysylac) # NXDOMAIN = nie na liscie # Najwazniejsze listy i derejestracja # Spamhaus SBL: https://www.spamhaus.org/lookup/ # Spamhaus PBL: https://www.spamhaus.org/pbl/ (dla statycznych IP VPS - usun) # Barracuda: https://www.barracudacentral.org/rbl/removal-request # SORBS: https://sorbs.net/lookup.shtml # SpamCop: automatyczna, wygasa po 24h # DMARC diagnostyka przez MXToolbox # https://mxtoolbox.com/emailheader.aspx — wklej naglowki emaila # https://mxtoolbox.com/diagnostic.aspx — pelna diagnostyka domeny ## Plan warm-up nowego IP Tydzień Max emaili/dzień Odbiorcy Monitoruj 1 500 Najbardziej zaangażowani (ostatnie 30 dni) Bounce rate, spam complaints 2 2 000 Aktywni (ostatnie 60 dni) Inbox placement rate 3 5 000 Aktywni (ostatnie 90 dni) DMARC raporty, blacklists 4 10 000 Aktywni (ostatnie 180 dni) Google Postmaster reputation 5+ Docelowy wolumen Cała lista (posegmentowana) Continual monitoring ## Bounce handling — klasyfikacja i obsługa Bouncy (niedostarczone emaile) niszczą reputację. Rozróżniaj typy i reaguj prawidłowo: - **Hard bounce (SMTP 5xx)** — adres nie istnieje, domena nie istnieje. Usuń z listy natychmiast i permanentnie. Tolerancja: poniżej 0,1%. - **Soft bounce (SMTP 4xx)** — skrzynka pełna, serwer tymczasowo niedostępny. Ponów próbę 3-5 razy przez 48-72 godziny. Po wyczerpaniu prób — usuń. - **Spam complaint (FBL)** — odbiorca kliknął "To jest spam". Odsubskrybuj natychmiast. Tolerancja: poniżej 0,08% (Google limit: 0,1%). - **Bounce rate > 2%** — STOP. Wyczyść listę, sprawdź źródło zbierania adresów, użyj double opt-in. \# Postfix — analiza logów bounce grep "status=bounced" /var/log/mail.log | tail -50 grep "5\\.\\d\\.\\d" /var/log/mail.log | tail -20 # Sprawdz kolejke Postfix postqueue -p mailq | grep -c "Request" # Flush kolejki (wymus ponowna probe) postqueue -f # Usuń emaile do konkretnej domeny postsuper -d ALL deferred ## Najczęstsze pytania Co to jest DMARC i dlaczego jest ważny? + DMARC (Domain-based Message Authentication, Reporting & Conformance) to polityka DNS mówiąca odbiorcom co robić z emailami, które nie przeszły SPF lub DKIM. Polityka "p=reject" oznacza: odrzuć emaile, które nie są autoryzowane przez SPF i DKIM. DMARC chroni Twoją domenę przed spoofingiem — ktoś nie może wysyłać emaili "od" Ciebie z zewnętrznego serwera. Dodatkowo DMARC wysyła Ci raporty (rua/ruf) o tym kto wysyła z Twojej domeny. Czym jest SPF/DKIM/DMARC alignment? + Alignment to zgodność domeny w nagłówku From z domeną weryfikowaną przez SPF i DKIM. SPF alignment: domena w Return-Path (envelope-from) musi pasować do domeny w From. DKIM alignment: domena w tagu d= podpisu DKIM musi pasować do domeny w From. DMARC wymaga co najmniej jednego alignmentu (SPF lub DKIM) w trybie relaxed, lub identycznej domeny w trybie strict. Bez alignmentu email nie przejdzie DMARC, nawet jeśli SPF i DKIM są prawidłowe. Jak sprawdzić czy moja domena jest na blackliście? + Użyj MXToolbox Blacklist Check (mxtoolbox.com/blacklists.aspx) — sprawdza ponad 100 list RBL jednocześnie. Alternatywa: MultiRBL.valli.org. Dla IP: wpisz IP serwera pocztowego, który sprawdzasz. Dla domeny: sprawdź zarówno IP jak i domenę. Jeśli jesteś na blackliście, na stronie danej listy znajdziesz instrukcje derejestracji (zwykle formularz z potwierdzeniem, że problem jest rozwiązany). Najważniejsze listy: Spamhaus SBL/XBL/PBL, SORBS, SpamCop, Barracuda. Co to jest IP warm-up i kiedy jest potrzebny? + IP warm-up to proces stopniowego zwiększania wolumenu wysyłanych emaili z nowego IP przez kilka tygodni. Nowe IP nie ma reputacji — skrzynki pocztowe (Gmail, Outlook) są nieufne wobec nowych adresów wysyłających od razu dużo emaili. Plan warm-up: tydzień 1 — 500 emaili/dzień do najbardziej zaangażowanych odbiorców, tydzień 2 — 2000/dzień, tydzień 3 — 5000/dzień, tydzień 4 — 10000/dzień. Monitoruj bounce rate i spam complaints na każdym etapie. ## Sprawdź oferty pasujące do tego scenariusza Poniżej masz szybkie przejścia do ofert i stron z kodami rabatowymi tam, gdzie są dostępne. Contabo VPS z dedykowanym IP dla własnego serwera pocztowego i pełnej kontroli Własne IP [Aktywuj rabat →](/out/contabo) #Reklama · link partnerski [Zobacz kod rabatowy →](/kody-rabatowe/contabo) Mikr.us Tani VPS do testowania konfiguracji SMTP i SPF/DKIM przed produkcją Test SMTP [Aktywuj rabat →](/out/mikrus) #Reklama · link partnerski [Zobacz kod rabatowy →](/kody-rabatowe/mikrus) LH.pl Hosting z wbudowaną obsługą poczty i SPF/DKIM — bez konfiguracji serwera Email Hosting [Aktywuj rabat →](/out/lh-pl) #Reklama · link partnerski [Zobacz kod rabatowy →](/kody-rabatowe/lh-pl) ## Powiązane strony - [SPF, DKIM, DMARC — konfiguracja krok po kroku](/baza-wiedzy/spf-dkim-dmarc-konfiguracja) - [Email hosting — konfiguracja MX i IMAP](/baza-wiedzy/email-hosting-konfiguracja) - [SMTP relay — konfiguracja dla hostingu](/baza-wiedzy/smtp-relay-hosting-konfiguracja) - [Bezpieczeństwo WordPress na hostingu](/baza-wiedzy/bezpieczenstwo-wordpress-hosting) - [Wszystkie artykuły](/baza-wiedzy/)