Autor: [Piotr Wasilewski](/autorzy/piotr-wasilewski) Architekt rozwiązań chmurowych · Zweryfikowano Kwiecień 2026 1. [HostGrade.pl](/) 2. › 3. [Baza wiedzy](/baza-wiedzy/) 4. › 5. SPF, DKIM, DMARC # SPF, DKIM i DMARC — jak skonfigurować ochronę poczty w hostingu Opublikowano: 7 kwietnia 2026 · Kategoria: [Bezpieczeństwo](/baza-wiedzy/) **Krótka odpowiedź:** SPF, DKIM i DMARC to trzy rekordy DNS chroniące Twoją domenę przed podszywaniem się (email spoofing). Bez nich ktoś może wysyłać spam „od Ciebie" — i Twoje własne emaile mogą trafiać do spamu u odbiorców. Konfiguracja zajmuje 15 minut w panelu DNS. ## Co robi każdy z rekordów? Standard Typ rekordu DNS Co sprawdza? Ochrona przed SPF `TXT` w `@` Adres IP serwera wysyłającego Podszywanie się pod domenę (spoofing) DKIM `TXT` w `selector._domainkey` Podpis kryptograficzny wiadomości Modyfikacja treści w drodze (man-in-the-middle) DMARC `TXT` w `_dmarc` Polityka reakcji na wynik SPF/DKIM Phishing, spear phishing, Business Email Compromise **Analogia:** SPF to lista gości na drzwiach (tylko te serwery mogą wejść), DKIM to pieczęć na liście (dowód autentyczności), DMARC to ochroniarz decydujący co zrobić z podejrzanymi gośćmi. ## Krok 1 — Konfiguracja SPF Zaloguj się do panelu DNS w swoim hostingu (DirectAdmin lub cPanel → Zone Editor). Dodaj rekord TXT dla domeny głównej (`@`): v=spf1 include:\_spf.lh.pl ~all Gdzie `_spf.lh.pl` to serwery mailowe dostawcy. Każdy host ma własną wartość: Dostawca hostingu Rekord SPF (include) LH.pl `include:_spf.lh.pl` CyberFolks `include:_spf.cyberfolks.pl` home.pl `include:_spf.home.pl` Google Workspace `include:_spf.google.com` Microsoft 365 `include:spf.protection.outlook.com` Jeśli wysyłasz z kilku serwerów jednocześnie (np. hosting + Mailchimp): v=spf1 include:\_spf.lh.pl include:servers.mcsv.net ~all **Limit DNS lookups:** Rekord SPF może zawierać maksymalnie 10 zapytań DNS (include, a, mx, ptr, exists). Przekroczenie limitu powoduje błąd "SPF PermError". Sprawdź liczbę zapytań na mxtoolbox.com/spf. ## Krok 2 — Konfiguracja DKIM DKIM wymaga pary kluczy kryptograficznych. Klucz prywatny jest na serwerze mailowym, klucz publiczny publikujesz w DNS. W DirectAdmin i cPanel konfiguracja jest półautomatyczna: 1. Zaloguj się do panelu DirectAdmin → **Email Manager → Email Authentication (DKIM)** 2. Kliknij **"Generate DKIM Keys"** dla domeny 3. Skopiuj wygenerowany rekord TXT (zaczyna się od `default._domainkey`) 4. Wklej rekord w DNS — nazwa: `default._domainkey`, typ: `TXT` 5. Odczekaj 24-48h na propagację DNS Weryfikacja: wyślij email na [mail-tester.com](https://mail-tester.com) i sprawdź wynik DKIM. ## Krok 3 — Konfiguracja DMARC Dodaj rekord TXT w DNS o nazwie `_dmarc`: Etap Polityka Rekord DMARC Kiedy stosować **1\. Monitorowanie** `p=none` `v=DMARC1; p=none; rua=mailto:dmarc@domena.pl` Pierwsze 2-4 tygodnie — tylko zbieraj raporty **2\. Kwarantanna** `p=quarantine` `v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc@domena.pl` Po weryfikacji SPF/DKIM — podejrzane do spamu **3\. Odrzucenie** `p=reject` `v=DMARC1; p=reject; rua=mailto:dmarc@domena.pl` Cel docelowy — twarde odrzucenie spoofingu Parametr `rua=mailto:` to adres, na który dostawcy pocztowi (Gmail, Outlook) wysyłają dzienne raporty XML o emailach wysłanych z Twojej domeny. Analizuj raporty przez [DMARC Digests](https://dmarc.postmarkapp.com) (bezpłatne narzędzie). ## Weryfikacja konfiguracji Po konfiguracji sprawdź wszystkie rekordy: - **MXToolbox SPF** — sprawdź poprawność rekordu SPF i liczbę DNS lookups - **mail-tester.com** — wyślij testowy email i uzyskaj ocenę 1-10 z diagnostyką - **Google Admin Toolbox** — Check MX, sprawdza konfigurację DNS i MX - **dmarcian.com/dmarc-inspector** — analiza rekordu DMARC **Cel:** Wynik mail-tester.com **9/10 lub 10/10** = kompletna konfiguracja SPF + DKIM + DMARC + właściwy reverse DNS (PTR). Większość polskich hostingów konfiguruje PTR automatycznie dla serwerów mailowych. ## Najczęstsze pytania Co to jest rekord SPF i dlaczego jest potrzebny? + SPF (Sender Policy Framework) to rekord DNS TXT, który deklaruje jakie serwery mogą wysyłać emaile w imieniu Twojej domeny. Bez SPF każdy serwer może podszywać się pod Twoją domenę — co jest używane w phishingu. Rekord SPF wygląda np. tak: "v=spf1 include:\_spf.home.pl ~all". Symbol "~all" oznacza miękkie odrzucenie (softfail), "-all" twarde odrzucenie (fail). Czym różni się DKIM od SPF? + SPF sprawdza z jakiego serwera wysłano wiadomość (adres IP). DKIM (DomainKeys Identified Mail) weryfikuje podpis kryptograficzny samej wiadomości — czy email nie był modyfikowany w drodze. Razem tworzą dwie niezależne warstwy ochrony. Jeśli używasz Google Workspace lub zewnętrznego SMTP, dodaj ich serwery do SPF i skonfiguruj DKIM przez ich panel. Jaka polityka DMARC jest zalecana dla nowej domeny? + Dla nowej domeny zacznij od polityki monitorowania: "v=DMARC1; p=none; rua=mailto:dmarc@twojadomena.pl". Parametr p=none oznacza, że raporty są generowane ale wiadomości nie są odrzucane. Po 2-4 tygodniach przejdź do p=quarantine (trafia do spamu), a docelowo p=reject (twarde odrzucenie). Zbyt szybkie ustawienie p=reject bez konfiguracji SPF+DKIM może zablokować własną pocztę. Dlaczego moje emaile trafiają do spamu mimo SPF i DKIM? + SPF i DKIM to tylko część "reputacji nadawcy". Email może trafiać do spamu też przez: (1) wysyłkę do starych/nieistniejących adresów (wysoki bounce rate), (2) treść zawierającą spam words, (3) brak rekordu PTR (reverse DNS) na IP serwera, (4) IP serwera na czarnej liście (Spamhaus, Barracuda). Sprawdź reputację IP na mxtoolbox.com/blacklists i mail-tester.com. ## Szybkie przejście do ofert związanych z tym tematem Wybraliśmy oferty i strony z kodami rabatowymi, które najczęściej pasują do tego scenariusza użycia. LH.pl Hosting z prostym DNS pod SPF, DKIM i DMARC. DNS [Aktywuj rabat →](/out/lh-pl) #Reklama · link partnerski [Zobacz kod rabatowy →](/kody-rabatowe/lh-pl) CyberFolks Dobry wybór dla poczty firmowej i domen. Mail [Aktywuj rabat →](/out/cyberfolks) #Reklama · link partnerski [Zobacz kod rabatowy →](/kody-rabatowe/cyberfolks) home.pl Popularna opcja dla małych firm i poczty. Firma [Aktywuj rabat →](/out/home-pl) #Reklama · link partnerski [Zobacz kod rabatowy →](/kody-rabatowe/home-pl) ## Powiązane artykuły - [Email firmowy na własnej domenie MX records, SMTP, konfiguracja poczty firmowej. ](/baza-wiedzy/hosting-email-firmowy) - [Certyfikat SSL — co to jest? DV, OV, EV, Let's Encrypt — przewodnik po SSL. ](/baza-wiedzy/ssl-certyfikat-co-to-jest) - [Backup w hostingu Automatyczny backup jako must-have bezpieczeństwa. ](/baza-wiedzy/backup-hosting-dlaczego-wazny) - [Porównanie hostingów Ranking z cenami i parametrami bezpieczeństwa. ](/porownanie/)