SPF, DKIM i DMARC - zabezpiecz pocztę przed podszywaniem
10 lipca 2026 · 7 min czytania
Domyślnie każdy może wysłać e-mail „w imieniu" dowolnej domeny - tak działają oszuści podszywający się pod banki czy firmy (spoofing). Trzy rekordy DNS - SPF, DKIM i DMARC - pozwalają temu zapobiec i jednocześnie poprawiają dostarczalność Twoich wiadomości (mniej trafień do spamu).
SPF - kto może wysyłać w imieniu domeny
SPF (Sender Policy Framework) to lista serwerów uprawnionych do wysyłania poczty z Twojej domeny. Gdy wiadomość przyjdzie z serwera spoza listy, odbiorca może ją odrzucić. SPF zapisujesz jako rekord TXT, np. v=spf1 include:_spf.google.com ~all.
DKIM - podpis, którego nie da się podrobić
DKIM (DomainKeys Identified Mail) dokłada do każdej wiadomości kryptograficzny podpis. Odbiorca weryfikuje go kluczem publicznym opublikowanym w DNS - jeśli treść była podmieniona lub nadawca fałszywy, podpis się nie zgadza.
DMARC - co zrobić z podejrzaną pocztą
DMARC spina SPF i DKIM w politykę: mówi serwerom odbiorców, co robić z wiadomością, która nie przejdzie weryfikacji (p=none - tylko raportuj, quarantine - do spamu, reject - odrzuć). Dodatkowo przysyła raporty, kto wysyła w imieniu Twojej domeny.
Jak to wdrożyć bezpiecznie?
Zacznij od wygenerowania rekordów SPF i DMARC (kreator krok po kroku), ustaw DMARC na p=none i obserwuj raporty. Gdy wszystko działa, zaostrz do reject. Aktualną konfigurację domeny sprawdzisz w teście MX/SPF/DMARC, a pojedynczą wiadomość rozłożysz na czynniki w analizatorze nagłówków e-mail. Warto też sprawdzić, czy Twój serwer pocztowy nie trafił na czarną listę spamową.