SPF, DKIM i DMARC - zabezpiecz pocztę przed podszywaniem

10 lipca 2026 · 7 min czytania

Domyślnie każdy może wysłać e-mail „w imieniu" dowolnej domeny - tak działają oszuści podszywający się pod banki czy firmy (spoofing). Trzy rekordy DNS - SPF, DKIM i DMARC - pozwalają temu zapobiec i jednocześnie poprawiają dostarczalność Twoich wiadomości (mniej trafień do spamu).

SPF - kto może wysyłać w imieniu domeny

SPF (Sender Policy Framework) to lista serwerów uprawnionych do wysyłania poczty z Twojej domeny. Gdy wiadomość przyjdzie z serwera spoza listy, odbiorca może ją odrzucić. SPF zapisujesz jako rekord TXT, np. v=spf1 include:_spf.google.com ~all.

DKIM - podpis, którego nie da się podrobić

DKIM (DomainKeys Identified Mail) dokłada do każdej wiadomości kryptograficzny podpis. Odbiorca weryfikuje go kluczem publicznym opublikowanym w DNS - jeśli treść była podmieniona lub nadawca fałszywy, podpis się nie zgadza.

DMARC - co zrobić z podejrzaną pocztą

DMARC spina SPF i DKIM w politykę: mówi serwerom odbiorców, co robić z wiadomością, która nie przejdzie weryfikacji (p=none - tylko raportuj, quarantine - do spamu, reject - odrzuć). Dodatkowo przysyła raporty, kto wysyła w imieniu Twojej domeny.

Jak to wdrożyć bezpiecznie?

Zacznij od wygenerowania rekordów SPF i DMARC (kreator krok po kroku), ustaw DMARC na p=none i obserwuj raporty. Gdy wszystko działa, zaostrz do reject. Aktualną konfigurację domeny sprawdzisz w teście MX/SPF/DMARC, a pojedynczą wiadomość rozłożysz na czynniki w analizatorze nagłówków e-mail. Warto też sprawdzić, czy Twój serwer pocztowy nie trafił na czarną listę spamową.

Wygeneruj rekordy SPF i DMARC

Kreator krok po kroku - gotowy wpis TXT do wklejenia w DNS.

Powiązane narzędzia: