Poradniki 7 min czytania

SPF, DKIM i DMARC – jak zabezpieczyć firmową pocztę e-mail

Cyberprzestępcy mogą wysyłać wiadomości wyglądające jak te z Twojej domeny – bez żadnego włamania, wystarczy jej brak zabezpieczeń. SPF, DKIM i DMARC to trzy rekordy DNS, które skutecznie zamykają tę furtkę. Ten poradnik przeprowadzi Cię przez całą konfigurację krok po kroku.

Dlaczego e-mail spoofing to realne zagrożenie dla Twojej firmy?

E-mail spoofing to technika, w której atakujący wysyła wiadomość z fałszywym adresem nadawcy – np. faktury@twojafirma.pl – mimo że nie ma żadnego dostępu do Twojego serwera pocztowego. Odbiorca widzi Twoją domenę i ufa wiadomości. To klasyczna brama do ataków phishingowych, wyłudzeń płatności (tzw. BEC – Business Email Compromise) czy rozsyłania złośliwego oprogramowania w imieniu Twojej firmy.

Problem jest poważniejszy niż się wydaje: według danych z 2025 roku ponad 70% firm MŚP nie ma poprawnie skonfigurowanego DMARC, co oznacza, że ich domeny są praktycznie otwarte na nadużycia. Co gorsza, brak odpowiednich rekordów DNS sprawia, że legalne wiadomości z Twojej firmy mogą trafiać do spamu u klientów i partnerów.

Dobra wiadomość: konfiguracja SPF, DKIM i DMARC to jednorazowa praca na poziomie panelu DNS i zajmuje zazwyczaj kilka godzin. Efekty są trwałe i natychmiastowe.

SPF – określ, kto może wysyłać e-maile w imieniu Twojej domeny

SPF (Sender Policy Framework) to rekord TXT w DNS Twojej domeny, który wskazuje listę serwerów uprawnionych do wysyłania poczty z jej adresów. Serwer odbiorcy sprawdza ten rekord i jeśli wiadomość przyszła z nieautoryzowanego serwera – może ją odrzucić lub oznaczyć jako podejrzaną.

Jak skonfigurować SPF krok po kroku:

  1. Zaloguj się do panelu DNS swojej domeny (np. u rejestratora lub u dostawcy hostingu).
  2. Utwórz nowy rekord typu TXT dla głównej domeny (@ lub twojafirma.pl).
  3. Wpisz wartość rekordu – przykład dla firmy korzystającej z Microsoft 365:
    v=spf1 include:spf.protection.outlook.com -all
  4. Jeśli korzystasz z kilku dostawców poczty (np. Microsoft 365 + system do mailingu), dodaj kolejne wpisy include:, np.:
    v=spf1 include:spf.protection.outlook.com include:sendgrid.net -all
  5. Zapisz rekord i odczekaj do 48 godzin na propagację DNS.

Ważne: flaga -all na końcu oznacza twardą politykę – odrzucaj wszystkich nieuprawnionych nadawców. Flaga ~all to miękka polityka (oznacz jako spam). Zacznij od ~all, jeśli nie jesteś pewien kompletności listy serwerów.

DKIM – cyfrowy podpis, który uwierzytelnia każdą wiadomość

DKIM (DomainKeys Identified Mail) działa inaczej niż SPF – zamiast weryfikować serwer nadawcy, dodaje kryptograficzny podpis do nagłówka każdej wysyłanej wiadomości. Serwer odbiorcy sprawdza ten podpis przy użyciu klucza publicznego opublikowanego w DNS. Jeśli podpis się zgadza – wiadomość pochodzi naprawdę z Twojej domeny i nie była modyfikowana w trakcie transportu.

Jak wdrożyć DKIM – ogólna procedura:

  1. Wygeneruj parę kluczy DKIM w panelu swojego dostawcy poczty. W Microsoft 365 zrobisz to w sekcji Centrum administracyjne Exchange > Zasady i reguły > Zasady zagrożeń > DKIM.
  2. Serwis wygeneruje dwa rekordy CNAME lub TXT do dodania w DNS – skopiuj je.
  3. W panelu DNS domeny utwórz rekordy zgodnie z instrukcją dostawcy. Nazwa rekordu ma zazwyczaj format: selector1._domainkey.twojafirma.pl
  4. Wróć do panelu dostawcy poczty i włącz podpisywanie DKIM dla domeny.
  5. Wyślij testową wiadomość i sprawdź nagłówki – powinien pojawić się wpis DKIM=pass.

Jeśli korzystasz z zewnętrznych narzędzi marketingowych (np. Mailchimp, Brevo), każde z nich wymaga osobnego rekordu DKIM – sprawdź dokumentację danego narzędzia.

DMARC – polityka, która spina SPF i DKIM w jedną tarczę

DMARC (Domain-based Message Authentication, Reporting and Conformance) to rekord TXT, który mówi serwerom odbiorczym, co zrobić z wiadomościami, które nie przejdą weryfikacji SPF lub DKIM. Bez DMARC nawet poprawnie skonfigurowane SPF i DKIM nie zapewniają pełnej ochrony – bo nie ma instrukcji, co robić z wiadomościami niespełniającymi warunków.

DMARC pozwala też zbierać raporty o e-mailach wysyłanych z Twojej domeny – to bezcenna wiedza o tym, kto (legalnie lub nielegalnie) używa Twojego adresu.

Konfiguracja DMARC krok po kroku:

  1. W panelu DNS utwórz rekord TXT o nazwie _dmarc.twojafirma.pl.
  2. Zacznij od polityki monitorowania (brak blokowania), by zebrać dane:
    v=DMARC1; p=none; rua=mailto:dmarc-raporty@twojafirma.pl
  3. Po 2-4 tygodniach analizy raportów przejdź na politykę kwarantanny:
    v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc-raporty@twojafirma.pl
  4. Gdy masz pewność, że cała legalna poczta jest uwierzytelniona, zastosuj pełną blokadę:
    v=DMARC1; p=reject; rua=mailto:dmarc-raporty@twojafirma.pl

Parametr pct=50 oznacza, że polityka obejmuje 50% wiadomości – przydatne przy stopniowym wdrożeniu. rua to adres e-mail, na który trafią raporty zbiorcze (możesz użyć zewnętrznego narzędzia jak dmarcian lub EasyDMARC do ich analizy).

Jak sprawdzić, czy konfiguracja działa poprawnie?

Po dodaniu rekordów warto zweryfikować całą konfigurację, zanim uznasz zadanie za zakończone. Oto najprostsze metody:

  • MXToolbox (mxtoolbox.com) – bezpłatne narzędzie online do sprawdzania rekordów SPF, DKIM i DMARC. Wystarczy wpisać domenę i wybrać typ testu.
  • Mail Tester (mail-tester.com) – wyślij wiadomość na podany adres testowy i otrzymaj ocenę punktową swojej konfiguracji poczty.
  • Nagłówki wiadomości e-mail – wyślij testową wiadomość na konto Gmail lub Outlook, a następnie sprawdź jej pełne nagłówki (opcja Pokaż oryginał / View source). Szukaj wpisów: spf=pass, dkim=pass, dmarc=pass.
  • Google Admin Toolbox – przydatne dla domen obsługiwanych przez Google Workspace.

Raporty DMARC, które zaczniesz otrzymywać na wskazany adres e-mail, są w formacie XML. Polecamy przesyłać je do bezpłatnych narzędzi takich jak dmarcian lub DMARC Analyzer, które wizualizują dane i wskazują potencjalne problemy.

Najczęstsze błędy przy wdrożeniu SPF, DKIM i DMARC

Nawet drobne błędy w konfiguracji mogą sprawić, że legalna poczta będzie odrzucana. Oto co najczęściej idzie nie tak:

  • Zbyt wiele mechanizmów include w SPF – specyfikacja SPF dopuszcza maksymalnie 10 zapytań DNS w trakcie weryfikacji. Przekroczenie tego limitu skutkuje błędem PermError i traktowaniem wiadomości jak niespam.
  • Pominięcie subdomen – jeśli wysyłasz e-maile z noreply@wysylka.twojafirma.pl, ta subdomena wymaga osobnych rekordów SPF i DKIM.
  • Zbyt szybkie przejście na p=reject – bez wcześniejszej analizy raportów ryzykujesz zablokowanie własnych systemów (np. drukarek sieciowych, automatycznych powiadomień).
  • Brak DKIM dla zewnętrznych systemów wysyłkowych – każde narzędzie marketingowe, CRM czy system ERP wysyłający e-maile z Twojej domeny musi mieć własny wpis DKIM.
  • Nieaktualizowany SPF po zmianie dostawcy poczty – migracja na nowego providera bez aktualizacji rekordów DNS to jeden z najczęstszych powodów trafienia do spamu.

Jeśli nie masz pewności co do poprawności konfiguracji lub Twoja infrastruktura pocztowa jest złożona (wiele domen, systemy mailingowe, integracje z ERP), warto zlecić wdrożenie specjalistom – błędy w rekordach DNS mogą skutkować poważnymi problemami z dostarczalnością poczty.

Porównanie mechanizmów uwierzytelniania poczty e-mail
MechanizmCo weryfikujeTyp rekordu DNSChroni przed
SPFAutoryzację serwera wysyłającegoTXTSpoofingiem adresu nadawcy
DKIMIntegralność i autentyczność wiadomościTXT / CNAMEModyfikacją treści w transporcie
DMARCZgodność SPF i DKIM z domeną From:TXTPhishingiem i nieautoryzowanym użyciem domeny

Nie masz czasu na konfigurację DNS? Zajmiemy się tym za Ciebie.

Poprawna konfiguracja SPF, DKIM i DMARC to kilka godzin pracy i wiedza o subtelnych pułapkach, które mogą zablokować Twoją pocztę. Zespół NovaSys skonfiguruje i zweryfikuje całość – bez ryzyka przerwy w komunikacji e-mail.

Skontaktuj się z nami Bezpłatna konsultacja