Rekordy TXT — SPF, DKIM, DMARC
Jak skonfigurować zabezpieczenia poczty w DNS — SPF (autoryzacja serwerów), DKIM (podpis kryptograficzny), DMARC (polityka dla podszywania się). Pełne przykłady i diagnostyka.
Trzy rekordy DNS, które razem chronią Twoją domenę przed podszywaniem się i sprawiają, że Twoje maile faktycznie dochodzą do skrzynek (zamiast spamu). Bez nich w 2026 roku Gmail i Microsoft odrzucają część maili, a innym oznaczają jako podejrzane. W DirectAdmin konfigurujesz je jako rekordy TXT w strefie DNS.
Co zyskasz
- Skonfigurujesz SPF — listę serwerów uprawnionych do wysyłania poczty z Twojej domeny.
- Włączysz DKIM — kryptograficzny podpis na każdym mailu.
- Ustawisz DMARC — politykę co robić z podszywaniem.
- Dowiesz się jak diagnozować błędy zabezpieczeń poczty.
Wymagania wstępne
- Domena ze strefą DNS w IQHost (z włączonym DKIM dla DA = automatyczne dla nowych kont).
- Wiedza, jakie serwery wysyłają pocztę z Twojej domeny (DA, Google, Microsoft, MailChimp itp.).
Wskazówka
Bez SPF/DKIM/DMARC w 2026: Gmail oznacza Twoje maile jako spam, Microsoft odrzuca część, Yahoo wymaga ich jednoznacznie. Klienci nie dostają faktur. To nie jest opcjonalne.
SPF — kto może wysyłać z mojej domeny
SPF (Sender Policy Framework) to lista IP / hostów uprawnionych do wysyłania poczty z Twojej domeny. Gdy serwer dostawcy widzi „mail od kontakt@mojafirma.pl z IP 1.2.3.4" — sprawdza SPF i pyta: „czy mojafirma.pl autoryzuje 1.2.3.4?". Jeśli nie → spam.
Krok 1: Format SPF
Zawsze TYLKO JEDEN rekord SPF na domenie. Zaczyna się od
v=spf1, kończy~alllub-all.Podstawowy SPF dla IQHost (DA automatyczny):
v=spf1 a mx ~allZnaczenie:
v=spf1— wersjaa— IP z rekordu A domeny może wysyłaćmx— IP serwerów MX może wysyłać~all— soft fail (oznacz jako podejrzane, ale dostarcz)-all— hard fail (odrzuć całkiem)
Krok 2: SPF gdy używasz wielu serwerów
IQHost + Google Workspace:
v=spf1 a mx include:_spf.google.com ~allIQHost + Microsoft 365:
v=spf1 a mx include:spf.protection.outlook.com ~allIQHost + Mailgun:
v=spf1 a mx include:mailgun.org ~allTylko Google Workspace (bez IQHost):
v=spf1 include:_spf.google.com ~allTylko zewnętrzny dostawca (poczta tam, IQHost tylko strona):
v=spf1 include:spf.dpoczta.pl ~all
Krok 3: Dodanie SPF w DA
Zarządzanie kontami → Zarządzanie DNS → DODAJ REKORD:
- Typ rekordu: TXT (wybierz w dropdown)
- Nazwa: zostaw puste (
@, root domeny)- TTL: 300 (domyślne na koncie host36592) lub 3600
- Wartość:
v=spf1 a mx ~all(lub Twoja wariacja)Na świeżym koncie IQHost SPF już istnieje automatycznie:
Jeśli już istnieje SPF — nie dodawaj drugiego. Edytuj istniejący ikonką ołówka.
Wskazówka
Maksymalnie 10 lookupów DNS. Każde
include:to lookup. Jeśli przekroczysz — SPF nie działa. Trzymaj się 3-5 include'ów.
DKIM — kryptograficzny podpis maila
DKIM (DomainKeys Identified Mail) to klucz publiczny w DNS, który pasuje do klucza prywatnego serwera wysyłającego. Gdy serwer wysyła maila, podpisuje go nagłówkiem DKIM-Signature. Odbiorca pobiera klucz publiczny z DNS i weryfikuje, że podpis jest prawdziwy → mail nie został zmieniony w drodze.
Krok 1: DKIM dla IQHost (automatyczny)
DA automatycznie generuje DKIM dla domen w IQHost. Klucz jest w strefie DNS jako TXT:
- Nazwa:
default._domainkeylubx._domainkey(selector "default" lub "x")- Typ: TXT
- Wartość:
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3...Sprawdź w DA: Zarządzanie pocztą E-mail → Konfiguracja DKIM (jeśli istnieje) lub Zarządzanie DNS szukaj rekordów
_domainkey.Jeśli nie ma — w DA: Zarządzanie kontami → DKIM Configuration (różne lokalizacje) → włącz dla domeny.
Krok 2: DKIM dla Google Workspace
Google generuje własny DKIM. W panelu Google Workspace:
- Admin console → Apps → Google Workspace → Gmail → Authenticate email
- Wybierz domenę → Generate new record
- Skopiuj
Hostname(np.google._domainkey) i wartość (v=DKIM1; k=rsa; p=...)- W DA: dodaj rekord TXT z tą nazwą i wartością
Po dodaniu wróć do Google Admin i kliknij Start authentication.
Krok 3: DKIM dla Microsoft 365
Microsoft też wymaga konfiguracji:
- Microsoft 365 Defender → Policies → DKIM
- Wybierz domenę → włącz
- Microsoft poda dwa CNAME-y do dodania (nie TXT):
selector1._domainkeyCNAME →selector1-mojafirma-pl._domainkey.mojafirma.onmicrosoft.com.selector2._domainkeyCNAME →selector2-mojafirma-pl._domainkey.mojafirma.onmicrosoft.com.- Dodaj w DA jako CNAME, nie TXT
- Wróć do Microsoft i włącz DKIM
DMARC — co robić z podszywaczami
DMARC to polityka mówiąca, co odbiorca powinien zrobić z mailem, który nie przeszedł SPF ani DKIM. Tryby:
p=none— tylko monitoruj, raportuj (bez akcji)p=quarantine— wrzuć do spamup=reject— odrzuć całkowicie
Plus rua (reports unicast aggregate) — adres, na który wysyłać raporty.
Krok 1: Podstawowy DMARC
_dmarc.mojafirma.pl TXT "v=DMARC1; p=none; rua=mailto:dmarc@mojafirma.pl"
- Nazwa:
_dmarc(zwróć uwagę na podkreślnik)- Typ: TXT
- Wartość:
v=DMARC1; p=none; rua=mailto:dmarc@mojafirma.plStart zawsze od
p=none— żeby tylko zbierać raporty, bez blokowania. Po 2-4 tygodniach analizy raportów (zobaczysz źródła nadawcze) — przełącz naquarantine, późniejreject.
Krok 2: Pełny DMARC produkcyjny
Po fazie monitorowania:
_dmarc TXT "v=DMARC1; p=quarantine; sp=quarantine; pct=100; rua=mailto:dmarc@mojafirma.pl; ruf=mailto:dmarc@mojafirma.pl; aspf=s; adkim=s; fo=1"
p=quarantine— polityka dla głównej domeny (wrzuć do spamu)sp=quarantine— polityka dla subdomenpct=100— stosuj politykę dla 100% mailirua=mailto:...— raporty zbiorczeruf=mailto:...— raporty forensyczne (per failure)aspf=s— strict SPF (domena ma się dokładnie zgadzać)adkim=s— strict DKIMfo=1— generuj raport gdy cokolwiek zawiedzie
Wskazówka
Nie zaczynaj od
p=reject! Możesz nieświadomie zablokować legalną pocztę (np. forwardery, listy mailingowe). Zawsze 2-4 tygodnie zp=noneżeby zobaczyć w raportach co wysyła z Twojej domeny.
Diagnostyka
Sprawdzenie SPF
dig +short TXT mojafirma.pl
Poszukaj linii zaczynającej się od "v=spf1.
Sprawdzenie DKIM
dig +short TXT default._domainkey.mojafirma.pl
(Zmień default na właściwy selector — Google używa google._domainkey, Microsoft selector1._domainkey.)
Sprawdzenie DMARC
dig +short TXT _dmarc.mojafirma.pl
Narzędzia online
- mxtoolbox.com — wszystkie 3 w jednym
- dmarcanalyzer.com — analiza raportów DMARC
- easydmarc.com — generator + monitoring
- mail-tester.com — wyślij testowego maila, dostań szczegółową ocenę
Najczęstsze problemy
1. „Maile lądują w spamie mimo SPF/DKIM/DMARC"
- Sprawdź mail-tester.com — pokaże konkretnie co źle.
- Domena może być na blackliście (sprawdź mxtoolbox).
- Treść maila może wyglądać na spam (dużo URL-i, dużo wykrzykników).
- Nadawca jako
noreply@jest mniej zaufany niż konkretne imię.
2. „SPF działa dla głównej domeny, ale nie dla subdomen"
Subdomeny nie dziedziczą SPF z głównej. Każda subdomena wysyłająca pocztę potrzebuje własnego SPF.
3. „Mam dwa rekordy SPF — czy mogę?"
Nie. Tylko jeden SPF na domenie. Połącz w jeden: v=spf1 a mx include:_spf.google.com include:mailgun.org ~all.
4. „DKIM podpisuje, ale Gmail nadal go ignoruje"
- Sprawdź czy klucz w DNS pasuje do tego, którego używa serwer wysyłający.
- Selector musi być właściwy (
defaultvss1vsgoogle). - Spróbuj wysłać do mail-tester.com i zobacz w jego raporcie.
5. „DMARC raportuje 'fail' z mojego własnego serwera"
- Sprawdź czy SPF zawiera Twój wysyłający IP.
- Sprawdź czy DKIM jest podpisywany (sprawdź w nagłówkach wysłanego maila —
DKIM-Signature: ...). - Niektóre forwardery łamią DKIM przy przesyłaniu — to znany problem, DMARC z
p=nonenie blokuje.
6. „Raporty DMARC w XML — jak je czytać?"
Ręcznie ciężkie. Usługi: dmarcian.com, postmark DMARC, easydmarc.com — większość ma darmowy tier.
Słowniczek
- SPF — Sender Policy Framework, lista uprawnionych IP/hostów do wysyłania poczty z domeny.
- DKIM — DomainKeys Identified Mail, kryptograficzny podpis maila.
- DMARC — Domain-based Message Authentication, Reporting & Conformance — polityka dla SPF+DKIM.
- Selector — nazwa „wersji" klucza DKIM (np.
default,google,s1). Pozwala mieć wiele kluczy równocześnie. - rua — Reporting Address Unicast Aggregate — adres na zbiorcze raporty DMARC.
- DKIM signature — nagłówek
DKIM-Signaturew mailu zawierający podpis.
Related
Feedback
Czy ten artykuł pomógł?