Jak skonfigurować rekordy SPF, DKIM, DMARC?

Cel Artykułu: Ten artykuł wyjaśnia, czym są i jak poprawnie skonfigurować rekordy SPF, DKIM i DMARC dla domen obsługiwanych przez IQhost, aby zwiększyć bezpieczeństwo poczty elektronicznej i poprawić dostarczalność wiadomości.

Dlaczego warto skonfigurować rekordy SPF, DKIM i DMARC?

Konfiguracja tych trzech mechanizmów zabezpieczeń poczty elektronicznej przynosi następujące korzyści:

  • Lepsza dostarczalność - zmniejsza ryzyko, że Twoje wiadomości trafią do spamu
  • Ochrona przed podszywaniem się - utrudnia cyberprzestępcom wysyłanie wiadomości z fałszywym adresem nadawcy z Twojej domeny
  • Zwiększone bezpieczeństwo - pomaga chronić Twoich klientów i kontrahentów przed atakami phishingowymi
  • Lepsza reputacja - serwery pocztowe odbiorców bardziej ufają domenom z prawidłowo skonfigurowanymi mechanizmami uwierzytelniania
  • Zgodność z najlepszymi praktykami - coraz więcej dostawców poczty wymaga tych rekordów do poprawnego dostarczania wiadomości

Czym są rekordy SPF, DKIM i DMARC?

SPF (Sender Policy Framework)

SPF to mechanizm weryfikacji, który pozwala określić, które serwery pocztowe są uprawnione do wysyłania wiadomości e-mail w imieniu Twojej domeny. SPF działa poprzez publikację specjalnego rekordu TXT w DNS domeny.

Jak działa SPF:

  1. Określasz listę serwerów uprawnionych do wysyłania poczty w imieniu Twojej domeny
  2. Serwer odbiorcy sprawdza, czy wiadomość pochodzi z autoryzowanego serwera
  3. Jeśli nie, może odrzucić wiadomość lub oznaczyć ją jako podejrzaną

DKIM (DomainKeys Identified Mail)

DKIM to mechanizm uwierzytelniania, który dodaje cyfrowy podpis do każdej wysyłanej wiadomości. Podpis ten jest tworzony przy użyciu klucza prywatnego na serwerze nadawcy, a weryfikowany za pomocą klucza publicznego opublikowanego w DNS domeny.

Jak działa DKIM:

  1. Serwer pocztowy dodaje cyfrowy podpis do nagłówka wiadomości
  2. Serwer odbiorcy pobiera klucz publiczny z rekordu DNS Twojej domeny
  3. Weryfikuje, czy podpis został utworzony przy użyciu odpowiadającego mu klucza prywatnego
  4. Potwierdza, że wiadomość nie została zmodyfikowana podczas przesyłania

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC to polityka, która określa, co należy zrobić z wiadomościami, które nie przejdą weryfikacji SPF lub DKIM. Dodatkowo, DMARC może generować raporty o próbach wysyłania wiadomości w imieniu Twojej domeny.

Jak działa DMARC:

  1. Określasz politykę postępowania z nieuwierzytelnionymi wiadomościami (odrzuć, poddaj kwarantannie lub przepuść)
  2. Serwer odbiorcy sprawdza zgodność z SPF i DKIM
  3. Na podstawie wyników i Twojej polityki DMARC podejmuje odpowiednie działanie
  4. Opcjonalnie wysyła raporty o próbach wysyłania wiadomości z Twojej domeny

Konfiguracja SPF dla domeny w IQhost

Krok 1: Przygotowanie rekordu SPF

Dla domen hostowanych w IQhost, standardowy rekord SPF powinien wyglądać tak:

v=spf1 include:hostXXXXX.iqhs.pl ~all

Gdzie hostXXXXX należy zastąpić Twoją rzeczywistą nazwą użytkownika hostingu (np. host08842).

Uwaga: Jeśli nie znasz swojej nazwy użytkownika hostingu, sprawdź ją w Panelu Klienta IQhost w sekcji Usługi → Hosting.

Krok 2: Dodanie rekordu SPF w DNS

  1. Zaloguj się do Panelu Klienta IQhost (panel.iqgroup.pl)
  2. Przejdź do sekcji Domeny → wybierz domenę → Zarządzaj DNS
  3. Dodaj nowy rekord TXT:
    • Nazwa: @ (lub pozostaw puste pole)
    • Typ: TXT
    • Wartość: v=spf1 include:hostXXXXX.iqhs.pl ~all
    • TTL: 3600 (lub domyślna wartość)
  4. Kliknij Dodaj rekord

Krok 3: Weryfikacja rekordu SPF

Po dodaniu rekordu SPF możesz sprawdzić jego poprawność za pomocą narzędzi online:

  1. Odwiedź stronę MXToolbox SPF Lookup
  2. Wprowadź nazwę swojej domeny
  3. Sprawdź, czy rekord jest poprawnie wykrywany i nie zawiera błędów

Wskazówka: Rekordy DNS mogą potrzebować od kilku minut do nawet 24 godzin na propagację w internecie.

Konfiguracja DKIM dla domeny w IQhost

DKIM jest bardziej zaawansowanym mechanizmem zabezpieczeń, który wymaga konfiguracji zarówno po stronie serwera, jak i w DNS. W IQhost konfiguracja DKIM odbywa się częściowo automatycznie.

Krok 1: Włączenie DKIM w DirectAdmin

  1. Zaloguj się do DirectAdmin przez Panel Klienta IQhost
  2. Przejdź do sekcji E-mailDKIM
  3. Zaznacz domeny, dla których chcesz włączyć DKIM
  4. Kliknij Zapisz

Po włączeniu DKIM, DirectAdmin automatycznie wygeneruje parę kluczy (prywatny i publiczny) oraz utworzy odpowiedni rekord w strefie DNS. Nie musisz ręcznie dodawać rekordu, jeśli używasz serwerów DNS IQhost.

Krok 2: Weryfikacja rekordu DKIM

Aby sprawdzić, czy DKIM jest poprawnie skonfigurowany:

  1. Odwiedź stronę MXToolbox DKIM Lookup
  2. Wprowadź selektor i domenę w formacie default._domainkey.twojadomena.pl
  3. Sprawdź, czy rekord jest poprawnie wykrywany

Uwaga: W IQhost standardowy selektor DKIM to default, ale może się różnić w zależności od konfiguracji.

Konfiguracja DMARC dla domeny w IQhost

DMARC działa w oparciu o SPF i DKIM, dlatego przed konfiguracją DMARC upewnij się, że masz poprawnie skonfigurowane oba te mechanizmy.

Krok 1: Przygotowanie rekordu DMARC

Podstawowy rekord DMARC powinien wyglądać tak:

v=DMARC1; p=none; rua=mailto:raporty@twojadomena.pl

Gdzie:

  • v=DMARC1 - wersja protokołu
  • p=none - polityka (none = monitorowanie, quarantine = kwarantanna, reject = odrzucanie)
  • rua=mailto:raporty@twojadomena.pl - adres, na który mają być wysyłane raporty zbiorcze

Krok 2: Dodanie rekordu DMARC w DNS

  1. Zaloguj się do Panelu Klienta IQhost (panel.iqgroup.pl)
  2. Przejdź do sekcji Domeny → wybierz domenę → Zarządzaj DNS
  3. Dodaj nowy rekord TXT:
    • Nazwa: _dmarc
    • Typ: TXT
    • Wartość: v=DMARC1; p=none; rua=mailto:raporty@twojadomena.pl
    • TTL: 3600 (lub domyślna wartość)
  4. Kliknij Dodaj rekord

Krok 3: Weryfikacja rekordu DMARC

Aby sprawdzić, czy DMARC jest poprawnie skonfigurowany:

  1. Odwiedź stronę MXToolbox DMARC Lookup
  2. Wprowadź nazwę swojej domeny
  3. Sprawdź, czy rekord jest poprawnie wykrywany i nie zawiera błędów

Zalecane ustawienia dla różnych scenariuszy

Ustawienia dla początkujących (etap monitorowania)

SPF:

v=spf1 include:hostXXXXX.iqhs.pl ~all

Symbol ~all oznacza "soft fail" - wiadomości, które nie przejdą weryfikacji SPF, będą oznaczane jako podejrzane, ale nie odrzucane.

DKIM: Standardowe ustawienia z DirectAdmin.

DMARC:

v=DMARC1; p=none; rua=mailto:raporty@twojadomena.pl

Polityka p=none oznacza tylko monitorowanie - wiadomości nie będą odrzucane ani poddawane kwarantannie.

Ustawienia dla firm (zwiększona ochrona)

SPF:

v=spf1 include:hostXXXXX.iqhs.pl -all

Symbol -all oznacza "hard fail" - wiadomości, które nie przejdą weryfikacji SPF, powinny być odrzucane.

DKIM: Standardowe ustawienia z DirectAdmin.

DMARC:

v=DMARC1; p=quarantine; pct=50; rua=mailto:raporty@twojadomena.pl; ruf=mailto:raporty-forensic@twojadomena.pl

Polityka p=quarantine oznacza, że nieuwierzytelnione wiadomości powinny trafiać do folderu spam. Parametr pct=50 oznacza, że polityka będzie stosowana do 50% wiadomości (stopniowe wdrażanie).

Ustawienia dla krytycznych domen (maksymalna ochrona)

SPF:

v=spf1 include:hostXXXXX.iqhs.pl -all

DKIM: Standardowe ustawienia z DirectAdmin.

DMARC:

v=DMARC1; p=reject; rua=mailto:raporty@twojadomena.pl; ruf=mailto:raporty-forensic@twojadomena.pl; fo=1

Polityka p=reject oznacza, że nieuwierzytelnione wiadomości powinny być odrzucane. Parametr fo=1 oznacza generowanie raportów o wszystkich błędach uwierzytelniania.

Rozwiązywanie typowych problemów

Problem: Wiadomości nie przechodzą weryfikacji SPF

Możliwe przyczyny i rozwiązania:

  • Nieprawidłowy rekord SPF - Sprawdź, czy rekord SPF jest poprawnie skonfigurowany i zawiera wszystkie serwery wysyłające pocztę
  • Przekierowanie poczty - Jeśli korzystasz z przekierowania poczty, oryginalne informacje o nadawcy mogą zostać zachowane, co powoduje błędy SPF. Rozważ użycie mechanizmu "Resend" zamiast "Redirect" w ustawieniach przekierowania.

Problem: Weryfikacja DKIM nie działa poprawnie

Możliwe przyczyny i rozwiązania:

  • Niepoprawny rekord DNS - Sprawdź, czy rekord DKIM w DNS jest poprawnie skonfigurowany
  • Klucz DKIM nie jest używany - Upewnij się, że DKIM jest włączony w panelu DirectAdmin dla odpowiedniej domeny
  • Problem z formatem wiadomości - Niektóre programy pocztowe mogą modyfikować nagłówki wiadomości, co wpływa na weryfikację DKIM. Przetestuj wysyłkę z różnych klientów pocztowych.

Problem: DMARC generuje zbyt wiele raportów

Rozwiązanie:

  • Zamiast otrzymywać raporty na skrzynkę pocztową, rozważ użycie specjalistycznych usług do analizy raportów DMARC
  • Zmień częstotliwość raportów za pomocą parametru ri (np. ri=86400 dla raportów raz dziennie)
  • Używaj dedykowanego adresu e-mail tylko do raportów DMARC

Dobre praktyki i dodatkowe wskazówki

  1. Stopniowe wdrażanie:

    • Zacznij od monitorowania (p=none)
    • Przejdź do kwarantanny (p=quarantine) z niskim procentem (pct=10 lub pct=25)
    • Stopniowo zwiększaj procent do 100%
    • Ostatecznie przejdź do odrzucania (p=reject), gdy potwierdzisz, że wszystko działa prawidłowo

  2. Monitorowanie raportów:

    • Regularnie sprawdzaj raporty DMARC
    • Zwracaj uwagę na niepowodzenia uwierzytelniania
    • Identyfikuj i dodawaj brakujące źródła e-mail do rekordu SPF

  3. Testowanie przed pełnym wdrożeniem:

    • Wyślij testowe wiadomości do głównych dostawców (Gmail, Outlook itp.)
    • Sprawdź nagłówki otrzymanych wiadomości, aby upewnić się, że SPF i DKIM przechodzą weryfikację
    • Korzystaj z narzędzi online do testowania konfiguracji

  4. Dodatkowe aspekty:

    • Pamiętaj o konfiguracji SPF dla subdomenmain, jeśli są używane do wysyłki poczty
    • Rozważ ustawienie polityki dla subdomenmain (sp=) w DMARC
    • Ustaw DMARC z polityką p=reject dla domen, które w ogóle nie wysyłają poczty

Przydatne narzędzia do weryfikacji

  • MXToolbox - kompleksowe narzędzie do sprawdzania rekordów SPF, DKIM i DMARC
  • DMARC Analyzer - narzędzie do analizy raportów DMARC
  • Mail Tester - sprawdza dostarczalność wiadomości e-mail, w tym SPF, DKIM i DMARC
  • DKIM Validator - weryfikacja działania DKIM poprzez wysłanie testowej wiadomości

Powiązane Artykuły:

Tagi

poczta bezpieczeństwo dns konfiguracja spf dkim dmarc

Czy ten artykuł był pomocny?

Twoja strona WordPress działa wolno?

Sprawdź nasz hosting WordPress z ultraszybkimi dyskami NVMe i konfiguracją serwera zoptymalizowaną pod kątem wydajności. Doświadcz różnicy już dziś!

Sprawdź ofertę hostingu
30-dniowa gwarancja zwrotu pieniędzy