SPF, DKIM i DMARC — autentykacja DNS poczty
spf dkim dmarc dns · email authentication records · spf record check · dmarc txt record
Jak rekordy TXT SPF, DKIM i DMARC współpracują, przykładowe stringi, podstawy alignment i weryfikacja autentykacji poczty w DNS Checker.
Autor: DN01 Network Team
Nowoczesna deliverability opiera się na trzech standardach TXT: SPF listuje, kto może wysyłać pocztę dla Twojej domeny, DKIM podpisuje wiadomości kryptograficznie, a DMARC mówi odbiorcom, jak obsłużyć błędy i gdzie wysłać raporty agregowane.
Opublikuj wszystkie trzy po onboardingu Google Workspace, Microsoft 365 lub relay SMTP. Zweryfikuj live wartości w DNS Checker, potem monitoruj reputację w Blacklist Checker, gdy bulk mail nagle pokazuje deferrals.
SPF (Sender Policy Framework)
TXT SPF na apex często wygląda jak `v=spf1 include:_spf.google.com ~all`. Mechanizmy: ip4, include, a, mx i kwalifikator all. Hard fail (-all) jest surowszy niż soft fail (~all).
Tylko jeden TXT SPF na nazwę. Scal include zamiast dodawać drugi rekord. RFC 7208 dokumentuje składnię i limity (10 lookupów DNS podczas oceny SPF).
DKIM (DomainKeys Identified Mail)
DKIM publikuje klucz publiczny w TXT pod `selector._domainkey.example.com`. Selektor pochodzi od dostawcy poczty. Klucze rotują — aktualizuj DNS, gdy panel generuje nowy selektor.
Alignment oznacza, że domena podpisu zgadza się z domeną nagłówka From (strict) lub organizacyjną (relaxed). Niewyrównany DKIM weryfikuje kryptograficznie, ale może nie spełnić DMARC.
DMARC (Domain-based Message Authentication)
DMARC żyje pod `_dmarc.example.com` jako `v=DMARC1; p=none|quarantine|reject; rua=mailto:[email protected]`. Zacznij od p=none, zbieraj raporty, potem zaostrz politykę.
DMARC przechodzi tylko, gdy SPF lub DKIM jest wyrównany z domeną From i przynajmniej jeden przechodzi. Naprawa DMARC bez SPF/DKIM jest niemożliwa — najpierw skonfiguruj auth.
Checklist weryfikacji
Odpytaj TXT apex dla SPF, TXT selektora dla DKIM, `_dmarc` dla polityki. Wyślij testową wiadomość na skrzynkę pokazującą nagłówki Authentication-Results. Ponów kontrolę po TTL przy rotacji kluczy.
Użyj DIG z typem TXT, gdy potrzebujesz surowych odpowiedzi multi-string do załączników ticketów.
| Standard | Lokalizacja | Przykładowy fragment |
|---|---|---|
| SPF | example.com TXT | v=spf1 include:send.example.net -all |
| DKIM | s1._domainkey.example.com TXT | v=DKIM1; k=rsa; p=MIGfMA0G... |
| DMARC | _dmarc.example.com TXT | v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected] |
Najczęściej zadawane pytania
- Czy SPF i DKIM mogą paść, a poczta i tak dojść?
Tak — odbiorcy mogą akceptować ze scoringiem spam. Polityka DMARC decyduje, czy błędy powodują kwarantannę lub reject.
- Ile include SPF to za dużo?
Więcej niż dziesięć lookupów DNS podczas oceny SPF psuje SPF wg spec. Spłaszcz include lub ostrożnie używaj makr SPF.
- Czy potrzebuję DMARC od pierwszego dnia?
Najpierw opublikuj p=none z raportowaniem. Przejdź na quarantine/reject, gdy SPF i DKIM niezawodnie się wyrównują.
- Gdzie pasuje BIMI?
BIMI to opcjonalny branding nad DMARC z p=quarantine lub reject i zweryfikowanym certyfikatem marki — poza podstawowym setupem.