SPF, DKIM i DMARC: Kompletny Przewodnik po Uwierzytelnianiu E-maili

Uwierzytelnianie e-maili to fundament niezawodnej dostarczalności wiadomości. Bez właściwej konfiguracji SPF, DKIM i DMARC starannie przygotowane e-maile mogą nigdy nie trafić do skrzynek odbiorczych Twoich klientów - zamiast tego lądują w spamie lub są odrzucane w całości.

Ten kompleksowy przewodnik wyjaśnia, co robi każdy protokół uwierzytelniania, zawiera instrukcje konfiguracji DNS krok po kroku, omawia rozwiązywanie typowych problemów oraz pokazuje, jak zweryfikować, czy konfiguracja działa poprawnie.

Dlaczego uwierzytelnianie e-maili ma znaczenie

E-mail powstał w czasach, gdy bezpieczeństwo nie było priorytetem. Oryginalny protokół SMTP nie ma wbudowanego mechanizmu weryfikacji, który potwierdzałby, że wiadomość pochodzi od tego, za kogo się podaje. Ta fundamentalna słabość umożliwia spoofing e-maili, ataki phishingowe i spam.

Protokoły uwierzytelniania e-maili rozwiązują ten problem, pozwalając właścicielom domen określić:

• Które serwery mogą wysyłać e-maile w ich imieniu (SPF)
• Kryptograficzny dowód autentyczności i niezmienności wiadomości (DKIM)
• Co robić z wiadomościami, które nie przejdą uwierzytelnienia (DMARC)

Biznesowe konsekwencje słabego uwierzytelniania

Bez właściwego uwierzytelniania e-maili:

• Niższa dostarczalność: Główni dostawcy, tacy jak Gmail, Microsoft i Yahoo, agresywniej filtrują nieuwierzytelnione e-maile
• Wyższy wskaźnik spamu: Twoje legalne wiadomości konkurują z podrobionymi e-mailami używającymi Twojej domeny
• Uszczerbek na marce: Ataki phishingowe podszywające się pod Twoją markę niszczą zaufanie klientów
• Straty przychodów: Kampanie marketingowe nie docierają do subskrybentów, którzy się zapisali
• Ryzyka compliance: Wiele regulacji wymaga obecnie właściwego uwierzytelniania e-maili

Triada uwierzytelniania

SPF, DKIM i DMARC współpracują ze sobą jako kompletny system uwierzytelniania:

Każdy protokół adresuje inne wektory ataków. SPF zapobiega wysyłaniu przez nieautoryzowane serwery. DKIM zapobiega manipulowaniu wiadomościami po wysłaniu. DMARC łączy oba i zapewnia wgląd w wyniki uwierzytelniania.

Zrozumienie SPF (Sender Policy Framework)

SPF (Sender Policy Framework) to metoda uwierzytelniania e-maili oparta na DNS, która określa, które serwery pocztowe są uprawnione do wysyłania e-maili w imieniu Twojej domeny.

Jak działa SPF

Gdy e-mail dociera do serwera odbiorczego, ten serwer sprawdza rekord SPF domeny nadawcy. Następnie sprawdza, czy adres IP, który wysłał e-mail, jest wymieniony jako autoryzowany. Jeśli IP pasuje, SPF przechodzi. Jeśli nie - SPF nie przechodzi.

Proces weryfikacji SPF:

1. Wysyłasz e-mail ze swojej platformy marketingowej
2. Serwer odbiorczy wyodrębnia Twoją domenę z Return-Path (nadawca koperty)
3. Serwer odpytuje DNS o rekord SPF Twojej domeny
4. Porównuje adres IP wysyłającego z autoryzowaną listą w rekordzie SPF
5. Serwer rejestruje wynik: pass, fail, softfail lub neutral

Składnia rekordu SPF

Rekordy SPF są publikowane jako rekordy TXT w DNS Twojej domeny. Oto podstawowa struktura:

v=spf1 [mechanizmy] [kwalifikator]all

Tag wersji: Zawsze zaczyna się od v=spf1

Mechanizmy: Definiują, kto może wysyłać

Kwalifikatory: Definiują, jak traktować dopasowania

Mechanizm all: Stosowany do wszystkiego, co nie pasuje do poprzednich mechanizmów

Przykłady rekordów SPF

Podstawowa konfiguracja z jednym dostawcą e-maili:

v=spf1 include:spf.brevo.com -all

To autoryzuje Brevo do wysyłania e-maili dla Twojej domeny i odrzuca wszystkich innych nadawców.

Wiele usług e-mail:

v=spf1 include:spf.brevo.com include:_spf.google.com include:spf.protection.outlook.com -all

To autoryzuje Brevo, Google Workspace i Microsoft 365.

Uwzględnienie własnego serwera pocztowego:

v=spf1 ip4:203.0.113.10 include:spf.brevo.com -all

To autoryzuje konkretny adres IP (Twój serwer) oraz Brevo.

Rozpoczynanie z softfail podczas testowania:

v=spf1 include:spf.brevo.com ~all

Użycie ~all zamiast -all oznacza niepowodzenia, ale ich nie odrzuca. Przydatne podczas początkowej konfiguracji.

Konfigurowanie rekordów SPF

Krok 1: Zidentyfikuj źródła wysyłania

Wymień każdą usługę, która wysyła e-maile z Twojej domeny:

• Platformy do e-mail marketingu (Brevo, Mailchimp itp.)
• Usługi e-maili transakcyjnych
• Systemy CRM
• Oprogramowanie helpdesk
• Poczta firmowa (Google Workspace, Microsoft 365)
• Własne serwery pocztowe

Krok 2: Zbierz instrukcje include dla SPF

Każdy dostawca usług e-mail dokumentuje wymagany include dla SPF. Typowe przykłady:

Krok 3: Utwórz rekord SPF

Połącz wszystkie include w jeden rekord:

v=spf1 include:spf.brevo.com include:_spf.google.com -all

Krok 4: Dodaj rekord DNS

W interfejsie zarządzania DNS:

• Typ: TXT
• Host/Nazwa: @ (lub pozostaw puste dla domeny głównej)
• Wartość: Twój kompletny rekord SPF
• TTL: 3600 (lub domyślny)

Krok 5: Zweryfikuj rekord

Użyj narzędzi do wyszukiwania DNS, aby potwierdzić:

dig TXT twojadomena.pl

Możesz też skorzystać z narzędzi online, takich jak MXToolbox SPF Lookup.

Ograniczenia SPF i najlepsze praktyki

Limit 10 zapytań DNS:

SPF ma maksymalnie 10 zapytań DNS. Każdy include: liczy się jako jedno zapytanie, a dołączone rekordy mogą zawierać własne include, wliczane do limitu. Przekroczenie go powoduje SPF permerror (błąd trwały), co sprawia, że wszystkie sprawdzenia kończą się niepowodzeniem.

Strategie utrzymania się poniżej limitu:

• Używaj bezpośrednio adresów IP, gdy to możliwe (ip4: nie liczy się jako zapytanie)
• Konsoliduj usługi u tego samego dostawcy
• Używaj usług spłaszczania SPF, które konwertują include na adresy IP
• Usuń nieużywane include po zmianie usług

Inne najlepsze praktyki SPF:

• Tylko jeden rekord SPF na domenę (wiele rekordów powoduje niepowodzenia)
• Zacznij od ~all (softfail) podczas konfiguracji, przejdź do -all po potwierdzeniu
• Aktualizuj SPF przy zmianie dostawców e-maili
• Nie używaj przestarzałego mechanizmu ptr
• Utrzymuj rekordy możliwie proste

Typowe błędy SPF

Wiele rekordów SPF:

Błędnie:
v=spf1 include:spf.brevo.com -all
v=spf1 include:_spf.google.com -all

Prawidłowo:
v=spf1 include:spf.brevo.com include:_spf.google.com -all

Przekroczenie limitu zapytań DNS:

Jeśli masz wiele include, sprawdź łączną liczbę zapytań. Użyj analizatorów SPF, aby zweryfikować, że jesteś poniżej 10.

Zapomniane aktualizacje po zmianie dostawców:

Przy przechodzeniu z jednej usługi e-mail na inną usuń stary include i dodaj nowy.

Używanie +all:

Nigdy nie używaj +all, ponieważ autoryzuje wszystkich do wysyłania jako Twoja domena.

Zrozumienie DKIM (DomainKeys Identified Mail)

DKIM (DomainKeys Identified Mail) dodaje kryptograficzny podpis do Twoich e-maili, udowadniając, że wiadomość pochodzi z Twojej domeny i nie została zmodyfikowana w trakcie przesyłania.

Jak działa DKIM

DKIM używa kryptografii klucza publicznego:

1. Twój dostawca e-maili generuje parę kluczy publiczny/prywatny
2. Publikujesz klucz publiczny w DNS
3. Dostawca podpisuje wychodzące e-maile kluczem prywatnym
4. Serwery odbiorcze pobierają Twój klucz publiczny z DNS
5. Używają klucza publicznego do weryfikacji podpisu
6. Prawidłowy podpis dowodzi autentyczności i integralności

Co podpisuje DKIM:

Podpisy DKIM zazwyczaj obejmują określone nagłówki i treść wiadomości:

• Nagłówek From (wymagany)
• Nagłówek Subject
• Nagłówek Date
• Treść wiadomości
• Inne nagłówki zgodnie z konfiguracją

Zapobiega to atakującym modyfikowaniu tych elementów po wysłaniu.

Struktura rekordu DKIM

Rekordy DKIM są publikowane jako rekordy TXT o określonym formacie nazewnictwa:

selektor._domainkey.twojadomena.pl

Selektor to unikalny identyfikator, który pozwala mieć wiele kluczy DKIM. Różne usługi e-mail używają różnych selektorów (np. brevo, google, s1, s2).

Zawartość rekordu DKIM:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC...

Konfigurowanie DKIM

Krok 1: Wygeneruj klucze DKIM

Twój dostawca usług e-mail zazwyczaj generuje klucze automatycznie. W Brevo:

1. Przejdź do Ustawień > Nadawcy, Domeny i Dedykowane IP
2. Wybierz swoją domenę
3. Przejdź do sekcji DKIM
4. Skopiuj podany rekord DNS

Dla samodzielnie hostowanych serwerów pocztowych generuj klucze za pomocą OpenSSL:

openssl genrsa -out private.key 2048
openssl rsa -in private.key -pubout -out public.key

Krok 2: Dodaj rekord DNS DKIM

W swoim zarządzaniu DNS:

• Typ: TXT
• Host/Nazwa: selektor._domainkey (np. brevo._domainkey)
• Wartość: Rekord DKIM od Twojego dostawcy
• TTL: 3600

Krok 3: Włącz podpisywanie DKIM

W ustawieniach swojego dostawcy e-maili włącz podpisywanie DKIM dla swojej domeny. To informuje dostawcę o podpisywaniu wychodzących wiadomości.

Krok 4: Zweryfikuj konfigurację

Wyślij testowy e-mail i sprawdź nagłówki pod kątem DKIM-Signature. Użyj narzędzi takich jak:

• mail-tester.com
• DKIM Validator
• MXToolbox DKIM Lookup

Najlepsze praktyki DKIM

Używaj kluczy 2048-bitowych:

Starsze klucze 1024-bitowe są uważane za słabe. Nowoczesne standardy bezpieczeństwa zalecają minimum 2048-bitowe klucze RSA.

Regularnie rotuj klucze:

Choć nie jest to ściśle wymagane, roczna rotacja kluczy DKIM to dobra praktyka bezpieczeństwa. Dodaj nowy klucz przed usunięciem starego, aby uniknąć przerw.

Monitoruj pod kątem kompromitacji klucza:

Jeśli Twój klucz prywatny zostanie skompromitowany, atakujący mogą podpisywać wiadomości jako Ty. Monitoruj pod kątem nietypowych wzorców uwierzytelniania.

Używaj różnych selektorów dla różnych usług:

Każdy dostawca e-maili powinien używać unikalnego selektora. Umożliwia to niezależne zarządzanie kluczami i nie koliduje z innymi usługami.

Sprawdź propagację DNS:

Klucze DKIM mogą być długie. Upewnij się, że Twój dostawca DNS obsługuje rekordy TXT o wystarczającej długości. Niektórzy dostawcy wymagają podzielenia klucza na wiele ciągów.

Odczytywanie nagłówków DKIM

Gdy otrzymujesz e-mail, nagłówek DKIM-Signature pokazuje:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=example.com; s=brevo;
  h=from:to:subject:date:message-id;
  bh=base64hashofbody;
  b=base64signature;

Zrozumienie DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC rozbudowuje SPF i DKIM, zapewniając egzekwowanie polityki i raportowanie. Informuje serwery odbiorcze, co robić, gdy uwierzytelnianie nie przejdzie, i wysyła Ci raporty o wynikach uwierzytelniania.

Jak działa DMARC

DMARC dodaje dwie kluczowe możliwości:

1. Egzekwowanie polityki: Zdefiniuj, jak odbiorcy powinni traktować niepowodzenia uwierzytelniania
2. Raportowanie: Otrzymuj dane o tym, kto wysyła e-maile używając Twojej domeny

Proces weryfikacji DMARC:

1. Serwer odbiorczy otrzymuje e-mail podający się za Twoją domenę
2. Sprawdza SPF (czy wysyłający IP pasuje?)
3. Sprawdza DKIM (czy podpis jest prawidłowy?)
4. Sprawdza wyrównanie DMARC (czy uwierzytelnione domeny pasują do nagłówka From?)
5. Jeśli wyrównanie nie przejdzie, stosuje Twoją politykę DMARC
6. Wysyła Ci raporty zbiorcze i/lub sądowe

Wyrównanie DMARC

DMARC wymaga wyrównania między domeną w nagłówku From a domenami, które przechodzą SPF lub DKIM:

Wyrównanie SPF: Domena w Return-Path (nadawca koperty) musi pasować do domeny nagłówka From lub być jej subdomeną.

Wyrównanie DKIM: Domena w podpisie DKIM (tag d=) musi pasować do domeny nagłówka From lub być jej subdomeną.

Tryby wyrównania:

Przy zrelaksowanym wyrównaniu, jeśli Twój nagłówek From pokazuje [email protected] a DKIM podpisuje z brevo.example.com, wyrównanie przechodzi, ponieważ obie domeny dzielą domenę organizacyjną example.com.

Składnia rekordu DMARC

Rekordy DMARC są publikowane jako rekordy TXT pod _dmarc.twojadomena.pl:

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100

Wymagane tagi:

Opcjonalne tagi:

Polityki DMARC - wyjaśnienie

p=none (Tylko monitorowanie):

Brak działania przy niepowodzeniach. E-maile są dostarczane normalnie. Używaj tego podczas analizowania raportów i naprawiania problemów z uwierzytelnianiem.

v=DMARC1; p=none; rua=mailto:[email protected]

p=quarantine (Folder spam):

Nieudane e-maile trafiają do folderu spam/niechciane. Dobry etap pośredni przed całkowitym odrzucaniem.

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100

p=reject (Blokada):

Nieudane e-maile są całkowicie odrzucane. Maksymalna ochrona - ale najpierw upewnij się, że wszystkie legalne źródła przechodzą.

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100

Konfigurowanie DMARC

Krok 1: Upewnij się, że SPF i DKIM działają

DMARC zależy od SPF i DKIM. Zweryfikuj poprawność konfiguracji obu przed dodaniem DMARC.

Krok 2: Zacznij od monitorowania (p=none)

Zacznij od najbardziej permisywnej polityki, aby zbierać dane bez wpływania na dostarczalność:

v=DMARC1; p=none; rua=mailto:[email protected]

Krok 3: Dodaj rekord DNS

W swoim zarządzaniu DNS:

• Typ: TXT
• Host/Nazwa: _dmarc
• Wartość: Twój rekord DMARC
• TTL: 3600

Krok 4: Analizuj raporty przez 2–4 tygodnie

Zbiorcze raporty DMARC przychodzą codziennie jako pliki XML. Pokazują:

• Które IP wysyłają e-maile używając Twojej domeny
• Wskaźniki przejścia/niepowodzenia SPF i DKIM
• Wyniki wyrównania DMARC
• Działania serwera odbiorczego

Używaj analizatorów raportów DMARC do wizualizacji danych:

• DMARC Analyzer
• Postmark DMARC
• Valimail
• dmarcian

Krok 5: Napraw problemy z uwierzytelnianiem

Typowe problemy ujawniane przez raporty:

• Legalne usługi brakujące w SPF
• DKIM niewłączone dla usługi wysyłającej
• Usługi stron trzecich wysyłające bez właściwego uwierzytelniania
• Przekazywanie wiadomości psujące wyrównanie SPF

Krok 6: Stopniowe egzekwowanie

Gdy legalne źródła przechodzą konsekwentnie:

1. Przejdź do p=quarantine; pct=10 (kwarantanna 10% niepowodzeń)
2. Zwiększaj pct do 25, 50, 75, 100
3. Przejdź do p=reject; pct=10
4. Zwiększaj do pełnego odrzucania

Krok 7: Utrzymuj i monitoruj

Kontynuuj przeglądanie raportów. Nowe źródła wysyłania, zmiany dostawców lub dryfowanie konfiguracji mogą powodować niepowodzenia uwierzytelniania.

Zrozumienie raportów DMARC

Raporty zbiorcze (rua):

Codzienne podsumowania XML pokazujące:

• Organizację raportującą
• Zakres dat
• Opublikowaną politykę
• Wyniki uwierzytelniania według źródłowego IP
• Wolumen e-maili

Przykładowy fragment:

<record>
  <source_ip>203.0.113.10</source_ip>
  <count>1250</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>pass</spf>
  </policy_evaluated>
</record>

Raporty sądowe (ruf):

Szczegóły poszczególnych wiadomości dla niepowodzeń. Bardziej szczegółowe, ale wrażliwe pod względem prywatności. Wielu odbiorców nie wysyła raportów sądowych.

Najlepsze praktyki DMARC

Zawsze zaczynaj od p=none:

Przejście bezpośrednio do reject może zablokować legalne e-maile. Najpierw monitoruj.

Używaj dedykowanego adresu e-mail dla raportów:

Raporty DMARC mogą być obszerne. Używaj dedykowanego adresu lub usługi zewnętrznej.

Ustaw politykę subdomeny (sp=):

Jeśli nie wysyłasz e-maili z subdomen, ustaw sp=reject, aby chronić je przed spoofingiem.

Używaj procentu (pct=) do stopniowego wdrażania:

Tag pct pozwala egzekwować politykę dla procentu niepowodzeń, jednocześnie monitorując resztę.

Rozważ dedykowane usługi DMARC:

W przypadku dużych organizacji, usługi takie jak Valimail, dmarcian lub Postmark DMARC zapewniają lepszą analizę raportów niż surowe pliki XML.

Konfiguracja rekordów DNS: kompletny przewodnik

Konfiguracja uwierzytelniania e-maili wymaga dodania określonych rekordów DNS. Ta sekcja zawiera kompletny przewodnik dla głównych dostawców DNS.

Zbieranie wymaganych wartości

Przed rozpoczęciem zbierz te wartości od swoich dostawców e-maili:

Dla SPF:

• Wszystkie instrukcje include (np. include:spf.brevo.com)
• Wszystkie konkretne adresy IP, które musisz autoryzować

Dla DKIM:

• Nazwa selektora (np. brevo, google, s1)
• Pełna wartość klucza DKIM

Dla DMARC:

• Twój adres e-mail do raportowania

Dodawanie rekordów u popularnych dostawców DNS

Cloudflare:

1. Zaloguj się do Cloudflare Dashboard
2. Wybierz swoją domenę
3. Przejdź do DNS > Rekordy
4. Kliknij Dodaj rekord
5. Dla SPF: Typ=TXT, Nazwa=@, Zawartość=Twój rekord SPF
6. Dla DKIM: Typ=TXT, Nazwa=selektor._domainkey, Zawartość=klucz DKIM
7. Dla DMARC: Typ=TXT, Nazwa=_dmarc, Zawartość=rekord DMARC
8. Kliknij Zapisz

Google Domains/Squarespace:

1. Przejdź do ustawień DNS dla swojej domeny
2. Przewiń do Niestandardowych rekordów
3. Kliknij Zarządzaj niestandardowymi rekordami
4. Dodaj każdy rekord z odpowiednim typem, hostem i danymi
5. Dla SPF: Host=@, Typ=TXT, Dane=rekord SPF
6. Dla DKIM: Host=selektor._domainkey, Typ=TXT, Dane=klucz DKIM
7. Dla DMARC: Host=_dmarc, Typ=TXT, Dane=rekord DMARC

GoDaddy:

1. Przejdź do Moje produkty > Domeny
2. Kliknij DNS obok swojej domeny
3. Przewiń do sekcji Rekordy
4. Kliknij Dodaj dla każdego nowego rekordu
5. Wybierz TXT dla Typu
6. Wprowadź Nazwę (@ dla SPF, selektor._domainkey dla DKIM, _dmarc dla DMARC)
7. Wprowadź Wartość
8. Zapisz

Namecheap:

1. Przejdź do Listy domen > Zarządzaj
2. Kliknij Zaawansowany DNS
3. Dodaj Nowy rekord dla każdego
4. Wybierz Rekord TXT
5. Host: @ dla SPF, selektor._domainkey dla DKIM, _dmarc dla DMARC
6. Wartość: Zawartość Twojego rekordu
7. Zapisz wszystkie zmiany

Propagacja DNS

Po dodaniu rekordów zmiany potrzebują czasu na propagację globalną. Zazwyczaj trwa to:

• 5–30 minut dla wstępnej widoczności
• Do 48 godzin dla pełnej globalnej propagacji

Użyj dig lub nslookup do weryfikacji:

dig TXT twojadomena.pl
dig TXT selektor._domainkey.twojadomena.pl
dig TXT _dmarc.twojadomena.pl

Możesz też używać narzędzi online, takich jak whatsmydns.net, do sprawdzania propagacji na całym świecie.

Przykładowa kompletna konfiguracja

Dla domeny używającej Brevo i Google Workspace:

Rekord SPF (TXT w @):

v=spf1 include:spf.brevo.com include:_spf.google.com -all

Rekord DKIM dla Brevo (TXT w brevo._domainkey):

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBA... [klucz z dashboardu Brevo]

Rekord DKIM dla Google (TXT w google._domainkey):

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BA... [klucz z Google Admin]

Rekord DMARC (TXT w _dmarc):

v=DMARC1; p=none; rua=mailto:[email protected]

Rozwiązywanie typowych problemów

Nawet przy starannej konfiguracji uwierzytelnianie e-maili może nie działać. Oto typowe problemy i sposoby ich rozwiązania.

Rozwiązywanie problemów SPF

Nie znaleziono rekordu SPF:

Objawy: Sprawdzenia SPF pokazują “none” lub “no record”

Przyczyny:

• Rekord nie został dodany do DNS
• Rekord dodany w złym miejscu (subdomena zamiast domeny głównej)
• Propagacja DNS niekompletna

Rozwiązania:

• Sprawdź istnienie rekordu za pomocą dig TXT twojadomena.pl
• Sprawdź pole Nazwa/Host (powinno być @ lub puste dla domeny głównej)
• Poczekaj na propagację DNS (do 48 godzin)

SPF PermError (zbyt wiele zapytań):

Objawy: Wyniki SPF pokazują “permerror”

Przyczyny:

• Więcej niż 10 zapytań DNS w rekordzie SPF
• Include zawierające nadmierne zagnieżdżone include

Rozwiązania:

• Przejrzyj swoje include i usuń nieużywane
• Zastąp include wpisami ip4: tam, gdzie to możliwe
• Użyj usług spłaszczania SPF
• Skonsoliduj usługi u mniejszej liczby dostawców

SPF SoftFail lub Fail dla legalnej poczty:

Objawy: Legalne e-maile nie przechodzą SPF

Przyczyny:

• Usługa wysyłająca nieuwzględniona w SPF
• Wysyłanie z IP nieautoryzowanego
• Użycie przekaźnika, który zmienia nadawcę koperty

Rozwiązania:

• Dodaj brakujący include dla swojej usługi wysyłającej
• Sprawdź, które IP faktycznie wysłało e-mail (z nagłówków)
• Skontaktuj się z dostawcą e-maili w celu uzyskania prawidłowych ustawień SPF

Wiele rekordów SPF:

Objawy: SPF pokazuje permerror lub losowe niepowodzenia

Przyczyny:

• Dwa lub więcej rekordów TXT zawierających v=spf1

Rozwiązania:

• Połącz wszystkie mechanizmy w jeden rekord SPF
• Usuń zduplikowane rekordy SPF

Rozwiązywanie problemów DKIM

Brakujący podpis DKIM:

Objawy: Brak nagłówka DKIM-Signature w e-mailach

Przyczyny:

• Podpisywanie DKIM niewłączone u dostawcy e-maili
• Weryfikacja domeny nieukończona
• Wysyłanie przez ścieżkę bez DKIM

Rozwiązania:

• Włącz DKIM w ustawieniach swojego dostawcy
• Ukończ kroki weryfikacji domeny
• Sprawdź dokumentację dostawcy dla konfiguracji DKIM

Weryfikacja DKIM nie powiodła się:

Objawy: DKIM pokazuje “fail” w wynikach uwierzytelniania

Przyczyny:

• Rekord DNS nieopublikowany lub nieprawidłowy
• Użyty zły selektor
• Niezgodność klucza między DNS a podpisywaniem
• Wiadomość zmodyfikowana w trakcie przesyłania

Rozwiązania:

• Sprawdź istnienie rekordu DNS pod selektor._domainkey.domena
• Porównaj selektor w nagłówku DKIM-Signature z DNS
• Wygeneruj klucze ponownie, jeśli podejrzewasz niezgodność
• Sprawdź filtry pocztowe lub przekaźniki modyfikujące wiadomości

Klucz DKIM za długi dla DNS:

Objawy: Nie można zapisać rekordu DKIM, błędy obcięcia

Przyczyny:

• Klucze 2048-bitowe przekraczają długość pojedynczego rekordu TXT
• Dostawca DNS ma limity znaków

Rozwiązania:

• Podziel klucz na wiele cytowanych ciągów (większość dostawców obsługuje to automatycznie)
• Sprawdź, czy Twój dostawca DNS obsługuje długie rekordy TXT
• Tymczasowo użyj kluczy 1024-bitowych (mniej bezpieczne)

Przykład podzielonego rekordu DKIM:

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."
"...kontynuacja klucza..."

Rozwiązywanie problemów DMARC

Niepowodzenia wyrównania DMARC:

Objawy: SPF i DKIM przechodzą, ale DMARC nie

Przyczyny:

• Uwierzytelniona domena nie pasuje do domeny nagłówka From
• Zewnętrzna usługa wysyłania używająca własnej domeny
• Błędnie skonfigurowany nadawca koperty

Rozwiązania:

• Upewnij się, że Twój dostawca e-maili podpisuje Twoją domeną (własny DKIM)
• Skonfiguruj niestandardowy Return-Path/nadawcę koperty
• Użyj zrelaksowanego trybu wyrównania (adkim=r; aspf=r)

Brak raportów DMARC:

Objawy: Brak przychodzących raportów zbiorczych

Przyczyny:

• Nieprawidłowy adres rua
• Adres e-mail nie może odbierać zewnętrznej poczty
• Raporty trafiają do spamu
• Serwery odbiorcze nie wysyłają raportów

Rozwiązania:

• Zweryfikuj składnię rua: rua=mailto:[email protected]
• Sprawdź, czy adres raportowania może odbierać zewnętrzną pocztę
• Sprawdź folder spam pod kątem raportów
• Uwaga: nie wszyscy odbiorcy wysyłają raporty DMARC

Nie znaleziono rekordu DMARC:

Objawy: Sprawdzenia DMARC pokazują “no record”

Przyczyny:

• Rekord opublikowany w złym miejscu
• Użycie złego formatu (musi być TXT pod subdomeną _dmarc)

Rozwiązania:

• Rekord musi być pod _dmarc.twojadomena.pl
• Sprawdź za pomocą dig TXT _dmarc.twojadomena.pl

Ogólne narzędzia do rozwiązywania problemów

Walidatory online:

• MXToolbox (mxtoolbox.com) - wyszukiwania SPF, DKIM, DMARC
• Mail Tester (mail-tester.com) - wyślij testowy e-mail dla pełnej analizy
• DMARC Analyzer - wizualizacja raportów
• Google Admin Toolbox - sprawdź MX, SPF, DKIM

Narzędzia wiersza poleceń:

# Sprawdź SPF
dig TXT twojadomena.pl

# Sprawdź DKIM
dig TXT selektor._domainkey.twojadomena.pl

# Sprawdź DMARC
dig TXT _dmarc.twojadomena.pl

# Sprawdź z konkretnego serwera DNS
dig @8.8.8.8 TXT twojadomena.pl

Analiza nagłówków e-mail:

Sprawdź nagłówek Authentication-Results w odebranych e-mailach:

Authentication-Results: mx.google.com;
  dkim=pass header.d=example.com header.s=brevo;
  spf=pass smtp.mailfrom=example.com;
  dmarc=pass action=none header.from=example.com

Uwierzytelnianie e-maili i Brevo

Brevo zapewnia kompleksowe wsparcie uwierzytelniania e-maili, ułatwiając konfigurację SPF, DKIM i DMARC dla Twoich domen wysyłających.

Konfigurowanie uwierzytelniania w Brevo

Krok 1: Dodaj swoją domenę

1. Zaloguj się do swojego konta Brevo
2. Przejdź do Ustawień > Nadawcy, Domeny i Dedykowane IP
3. Kliknij Dodaj domenę
4. Wprowadź nazwę swojej domeny

Krok 2: Skonfiguruj SPF

Brevo dostarcza include SPF do dodania do Twojego DNS:

include:spf.brevo.com

Dodaj to do istniejącego rekordu SPF lub utwórz nowy:

v=spf1 include:spf.brevo.com -all

Krok 3: Skonfiguruj DKIM

Brevo automatycznie generuje klucze DKIM. Skopiuj podany rekord:

1. Przejdź do ustawień domeny w Brevo
2. Znajdź sekcję DKIM
3. Skopiuj nazwę rekordu DNS i wartość
4. Dodaj rekord TXT do swojego DNS

Krok 4: Zweryfikuj konfigurację

Brevo automatycznie sprawdza Twoje rekordy DNS. Zielone znaczniki wyboru wskazują pomyślną konfigurację.

Korzyści właściwego uwierzytelniania Brevo

Gdy właściwie skonfigurujesz uwierzytelnianie z Brevo:

• Wyższe umieszczanie w skrzynce odbiorczej: Gmail, Microsoft i inni dostawcy ufają uwierzytelnionym wiadomościom
• Ochrona marki: DMARC zapobiega spoofingowi Twojej domeny
• Lepsza analityka: Dokładne śledzenie otwarć i kliknięć
• Budowanie reputacji: Konsekwentne uwierzytelnianie buduje reputację nadawcy

Korzyści z integracji Tajo

Używanie Tajo do połączenia Twojego sklepu Shopify z Brevo zapewnia dodatkowe korzyści:

• Automatyczna synchronizacja klientów: Dane klientów przepływają płynnie dla spersonalizowanych e-maili
• Śledzenie zdarzeń: Zdarzenia zakupu, przeglądania i koszyka wyzwalają uwierzytelnione e-maile transakcyjne
• Koordynacja wielokanałowa: Utrzymuj spójne uwierzytelnianie w e-mailach, SMS-ach i WhatsApp
• Zunifikowana analityka: Śledź wydajność e-maili obok innych wskaźników marketingowych

Połączenie właściwego uwierzytelniania e-maili z synchronizacją danych klientów w czasie rzeczywistym zapewnia, że Twoje e-maile nie tylko docierają do skrzynki odbiorczej, ale też rezonują z każdym odbiorcą.

Często zadawane pytania

Jaka jest różnica między SPF, DKIM i DMARC?

SPF określa, które serwery mogą wysyłać e-maile dla Twojej domeny. DKIM dodaje kryptograficzny podpis potwierdzający autentyczność wiadomości. DMARC ustala politykę, jak odbiorcy powinni traktować niepowodzenia uwierzytelniania, i zapewnia raportowanie. Wszystkie trzy współpracują ze sobą dla kompletnego uwierzytelniania e-maili.

Czy potrzebuję wszystkich trzech (SPF, DKIM i DMARC)?

Dla optymalnej dostarczalności i bezpieczeństwa - tak. Sam SPF jest podatny na spoofing. Sam DKIM nie określa polityki. DMARC wymaga SPF lub DKIM do działania. Razem zapewniają kompleksową ochronę i najlepsze wskaźniki umieszczania w skrzynce odbiorczej.

Jak długo trwa uruchomienie uwierzytelniania e-maili?

Zmiany DNS zazwyczaj propagują się w ciągu 30 minut do 48 godzin. Po propagacji uwierzytelnianie stosuje się natychmiast. Jednak budowanie reputacji nadawcy na podstawie konsekwentnego uwierzytelniania trwa tygodnie do miesięcy.

Czy ustawienie DMARC z p=reject zablokuje moje legalne e-maile?

Może, jeśli jest skonfigurowane nieprawidłowo. Dlatego zawsze powinieneś zaczynać od p=none (monitorowanie), analizować raporty przez 2–4 tygodnie, naprawić wszelkie problemy, a następnie stopniowo przechodzić do kwarantanny i odrzucania. Nigdy nie pomijaj fazy monitorowania.

Czym jest wyrównanie SPF vs wyrównanie DKIM?

Wyrównanie oznacza, że uwierzytelniona domena pasuje do widocznej domeny nagłówka From. Wyrównanie SPF porównuje domenę Return-Path. Wyrównanie DKIM porównuje domenę podpisującą (tag d=). DMARC wymaga, aby co najmniej jedno było wyrównane.

Czy mogę mieć wiele kluczy DKIM dla jednej domeny?

Tak. Każda usługa e-mail może używać innego selektora (np. brevo._domainkey, google._domainkey). Umożliwia to niezależne podpisywanie DKIM przez wiele usług. Nie ma limitu liczby selektorów DKIM.

Dlaczego moje e-maile nadal trafiają do spamu po skonfigurowaniu uwierzytelniania?

Uwierzytelnianie jest konieczne, ale niewystarczające dla umieszczania w skrzynce odbiorczej. Inne czynniki obejmują reputację nadawcy, jakość treści, wskaźniki zaangażowania i higienę listy. Uwierzytelnianie pozwala pokonać pierwszy filtr; dobre praktyki decydują o ostatecznym umieszczeniu.

Jak odczytywać zbiorcze raporty DMARC?

Zbiorcze raporty DMARC to pliki XML. Używaj narzędzi takich jak dmarcian, Postmark DMARC lub DMARC Analyzer do ich parsowania i wizualizacji. Te narzędzia pokazują, które IP wysyłają e-maile jako Twoja domena i ich wskaźniki przejścia/niepowodzenia uwierzytelniania.

Co się stanie, jeśli przekroczę limit 10 zapytań SPF?

SPF zwraca błąd trwały (permerror), a wszystkie sprawdzenia SPF kończą się niepowodzeniem. Aby to naprawić, usuń nieużywane include, zastąp include adresami IP tam, gdzie to możliwe, lub użyj usług spłaszczania SPF.

Czy powinienem używać -all czy ~all w moim rekordzie SPF?

Używaj ~all (softfail) podczas testowania i budowania pewności. Gdy potwierdzisz, że wszystkie legalne źródła przechodzą, przełącz się na -all (twardy fail) dla silniejszej ochrony. Softfail oznacza niepowodzenia, ale ich nie odrzuca; twardy fail autoryzuje odrzucanie.

Jak często powinienem rotować klucze DKIM?

Nie ma ścisłego wymogu, ale roczna rotacja to dobra praktyka bezpieczeństwa. Podczas rotacji najpierw dodaj nowy klucz, poczekaj na propagację DNS, włącz podpisywanie nowym kluczem, a następnie usuń stary klucz po okresie przejściowym.

Czy subdomeny potrzebują osobnego uwierzytelniania?

SPF: Tak, każda subdomena potrzebuje własnego rekordu SPF, jeśli wysyła z niej e-maile. DKIM: Klucze mogą być współdzielone lub oddzielne dla każdej subdomeny. DMARC: Subdomeny dziedziczą politykę rodzica, chyba że ustawiono sp= lub subdomena ma własny rekord DMARC.

Podsumowanie

Uwierzytelnianie e-maili przez SPF, DKIM i DMARC nie jest już opcjonalne dla firm, które polegają na komunikacji e-mailowej. Te protokoły chronią Twoją markę przed spoofingiem, poprawiają dostarczalność i budują zaufanie niezbędne dla skutecznego e-mail marketingu.

Kluczowe wnioski:

• SPF autoryzuje serwery wysyłające przez DNS
• DKIM udowadnia autentyczność wiadomości za pomocą podpisów kryptograficznych
• DMARC egzekwuje politykę i zapewnia widoczność przez raporty
• Zacznij od monitorowania (p=none) przed egzekwowaniem odrzucania
• Wszystkie legalne źródła wysyłania muszą być właściwie skonfigurowane
• Regularne monitorowanie zapobiega dryfowaniu konfiguracji

Dla firm e-commerce używających Shopify, połączenie właściwego uwierzytelniania e-maili z integracją danych klientów przez Tajo i Brevo tworzy potężny fundament. Twoje e-maile transakcyjne niezawodnie docierają do klientów, Twoje kampanie marketingowe osiągają lepsze umieszczanie w skrzynce odbiorczej, a Twoja marka pozostaje chroniona przed atakami spoofingowymi.

Gotowy poprawić dostarczalność swoich e-maili? Zacznij od audytu bieżącej konfiguracji uwierzytelniania za pomocą narzędzi wspomnianych w tym przewodniku, a następnie systematycznie skonfiguruj SPF, DKIM i DMARC zgodnie z podanymi instrukcjami krok po kroku.

Dowiedz się, jak Tajo integruje się z Brevo, aby zapewnić płynne uwierzytelnianie e-maili wraz z synchronizacją danych klientów w czasie rzeczywistym dla Twojego sklepu Shopify.