SPF, DKIM, DMARC: czym są i dlaczego mają znaczenie

SPF, DKIM i DMARC to trzy protokoły uwierzytelniania wiadomości e-mail, które współpracują ze sobą w celu weryfikacji autentyczności wiadomości, ochrony marki przed podszywaniem się oraz kontroli działań podejmowanych w przypadku niepowodzenia weryfikacji wiadomości.

Dzisiaj ma to większe znaczenie niż kiedykolwiek. Google, Yahoo, Apple, a teraz także Microsoft wymagają od nadawców wysyłających duże ilości wiadomości stosowania protokołów SPF, DKIM i DMARC. Od 5 maja 2025 r. Microsoft odrzuca wiadomości e-mail niezgodne z normami z domen wysyłających ponad 5000 wiadomości dziennie do Outlooka. Uwierzytelnianie wiadomości e-mail nie jest już opcjonalne.

W niniejszym przewodniku wyjaśniono, jak działają protokoły SPF, DKIM i DMARC, dlaczego wszystkie trzy są potrzebne oraz jak prawidłowo je wdrożyć.

Co to jest SPF, DKIM i DMARC?

SPF (Sender Policy Framework)

SPF (Sender Policy Framework) to protokół weryfikacji wiadomości e-mail, który umożliwia właścicielom domen definiowanie listy autoryzowanych serwerów pocztowych uprawnionych do wysyłania wiadomości e-mail w imieniu ich domeny.

Pomyśl o tym jak o liście gości dla swojej domeny. Jeśli serwer nie znajduje się na liście, serwer pocztowy odbiorcy wie, że coś jest nie tak. Pomaga to ograniczyć fałszowania wiadomości e-mail i gwarantuje, że tylko autoryzowane serwery mogą wysyłać e-maile przy użyciu określonej domeny.

Jednak sam SPF ma swoje ograniczenia. Nie weryfikuje on treści wiadomości e-mail i nie informuje serwera odbiorczego, co ma zrobić w przypadku niepowodzenia kontroli.

W tym miejscu pojawiają się DKIM i DMARC.

Propozycja lektury: DMARC a DKIM | Który system jest lepszy dla Ciebie i dlaczego?

DKIM

DKIM (DomainKeys Identified Mail) to metoda uwierzytelniania wiadomości e-mail, która dodaje podpis cyfrowy do wychodzących wiadomości e-mail w celu zapewnienia autentyczności i integralności wiadomości.

Podczas gdy SPF potwierdza, kto ma prawo wysyłać wiadomości, DKIM potwierdza, że wiadomość nie została zmieniona po opuszczeniu serwera nadawcy.

DKIM zapewnia niezbędną warstwę zaufania, zapobiegając fałszowaniu wiadomości e-mail i gwarantując integralność wiadomości. Jednak podobnie jak w przypadku SPF, same rekordy DKIM nie informują serwera odbiorczego, jakie działania należy podjąć w przypadku niepowodzenia weryfikacji. W tym celu potrzebny jest protokół DMARC.

DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance) umożliwia właścicielom domen instruowanie odbiorców wiadomości e-mail, jak postępować z nieautoryzowanymi wiadomościami wysyłanymi z ich domeny.

Łączy on w sobie możliwości protokołów SPF i DKIM oraz dodaje dwie kluczowe funkcje, których żaden z tych protokołów nie oferuje samodzielnie: egzekwowanie zasad i raportowanie.

Jest to jedyny protokół, który informuje skrzynki odbiorcze, co należy zrobić z nieudanymi wiadomościami e-mail, i zapewnia widoczność dzięki raportom.

SPF, DKIM i DMARC: kluczowe różnice

Wszystkie trzy protokoły odgrywają rolę w uwierzytelnianiu wiadomości e-mail, ale każdy z nich zajmuje się innym elementem układanki. Oto porównanie obu rozwiązań.

Obejrzyj ten film, aby dowiedzieć się więcej:

Wyjaśnienie protokołów SPF, DKIM i DMARC

Jak współdziałają protokoły SPF, DKIM i DMARC

SPF, DKIM i DMARC służą różnym celom i wszystkie trzy są potrzebne, aby w pełni chronić domenę przed spoofingiem, phishingiem i podszywaniem się. Oto jak przebiega proces uwierzytelniania, gdy wiadomość e-mail trafia do skrzynki odbiorczej:

1. Sprawdzenie SPF: Serwer odbiorczy sprawdza adres IP nadawcy i porównuje go z listą autoryzowanych nadawców wymienionych w rekordzie SPF domeny. Jeśli adres IP znajduje się na liście, kontrola SPF kończy się wynikiem pozytywnym.
2. Sprawdzenie DKIM: Serwer odbiorczy sprawdza nagłówek DKIM-Signature w wiadomości e-mail i pobiera klucz publiczny z DNS nadawcy. Jeśli podpis jest prawidłowy, a wiadomość nie została zmodyfikowana, DKIM przechodzi pomyślnie.
3. Ocena DMARC: DMARC sprawdza następnie, czy co najmniej jeden z tych protokołów (SPF lub DKIM) przeszedł pomyślnie i czy domena użyta w tej kontroli jest zgodna z domeną w adresie nadawcy. Jeśli zgodność jest prawidłowa, wiadomość e-mail jest dostarczana normalnie. Jeśli nie, DMARC stosuje zasady określone przez właściciela domeny (brak, kwarantanna lub odrzucenie).
4. Raportowanie: Niezależnie od wyniku, DMARC wysyła raporty do właściciela domeny zawierające szczegółowe informacje na temat wyników uwierzytelniania, źródeł wysyłania oraz wszelkich prób spoofingu.

Bez DMARC sfałszowana wiadomość e-mail mogłaby przejść przez SPF (jeśli osoba atakująca używa innej domeny Return-Path) lub ominąć DKIM (jeśli wiadomość nie jest podpisana). DMARC wypełnia te luki, wymagając zgodności między wynikami uwierzytelniania a widocznym adresem nadawcy.

Proponowana lektura: Dlaczego DMARC zawodzi? Najczęstsze przyczyny i rozwiązania

Jak skonfigurować SPF, DKIM i DMARC

Konfiguracja wszystkich trzech protokołów może wydawać się skomplikowana, ale proces ten jest prosty, gdy już wiadomo, co gdzie należy umieścić. Aby wdrożyć protokoły SPF, DKIM i DMARC, potrzebny jest dostęp do ustawień dostawcy usług DNS domeny.

Krok 1: Skonfiguruj SPF

Rekord SPF jest publikowany jako rekord TXT w systemie DNS Twojej domeny. Twój rekord SPF informuje serwery odbiorcze, które adresy IP i serwery pocztowe są upoważnione do wysyłania wiadomości e-mail w imieniu Twojej domeny.

Aby utworzyć rekord SPF:

1. Zidentyfikuj wszystkie serwery i usługi, które wysyłają wiadomości e-mail dla Twojej domeny (serwer pocztowy, platformy marketingowe, narzędzia CRM itp.).
2. Utwórz rekord rekord TXT w swoim DNS z autoryzowanymi źródłami wysyłania.
3. Opublikuj rekord i przetestuj go, aby potwierdzić, że przechodzi on kontrolę SPF.

Rekord SPF wygląda mniej więcej tak:

v=spf1 include:_spf.google.com include:sendgrid.net -all

Ten przykład upoważnia Google i SendGrid do wysyłania wiadomości e-mail dla tej domeny i nakazuje odbiorcom odrzucanie wszystkich innych źródeł.

Krok 2: Skonfiguruj DKIM

DKIM wymaga opublikowania klucza publicznego w DNS nadawcy w celu weryfikacji podpisu cyfrowego w wychodzących wiadomościach e-mail.

Aby Skonfiguruj DKIM:

1. Wygeneruj parę kluczy DKIM (klucz publiczny i prywatny) za pośrednictwem dostawcy usług poczty elektronicznej lub serwera pocztowego.
2. Dodaj klucz publiczny jako rekord TXT w DNS swojej domeny.
3. Skonfiguruj serwer poczty elektronicznej lub dostawcę usług pocztowych tak, aby podpisywał wiadomości wychodzące kluczem prywatnym.
4. Przeprowadź test, wysyłając wiadomość e-mail i sprawdzając nagłówki, aby potwierdzić obecność i ważność podpisu DKIM.

Krok 3: Skonfiguruj DMARC

Rekordy DMARC są również przechowywane jako rekordy TXT w DNS Twojej domeny. Aby skonfigurować DMARC, musisz zdefiniować politykę, która informuje serwery odbiorcze, jak postępować z wiadomościami e-mail, które nie przeszły kontroli SPF i DKIM.

Aby utworzyć rekord DMARC:

1. Zacznij od polityki p=none , aby monitorować ruch poczty elektronicznej bez wpływu na dostarczalność.
2. Dodaj adres raportowania, aby otrzymywać zbiorcze raporty dotyczące wyników uwierzytelniania.
3. Opublikuj rekord DMARC w swoim DNS.
4. Regularnie przeglądaj swoje raporty, a gdy upewnisz się, że Twoje legalne wiadomości e-mail są przekazywane dalej, przejdź do p=kwarantanna , a ostatecznie p=reject.

Podstawowy rekord DMARC wygląda następująco:

v=DMARC1; p=none; rua=mailto:[email protected];

Krok 4: Sprawdź konfigurację

Możesz sprawdzić, czy wiadomość e-mail przeszła testy SPF, DKIM i DMARC, patrząc na nagłówki wiadomości. Wyślij testową wiadomość e-mail i sprawdź nagłówek Authentication-Results, żeby upewnić się, że wszystkie trzy protokoły przeszły testy.

Bezpłatne narzędzia PowerDMARC jeszcze bardziej ułatwiają to zadanie. Możesz skorzystać z generatora DMARC, generatora SPFi generatora DKIM , aby utworzyć swoje rekordy jednym kliknięciem, a pulpit raportowania platformy zapewnia pełną widoczność statusu uwierzytelniania.

Co się stanie, jeśli nie wdrożysz SPF, DKIM i DMARC?

Pomijanie uwierzytelniania poczty elektronicznej może wydawać się nieszkodliwe, dopóki nie zaczną się kumulować konsekwencje. Oto, co ryzykujesz, pozostawiając swoją domenę bez ochrony.

Uszkodzona reputacja nadawcy

Brak wdrożenia uwierzytelniania poczty elektronicznej może prowadzić do utraty reputacji marki z powodu zwiększonej podatności na ataki phishingowe.

Jeśli osoby atakujące podszywają się pod Twoją domenę i wysyłają fałszywe wiadomości e-mail do Twoich klientów, partnerów lub pracowników, zaufanie, które zbudowałeś wśród odbiorców, szybko się pogorszy. Nawet jeśli nie jesteś odpowiedzialny za atak, odbiorcy kojarzą próbę phishingu z Twoją marką.

Niższa dostarczalność wiadomości e-mail

Bez uwierzytelniania wiadomości e-mail legalne wiadomości mogą być oznaczane jako spam, co skutkuje niższymi wskaźnikami dostarczalności wiadomości e-mail.

Wielu dostawców usług poczty elektronicznej wymaga obecnie skonfigurowania protokołów DKIM i DMARC, aby zapewnić pomyślne dostarczanie wiadomości e-mail. Jeśli Twoje wiadomości e-mail konsekwentnie trafiają do folderów spamowych, spada wskaźnik otwarć, cierpią na tym Twoje działania marketingowe, a ważne wiadomości transakcyjne mogą nigdy nie dotrzeć do adresatów.

Straty finansowe i problemy z zaufaniem klientów

Brak wdrożenia uwierzytelniania poczty elektronicznej może umożliwić atakującym podszywanie się pod Twoją domenę, co może prowadzić do potencjalnych strat finansowych i utraty zaufania klientów.

Ataki typu Business Email Compromise (BEC), w których osoba atakująca podaje się za członka kadry kierowniczej lub dostawcę, mogą skutkować nieuczciwymi przelewami bankowymi, kradzieżą danych uwierzytelniających oraz odpowiedzialnością prawną.

Utrata widoczności

Brak uwierzytelniania poczty elektronicznej może skutkować utratą widoczności wydajności i bezpieczeństwa poczty elektronicznej, utrudniając identyfikację nieautoryzowanego użycia domeny.

Bez raportów DMARC nie masz możliwości dowiedzieć się, kto wysyła e-maile w Twoim imieniu, czy są to prawdziwe e-maile są prawidłowo uwierzytelniane, czy też osoby atakujące aktywnie podszywają się pod Twoją domenę.

Najlepsze praktyki dotyczące SPF, DKIM i DMARC

Opublikowanie swoich rekordów to dopiero początek. Aby w pełni wykorzystać możliwości SPF, DKIM i DMARC, postępuj zgodnie z poniższymi najlepszymi praktykami, które pozwolą Ci utrzymać wysoki poziom uwierzytelniania wiadomości e-mail przez długi czas.

Zacznij od DMARC przy p=none i stopniowo zwiększaj poziom.

Podczas pierwszego wdrażania DMARC należy zacząć od polityki p=none , aby móc monitorować ruch poczty elektronicznej i zidentyfikować wszystkie legalne źródła wysyłania wiadomości.

Gdy upewnisz się, że wszystko zostało poprawnie uwierzytelnione, przejdź do p=quarantine , a następnie p=reject , aby zapewnić pełną ochronę.

Aktualizuj swoje dane dotyczące SPF

Za każdym razem, gdy dodajesz lub usuwasz usługę poczty elektronicznej (nową platformę marketingową, CRM, narzędzie pomocy technicznej itp.), zaktualizuj swój rekord SPF, aby odzwierciedlić tę zmianę.

Nieaktualny rekord SPF może spowodować, że legalne wiadomości e-mail nie przejdą procesu uwierzytelniania.

Okresowo zmieniaj klucze DKIM

Regularna rotacja kluczy DKIM zmniejsza ryzyko naruszenia bezpieczeństwa kluczy. Większość ekspertów ds. bezpieczeństwa zaleca rotację kluczy co najmniej raz lub dwa razy w roku.

Wykorzystaj platformę, aby uprościć zarządzanie

Zarządzanie SPF, DKIM i DMARC w wielu domenach i źródłach wysyłania może szybko stać się skomplikowane.

Platforma taka jak PowerDMARC konsoliduje wszystko w jednym panelu kontrolnym z zarządzaniem rekordami, czytelnymi dla człowieka raportami i alertami w czasie rzeczywistym, dzięki czemu możesz mieć kontrolę nad swoim statusem uwierzytelniania bez konieczności ręcznej edycji DNS.

Zabezpiecz swoją domenę dzięki PowerDMARC

Jako Twój zaufany partner w zakresie bezpieczeństwa poczty elektronicznej, zalecamy wszystkim organizacjom wdrożenie protokołów SPF, DKIM i DMARC. Protokoły te stanowią podstawę nowoczesnej ochrony poczty elektronicznej, pomagając wyprzedzać cyberzagrożenia i utrzymywać zaufanie do każdej wysyłanej wiadomości.

Opierając się na wieloletnim doświadczeniu w pomaganiu organizacjom w zabezpieczaniu infrastruktury poczty elektronicznej, nasz zespół w PowerDMARC zaleca stopniowe wdrażanie rozwiązania.

Zacznij od monitorowania, przeanalizuj dane, a następnie stopniowo wprowadzaj bardziej rygorystyczne zasady, gdy nabierzesz pewności co do swojej konfiguracji.

Aby ułatwić monitorowanie, raportowanie i ciągłą optymalizację, PowerDMARC łączy zarządzanie SPF, DKIM i DMARC w jednej platformie. Dzięki widoczności w czasie rzeczywistym, wdrażaniu zasad z przewodnikiem i automatycznym analizom, proces ten nie wymaga już tak dużego nakładu pracy ręcznej, co pomaga zespołom utrzymać bezpieczną i niezawodną konfigurację uwierzytelniania poczty elektronicznej.

Rozpocznij bezpłatny 15-dniowy okres próbny , aby wzmocnić ochronę swojej domeny.

Często zadawane pytania (FAQ)

1. Jaka jest różnica między SPF, DKIM i DMARC?

SPF weryfikuje, czy wiadomości e-mail pochodzą z autoryzowanych adresów IP, DKIM zapewnia, że treść wiadomości e-mail nie została zmieniona za pomocą podpisów cyfrowych, a DMARC zapewnia egzekwowanie zasad i raportowanie w oparciu o SPF i DKIM. SPF można porównać do sprawdzania adresu nadawcy wiadomości e-mail, DKIM do weryfikacji integralności wiadomości, a DMARC do ogólnej polityki bezpieczeństwa, która decyduje o tym, co zrobić w przypadku niepowodzenia kontroli.

2. Czy potrzebuję zarówno SPF, jak i DKIM dla mojej domeny?

Chociaż można wdrożyć SPF lub DKIM osobno, użycie obu razem daje dużo lepszą ochronę. SPF może zawieść, gdy e-maile są przekazywane dalej, a DKIM sam w sobie nie weryfikuje infrastruktury wysyłającej. Żeby mieć maksymalne bezpieczeństwo i zgodność z DMARC, wdroż zarówno SPF, jak i DKIM, a potem dodaj DMARC do egzekwowania zasad i raportowania.

3. Jak mogę sprawdzić, czy moje rekordy SPF, DKIM i DMARC działają?

Użyj narzędzi do wyszukiwania DNS, żeby sprawdzić, czy rekordy istnieją, wyślij e-maile testowe i sprawdź nagłówki pod kątem wyników uwierzytelniania domeny, przeanalizuj raporty DMARC pod kątem błędów i skorzystaj z internetowych narzędzi do sprawdzania poprawności, takich jak darmowe narzędzia PowerDMARC. Regularne monitorowanie za pomocą raportów DMARC to najbardziej kompleksowy sposób na zapewnienie ciągłej ochrony.

4. Czy protokoły SPF, DKIM lub DMARC mają wpływ na to, jak moje wiadomości e-mail wyglądają dla odbiorców?

Nie. Protokoły te działają w tle i nie zmieniają wyglądu, treści ani układu wiadomości e-mail. Odbiorcy nie widzą bezpośrednio wyników SPF, DKIM ani DMARC. Jednak prawidłowo uwierzytelnione wiadomości e-mail rzadziej są oznaczane jako spam, co poprawia ich dostarczalność do skrzynek odbiorczych i ogólne zaufanie.

5. Jak często należy sprawdzać lub aktualizować rekordy SPF, DKIM i DMARC?

Należy przeglądać swoje rekordy za każdym razem, gdy dodaje się lub usuwa usługi wysyłania wiadomości e-mail, a także w ramach regularnej konserwacji. Rekordy SPF często wymagają aktualizacji po wprowadzeniu nowych narzędzi lub dostawców. Klucze DKIM powinny być okresowo zmieniane ze względów bezpieczeństwa. Raporty DMARC powinny być regularnie przeglądane w celu wczesnego wykrywania problemów i kierowania egzekwowaniem zasad.

• O
• Latest Posts

Ahona Rudra

Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC

Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.

Latest posts by Ahona Rudra (zobacz wszystkie)

• Bezpieczeństwo PropTech: ochrona platform nieruchomościowych – 10 marca 2026 r.
• Kompletny przewodnik po niebieskim znaczku weryfikacyjnym: co oznacza on w Gmailu, Google i mediach społecznościowych – 9 marca 2026 r.
• Czy szyfrowanie wiadomości e-mail w programie Outlook jest zgodne z HIPAA? Kompletny przewodnik na rok 2026 – 5 marca 2026 r.