DMARC, SPF i DKIM to trzy rekordy DNS, które decydują o tym, czy Twoje maile transakcyjne i marketingowe w ogóle trafiają do skrzynki klienta, czy lądują w spamie – bez poprawnej konfiguracji Gmail i Yahoo od 2024 roku odrzucają masową korespondencję. W tym poradniku pokazujemy krok po kroku, jak wdrożyć wszystkie trzy standardy w sklepie e-commerce i jak połączyć je z wdrożeniem BIMI, żeby logo marki pojawiało się przy Twoich wiadomościach.

Wyciśnij maksimum z newslettera, email marketingu i marketing automation. Umów się na bezpłatną konsultację!

Spis treści

Czym są SPF, DKIM i DMARC i dlaczego e-commerce nie może ich pominąć

SPF (Sender Policy Framework) to lista serwerów, które mają prawo wysyłać maile w imieniu Twojej domeny. DKIM (DomainKeys Identified Mail) podpisuje każdą wiadomość kryptograficznym kluczem, więc odbiorca może zweryfikować, że treść nie została zmieniona po drodze. DMARC (Domain-based Message Authentication, Reporting and Conformance) spina oba mechanizmy i mówi serwerowi odbiorcy, co zrobić z wiadomością, która nie przejdzie weryfikacji.

Sklepy internetowe wysyłają dziennie setki maili transakcyjnych – potwierdzenia zamówień, faktury, powiadomienia o wysyłce, a każdy z nich przechodzi przez filtry antyspamowe Google, Microsoftu i Apple. Brak SPF, DKIM lub DMARC oznacza niższą dostarczalność, a w skrajnych przypadkach całkowite blokowanie domeny.

  • Wiadomości z potwierdzeniem zamówienia trafiające do spamu zwiększają liczbę zgłoszeń do supportu.
  • Kampanie promocyjne wysyłane bez uwierzytelnienia mają niższy współczynnik otwarć.
  • Domena bez DMARC jest łatwym celem do podszywania się (phishing) pod nazwę sklepu.
  • Dostawcy poczty coraz częściej traktują brak uwierzytelnienia jako sygnał ryzyka dla całej domeny, nie tylko pojedynczej wiadomości.

Jak sprawdzić, czy Twoja domena ma już DMARC

Zanim zaczniesz konfigurację, sprawdź stan obecny. Otwórz terminal lub narzędzie online i wykonaj zapytanie dig albo nslookup na rekord TXT pod adresem _dmarc.twojadomena.pl. Jeśli zapytanie nie zwraca żadnego wyniku, oznacza to, że DMARC… po prostu nie istnieje.

Dokładnie ten sam schemat działa dla SPF i DKIM, tylko w tym przypadku selektor i lokalizacja rekordu będą inne. SPF sprawdzisz na samej domenie (rekord TXT zaczynający się od v=spf1), a DKIM pod adresem selektor._domainkey.twojadomena.pl. Pamiętaj, że selektor DKIM ustala dostawca skrzynek pocztowych lub platforma mailingowa – bez niego nie odnajdziesz właściwego rekordu.

WSKAZÓWKA:

Zanim wdrożysz cokolwiek na produkcji, przetestuj konfigurację na subdomenie testowej, np. mail-test.twojadomena.pl. Wysyłka próbna do własnej skrzynki Gmail i sprawdzenie nagłówków wiadomości (opcja „Pokaż oryginał”) wskaże Ci od razu, czy SPF i DKIM przechodzą z wynikiem pass.

DMARC, SPF i DKIM w e-commerce – techniczny poradnik wdrożenia

Wdrożenie SPF krok po kroku

SPF wygląda pozornie prosto, ale to właśnie tu popełnia się najwięcej błędów. Każda domena może mieć tylko jeden rekord SPF – więc jeśli masz kilka dostawców wysyłki (np. system mailingowy, fakturownię i CRM), musisz je połączyć w jednym wpisie, a nie dodawać osobne rekordy.

Składnia rekordu SPF

Typowy rekord SPF dla sklepu korzystającego z kilku dostawców wygląda tak: v=spf1 include:_spf.google.com include:sendgrid.net include:spf.protection.outlook.com ~all. Mechanizm ~all oznacza soft fail – wiadomości spoza listy są oznaczane jako podejrzane, ale nie są odrzucane automatycznie.

  • ~all – tryb łagodny, zalecany na start wdrożenia.
  • -all – tryb twardy, odrzuca wiadomości spoza listy; wprowadzaj go dopiero po pełnym audycie nadawców.
  • ?all – neutralny, praktycznie bezużyteczny w produkcji.

Limit techniczny SPF to 10 przeszukiwań DNS (DNS lookups) na jeden rekord. Każdy includewlicza się do tego limitu, więc sklepy korzystające z pięciu czy sześciu narzędzi marketingowych łatwo go przekraczą. Przekroczenie limitu spowoduje, że SPF w ogóle przestanie działać – bez żadnego ostrzeżenia w panelu DNS.

Wdrożenie DKIM krok po kroku

DKIM wymaga wygenerowania pary kluczy – prywatnego i publicznego – po stronie platformy wysyłkowej. Klucz publiczny trafia do DNS jako rekord TXT, klucz prywatny zostaje natomiast na serwerze nadawcy i podpisuje nim każdą wiadomość.

Proces wygląda tak samo niezależnie od platformy, choć nazwy przycisków będą się różnić.

  • Wygeneruj parę kluczy w panelu platformy mailingowej lub systemu ERP.
  • Skopiuj wskazany selektor i wartość rekordu TXT.
  • Dodaj rekord w DNS domeny pod adresem selektor._domainkey.
  • Poczekaj na propagację DNS (od kilku minut do 48 godzin) i zweryfikuj status w panelu dostawcy.

Sklepy korzystające z kilku systemów wysyłki – osobno do faktur, osobno do newslettera, osobno do powiadomień SMS z integracją mailową – potrzebują osobnego selektora DKIM dla każdego z nich. Pozwala to precyzyjnie rozdzielić raportowanie i szybciej namierzyć źródło problemu, gdy coś zacznie trafiać do spamu.

Wdrożenie DMARC i interpretacja raportów

DMARC spina SPF i DKIM w jedną politykę. Bez niego serwer odbiorcy sam zdecyduje, co zrobić z wiadomością, która nie przejdzie weryfikacji. Używając DMARC, to Ty będziesz w stanie ustalić zasady.

Trzy poziomy polityki DMARC

  • p=none – tryb monitorujący, wiadomości docierają normalnie, Ty jedynie odbierasz raporty.
  • p=quarantine – podejrzane wiadomości trafiają do spamu odbiorcy.
  • p=reject – wiadomości niespełniające polityki są odrzucane na poziomie serwera.

Rekomendowana ścieżka wdrożenia dla e-commerce to start od p=none przez minimum 2 do 4 tygodni. W tym czasie będziesz zbierać raporty agregowane (RUA) i sprawdzać, które źródła wysyłki faktycznie należą do Twojej firmy, a które są nieautoryzowane. Dopiero po tym etapie przejdziesz na quarantine, a docelowo na reject.

DMARC, SPF i DKIM w e-commerce – techniczny poradnik wdrożenia

Warto pamiętać, że raporty DMARC trafiają w formacie XML na adres wskazany w tagu rua=, a ręczne czytanie surowego pliku jest niepraktyczne przy większym wolumenie. Dobrym pomysłem jest podpięcie darmowego narzędzia do parsowania raportów, np. dostępnego w panelach rejestratorów domen lub dedykowanych usług typu DMARC analyzer.

Przykładowy rekord DMARC dla sklepu

Rekord w fazie monitorowania: v=DMARC1; p=none; rua=mailto:dmarc-raporty@twojadomena.pl; pct=100. Po wdrożeniu produkcyjnym: v=DMARC1; p=reject; rua=mailto:dmarc-raporty@twojadomena.pl; adkim=s; aspf=s. Parametry adkim=s i aspf=s ustawiają tryb ścisły dopasowania domeny (strict alignment), co dodatkowo utrudnia podszywanie się pod Twoją markę.

Jakie kary grożą za brak uwierzytelnienia poczty

Od lutego 2024 roku Google i Yahoo wymagają SPF, DKIM i DMARC od każdego nadawcy wysyłającego powyżej 5000 wiadomości dziennie na adresy Gmail. Brak spełnienia wymogów oznacza rosnący odsetek wiadomości trafiających do spamu, a przy większych naruszeniach – tymczasowe blokady na poziomie serwera SMTP.

Konsekwencje dotyczą nie tylko kampanii marketingowych. Maile transakcyjne, w tym potwierdzenia płatności i faktury, również przechodzą przez te same filtry. Tak więc sklep, który zignoruje te wymogi, ryzykuje otrzymanie fali zgłoszeń o treści „nie dostałem faktury” i spadek zaufania klientów.

  • Odrzucenie wiadomości na poziomie serwera SMTP odbiorcy.
  • Automatyczne oznaczenie jako spam bez możliwości odwołania przez klienta.
  • Obniżenie reputacji całej domeny, co wpływa również na przyszłe kampanie.
  • Utrata możliwości wyświetlania logo marki przez BIMI, które wymaga polityki p=reject lub p=quarantine jako warunku wstępnego.

To ostatni punkt łączy bezpośrednio DMARC z wdrożeniem BIMI. Bez ścisłej polityki DMARC certyfikat VMC i logo marki w skrzynce klienta po prostu się nie pojawią, niezależnie od tego, ile wydasz na projekt graficzny.

Najczęstsze błędy przy wdrażaniu SPF, DKIM i DMARC

Większość problemów z dostarczalnością wynika z kilku powtarzalnych błędów konfiguracyjnych. Znajomość ich pozwala zaoszczędzić nawet tygodnie testów.

  • Dwa osobne rekordy SPF w jednej domenie – DNS akceptuje tylko pierwszy, a reszta jest ignorowana.
  • Przekroczenie limitu 10 przeszukiwań DNS przez zbyt wiele include.
  • Włączenie p=reject od razu, bez wcześniejszego etapu monitorowania – stwarza ryzyko zablokowania własnych, legalnych wiadomości.
  • Brak aktualizacji SPF po zmianie dostawcy platformy mailingowej lub CRM.
  • Ustawienie DMARC bez adresu rua= – wdrożenie działa, ale nikt nie sczytuje raportów i nie wie, co się dzieje.

UWAGA:

Zmiana polityki DMARC na p=reject bez wcześniejszego audytu nadawców może zablokować wysyłkę faktur z systemu księgowego lub powiadomień z zewnętrznej platformy kurierskiej. Zawsze sprawdzaj raporty RUA przez pełny cykl rozliczeniowy, zanim zaostrzysz politykę.

Checklist wdrożenia dla działu IT i marketingu

Wdrożenie SPF, DKIM i DMARC wymaga współpracy dwóch zespołów. IT konfiguruje rekordy DNS, z kolei marketing dostarcza listę wszystkich narzędzi wysyłkowych. Poniższa checklista porządkuje kolejność tych działań.

  • Zbierz listę wszystkich systemów wysyłających maile z domeny (ERP, CRM, platforma mailingowa, system fakturowania, kurierzy).
  • Skonfiguruj jeden spójny rekord SPF z uwzględnieniem limitu 10 przeszukiwań.
  • Włącz DKIM osobno dla każdego dostawcy z unikalnym selektorem.
  • Wdróż DMARC w trybie p=none, a następnie zbieraj raporty przez minimum 2 tygodnie.
  • Przeanalizuj raporty RUA, poprawiając nieautoryzowane źródła wysyłki.
  • Przejdź na p=quarantine, a po kolejnych obserwacjach na p=reject.
  • Wdróż BIMI jako naturalne rozszerzenie ścisłej polityki DMARC.

Najczęściej zadawane pytania (FAQ)

Jak sprawdzić, czy domena ma poprawny DMARC?

Wykonaj zapytanie TXT na adres _dmarc.twojadomena.pl przez narzędzie takie jak dig, nslookup lub dowolny darmowy checker DMARC online. Wynik pokaże politykę (p=none, quarantine lub reject) oraz adres, na który trafiają raporty RUA.

Czym grozi brak rekordu SPF w sklepie internetowym?

Bez SPF serwer odbiorcy nie może zweryfikować, czy wiadomość faktycznie pochodzi z autoryzowanego serwera domeny. Skutkuje to niższą dostarczalnością maili transakcyjnych i marketingowych, a w przypadku Google i Yahoo od 2024 roku również ryzykiem odrzucenia całej wysyłki.

Jakie kary nakładają Google i Yahoo za brak uwierzytelnienia poczty?

Nadawcy wysyłający powyżej 5000 wiadomości dziennie do adresów Gmail bez SPF, DKIM i DMARC ryzykują masowe kierowanie wiadomości do spamu oraz tymczasowe blokady na poziomie serwera SMTP. Nie są to formalne kary finansowe, lecz techniczne ograniczenia dostarczalności.

Czy SPF, DKIM i DMARC są płatne?

Same rekordy DNS nie generują żadnych kosztów licencyjnych – to darmowe standardy techniczne. Kosztem może być czas działu IT oraz ewentualna subskrypcja narzędzia do parsowania raportów DMARC przy większym wolumenie wysyłki.

Ile czasu zajmuje pełne wdrożenie DMARC w trybie reject?

Przy standardowym wolumenie wysyłki proces trwa od 4 do 8 tygodni – obejmuje etap monitorowania w trybie none, analizę raportów RUA, korektę nieautoryzowanych źródeł i stopniowe przejście przez quarantine do reject.

Czy DMARC jest wymagany do wdrożenia BIMI?

Tak. BIMI wymaga polityki DMARC ustawionej na quarantine lub reject z pokryciem minimum 100% wiadomości (pct=100). Bez spełnienia tego warunku logo marki nie pojawi się w skrzynkach odbiorców niezależnie od posiadania certyfikatu VMC.

Podsumowanie – Wdrożenie DMARC, SPF i DKIM

SPF, DKIM i DMARC to dziś nie opcjonalny dodatek techniczny, a warunek konieczny dla dostarczalności poczty w e-commerce. Wdrożenie to wymaga współpracy IT i marketingu, ale sam proces – od audytu nadawców, przez konfigurację rekordów DNS, po stopniowe zaostrzanie polityki DMARC – można rozłożyć na kilka tygodni bez ryzyka dla bieżącej wysyłki.

Sklepy, które zaczynają od trybu p=none i analizują raporty RUA, unikają najkosztowniejszego błędu: zablokowania wysyłki własnych faktur i powiadomień. Po osiągnięciu p=reject naturalnym kolejnym krokiem jest wdrożenie BIMI, które może zmienić lata pracy nad reputacją domeny w logo marki widoczne w każdej skrzynce odbiorczej klienta.

DMARC, SPF i DKIM w e-commerce – techniczny poradnik wdrożenia

Artur Dąbrowski

Od ponad dekady rozwijam swoje umiejętności w marketingu online, ze szczególnym naciskiem na email marketing, marketing automation i content marketing. Na co dzień skupiam się na tworzeniu kampanii, które łączą kreatywność z danymi, by przynosić realne wyniki. Współpracowałem z wieloma markami, zarówno lokalnymi, jak i międzynarodowymi, takimi jak L'Oreal, Škoda, Citroën, Lyreco czy Money.pl.

Przeczytaj więcej artykułów tego autora

Analiza RFM w praktyce – jak wdrożyć segmentację klientów, której naprawdę użyjesz

Zero party data email marketing. Jak budować segmentację?

Filip Kłodawski

Porozmawiamy?

Pomożemy Ci rozwinąć Twój biznes. A w jaki sposób? O tym właśnie porozmawiamy :)