
DMARC, SPF i DKIM to trzy rekordy DNS, które decydują o tym, czy Twoje maile transakcyjne i marketingowe w ogóle trafiają do skrzynki klienta, czy lądują w spamie – bez poprawnej konfiguracji Gmail i Yahoo od 2024 roku odrzucają masową korespondencję. W tym poradniku pokazujemy krok po kroku, jak wdrożyć wszystkie trzy standardy w sklepie e-commerce i jak połączyć je z wdrożeniem BIMI, żeby logo marki pojawiało się przy Twoich wiadomościach.
SPF (Sender Policy Framework) to lista serwerów, które mają prawo wysyłać maile w imieniu Twojej domeny. DKIM (DomainKeys Identified Mail) podpisuje każdą wiadomość kryptograficznym kluczem, więc odbiorca może zweryfikować, że treść nie została zmieniona po drodze. DMARC (Domain-based Message Authentication, Reporting and Conformance) spina oba mechanizmy i mówi serwerowi odbiorcy, co zrobić z wiadomością, która nie przejdzie weryfikacji.
Sklepy internetowe wysyłają dziennie setki maili transakcyjnych – potwierdzenia zamówień, faktury, powiadomienia o wysyłce, a każdy z nich przechodzi przez filtry antyspamowe Google, Microsoftu i Apple. Brak SPF, DKIM lub DMARC oznacza niższą dostarczalność, a w skrajnych przypadkach całkowite blokowanie domeny.
Zanim zaczniesz konfigurację, sprawdź stan obecny. Otwórz terminal lub narzędzie online i wykonaj zapytanie dig albo nslookup na rekord TXT pod adresem _dmarc.twojadomena.pl. Jeśli zapytanie nie zwraca żadnego wyniku, oznacza to, że DMARC… po prostu nie istnieje.
Dokładnie ten sam schemat działa dla SPF i DKIM, tylko w tym przypadku selektor i lokalizacja rekordu będą inne. SPF sprawdzisz na samej domenie (rekord TXT zaczynający się od v=spf1), a DKIM pod adresem selektor._domainkey.twojadomena.pl. Pamiętaj, że selektor DKIM ustala dostawca skrzynek pocztowych lub platforma mailingowa – bez niego nie odnajdziesz właściwego rekordu.
WSKAZÓWKA:
Zanim wdrożysz cokolwiek na produkcji, przetestuj konfigurację na subdomenie testowej, np. mail-test.twojadomena.pl. Wysyłka próbna do własnej skrzynki Gmail i sprawdzenie nagłówków wiadomości (opcja „Pokaż oryginał”) wskaże Ci od razu, czy SPF i DKIM przechodzą z wynikiem pass.

SPF wygląda pozornie prosto, ale to właśnie tu popełnia się najwięcej błędów. Każda domena może mieć tylko jeden rekord SPF – więc jeśli masz kilka dostawców wysyłki (np. system mailingowy, fakturownię i CRM), musisz je połączyć w jednym wpisie, a nie dodawać osobne rekordy.
Typowy rekord SPF dla sklepu korzystającego z kilku dostawców wygląda tak: v=spf1 include:_spf.google.com include:sendgrid.net include:spf.protection.outlook.com ~all. Mechanizm ~all oznacza soft fail – wiadomości spoza listy są oznaczane jako podejrzane, ale nie są odrzucane automatycznie.
Limit techniczny SPF to 10 przeszukiwań DNS (DNS lookups) na jeden rekord. Każdy includewlicza się do tego limitu, więc sklepy korzystające z pięciu czy sześciu narzędzi marketingowych łatwo go przekraczą. Przekroczenie limitu spowoduje, że SPF w ogóle przestanie działać – bez żadnego ostrzeżenia w panelu DNS.
DKIM wymaga wygenerowania pary kluczy – prywatnego i publicznego – po stronie platformy wysyłkowej. Klucz publiczny trafia do DNS jako rekord TXT, klucz prywatny zostaje natomiast na serwerze nadawcy i podpisuje nim każdą wiadomość.
Proces wygląda tak samo niezależnie od platformy, choć nazwy przycisków będą się różnić.
selektor._domainkey.Sklepy korzystające z kilku systemów wysyłki – osobno do faktur, osobno do newslettera, osobno do powiadomień SMS z integracją mailową – potrzebują osobnego selektora DKIM dla każdego z nich. Pozwala to precyzyjnie rozdzielić raportowanie i szybciej namierzyć źródło problemu, gdy coś zacznie trafiać do spamu.
DMARC spina SPF i DKIM w jedną politykę. Bez niego serwer odbiorcy sam zdecyduje, co zrobić z wiadomością, która nie przejdzie weryfikacji. Używając DMARC, to Ty będziesz w stanie ustalić zasady.
Rekomendowana ścieżka wdrożenia dla e-commerce to start od p=none przez minimum 2 do 4 tygodni. W tym czasie będziesz zbierać raporty agregowane (RUA) i sprawdzać, które źródła wysyłki faktycznie należą do Twojej firmy, a które są nieautoryzowane. Dopiero po tym etapie przejdziesz na quarantine, a docelowo na reject.

Warto pamiętać, że raporty DMARC trafiają w formacie XML na adres wskazany w tagu rua=, a ręczne czytanie surowego pliku jest niepraktyczne przy większym wolumenie. Dobrym pomysłem jest podpięcie darmowego narzędzia do parsowania raportów, np. dostępnego w panelach rejestratorów domen lub dedykowanych usług typu DMARC analyzer.
Rekord w fazie monitorowania: v=DMARC1; p=none; rua=mailto:dmarc-raporty@twojadomena.pl; pct=100. Po wdrożeniu produkcyjnym: v=DMARC1; p=reject; rua=mailto:dmarc-raporty@twojadomena.pl; adkim=s; aspf=s. Parametry adkim=s i aspf=s ustawiają tryb ścisły dopasowania domeny (strict alignment), co dodatkowo utrudnia podszywanie się pod Twoją markę.
Od lutego 2024 roku Google i Yahoo wymagają SPF, DKIM i DMARC od każdego nadawcy wysyłającego powyżej 5000 wiadomości dziennie na adresy Gmail. Brak spełnienia wymogów oznacza rosnący odsetek wiadomości trafiających do spamu, a przy większych naruszeniach – tymczasowe blokady na poziomie serwera SMTP.
Konsekwencje dotyczą nie tylko kampanii marketingowych. Maile transakcyjne, w tym potwierdzenia płatności i faktury, również przechodzą przez te same filtry. Tak więc sklep, który zignoruje te wymogi, ryzykuje otrzymanie fali zgłoszeń o treści „nie dostałem faktury” i spadek zaufania klientów.
p=reject lub p=quarantine jako warunku wstępnego.To ostatni punkt łączy bezpośrednio DMARC z wdrożeniem BIMI. Bez ścisłej polityki DMARC certyfikat VMC i logo marki w skrzynce klienta po prostu się nie pojawią, niezależnie od tego, ile wydasz na projekt graficzny.
Większość problemów z dostarczalnością wynika z kilku powtarzalnych błędów konfiguracyjnych. Znajomość ich pozwala zaoszczędzić nawet tygodnie testów.
include.p=reject od razu, bez wcześniejszego etapu monitorowania – stwarza ryzyko zablokowania własnych, legalnych wiadomości.rua= – wdrożenie działa, ale nikt nie sczytuje raportów i nie wie, co się dzieje.UWAGA:
Zmiana polityki DMARC na
p=rejectbez wcześniejszego audytu nadawców może zablokować wysyłkę faktur z systemu księgowego lub powiadomień z zewnętrznej platformy kurierskiej. Zawsze sprawdzaj raporty RUA przez pełny cykl rozliczeniowy, zanim zaostrzysz politykę.
Wdrożenie SPF, DKIM i DMARC wymaga współpracy dwóch zespołów. IT konfiguruje rekordy DNS, z kolei marketing dostarcza listę wszystkich narzędzi wysyłkowych. Poniższa checklista porządkuje kolejność tych działań.
p=none, a następnie zbieraj raporty przez minimum 2 tygodnie.p=quarantine, a po kolejnych obserwacjach na p=reject.Wykonaj zapytanie TXT na adres _dmarc.twojadomena.pl przez narzędzie takie jak dig, nslookup lub dowolny darmowy checker DMARC online. Wynik pokaże politykę (p=none, quarantine lub reject) oraz adres, na który trafiają raporty RUA.
Czym grozi brak rekordu SPF w sklepie internetowym?Bez SPF serwer odbiorcy nie może zweryfikować, czy wiadomość faktycznie pochodzi z autoryzowanego serwera domeny. Skutkuje to niższą dostarczalnością maili transakcyjnych i marketingowych, a w przypadku Google i Yahoo od 2024 roku również ryzykiem odrzucenia całej wysyłki.
Jakie kary nakładają Google i Yahoo za brak uwierzytelnienia poczty?Nadawcy wysyłający powyżej 5000 wiadomości dziennie do adresów Gmail bez SPF, DKIM i DMARC ryzykują masowe kierowanie wiadomości do spamu oraz tymczasowe blokady na poziomie serwera SMTP. Nie są to formalne kary finansowe, lecz techniczne ograniczenia dostarczalności.
Czy SPF, DKIM i DMARC są płatne?Same rekordy DNS nie generują żadnych kosztów licencyjnych – to darmowe standardy techniczne. Kosztem może być czas działu IT oraz ewentualna subskrypcja narzędzia do parsowania raportów DMARC przy większym wolumenie wysyłki.
Ile czasu zajmuje pełne wdrożenie DMARC w trybie reject?Przy standardowym wolumenie wysyłki proces trwa od 4 do 8 tygodni – obejmuje etap monitorowania w trybie none, analizę raportów RUA, korektę nieautoryzowanych źródeł i stopniowe przejście przez quarantine do reject.
Czy DMARC jest wymagany do wdrożenia BIMI?Tak. BIMI wymaga polityki DMARC ustawionej na quarantine lub reject z pokryciem minimum 100% wiadomości (pct=100). Bez spełnienia tego warunku logo marki nie pojawi się w skrzynkach odbiorców niezależnie od posiadania certyfikatu VMC.
SPF, DKIM i DMARC to dziś nie opcjonalny dodatek techniczny, a warunek konieczny dla dostarczalności poczty w e-commerce. Wdrożenie to wymaga współpracy IT i marketingu, ale sam proces – od audytu nadawców, przez konfigurację rekordów DNS, po stopniowe zaostrzanie polityki DMARC – można rozłożyć na kilka tygodni bez ryzyka dla bieżącej wysyłki.
Sklepy, które zaczynają od trybu p=none i analizują raporty RUA, unikają najkosztowniejszego błędu: zablokowania wysyłki własnych faktur i powiadomień. Po osiągnięciu p=reject naturalnym kolejnym krokiem jest wdrożenie BIMI, które może zmienić lata pracy nad reputacją domeny w logo marki widoczne w każdej skrzynce odbiorczej klienta.