SPF, DKIM, DMARC krok po kroku - jak nie wpaść w spam Gmaila

Trzy rekordy DNS, które decydują o tym, czy Twój mail trafi do skrzynki odbiorczej, czy do spamu. W lutym 2024 Gmail i Yahoo wprowadziły obowiązek konfiguracji wszystkich trzech dla nadawców masowych. W praktyce - bez nich cold outreach po prostu nie działa.

SPF - Sender Policy Framework

SPF to lista serwerów, którym pozwalasz wysyłać maile w imieniu Twojej domeny. Skrzynka odbiorcza (Gmail, Outlook) sprawdza: „Czy ten serwer rzeczywiście może wysyłać dla twojadomena.pl?” - jeśli nie, mail leci do spamu lub jest odrzucany.

Przykładowy rekord SPF

Typ: TXT
Nazwa: @ (lub twojadomena.pl)
Wartość: v=spf1 include:_spf.google.com include:sendgrid.net ~all

Rozszyfrowanie:

• v=spf1 - wersja
• include:_spf.google.com - pozwól wysyłać Google Workspace
• include:sendgrid.net - pozwól wysyłać przez SendGrid (lub Resend, Mailgun - sprawdź u dostawcy)
• ~all - soft fail dla pozostałych (rekomendowane na start; po ramping zmień na -all = hard fail)

DKIM - DomainKeys Identified Mail

DKIM podpisuje cyfrowo każdy wysyłany mail kluczem prywatnym. Odbiorca pobiera klucz publiczny z DNS i weryfikuje podpis. Jeśli się zgadza → mail jest autentyczny i nie został zmodyfikowany w drodze.

Konfiguracja w Gmailu (Google Workspace)

1. Zaloguj się do admin.google.com
2. Aplikacje → Google Workspace → Gmail → Uwierzytelnianie poczty
3. Wybierz domenę i kliknij „Generuj nowy rekord”
4. Otrzymasz dwie wartości - Selector (np. google) i Public Key (długi ciąg)
5. Dodaj w DNS:

Typ: TXT
Nazwa: google._domainkey.twojadomena.pl
Wartość: v=DKIM1; k=rsa; p=MIGfMA0G... (długi klucz)

1. Wróć do Gmaila i kliknij „Rozpocznij uwierzytelnianie”

DMARC - Domain-based Message Authentication

DMARC mówi skrzynce odbiorczej co zrobić, jeśli SPF lub DKIM nie zgadzają się. Trzy poziomy:

• p=none - nic nie rób, tylko raportuj (zalecane na start, minimum wymagane przez Gmaila)
• p=quarantine - wrzuć do spamu (zalecane po 2-4 tygodniach obserwacji raportów)
• p=reject - odrzuć w całości (najwyższy poziom; tylko gdy masz pewność, że SPF i DKIM są poprawne dla wszystkich Twoich maili)

Przykładowy rekord DMARC

Typ: TXT
Nazwa: _dmarc.twojadomena.pl
Wartość: v=DMARC1; p=none; rua=mailto:dmarc@twojadomena.pl; ruf=mailto:dmarc@twojadomena.pl; fo=1

rua = adres na raporty zbiorcze (codzienne podsumowania), ruf = raporty forensyczne (każde naruszenie). Polecam założyć osobny adres typu dmarc@firma.pl i przekierować do toolu typu Postmark/Postmaster.

Konkretne kroki u popularnych dostawców

OVH

1. Panel klienta → Domeny → twoja domena
2. Strefa DNS → Dodaj wpis
3. Wybierz typ TXT
4. Subdomena: zostaw puste (dla SPF) lub wpisz _dmarc (dla DMARC)
5. Wartość: skopiuj odpowiedni rekord z poprzednich sekcji

home.pl

1. Panel → Usługi → twoja domena → DNS
2. Zarządzanie → Dodaj rekord TXT
3. Wartość bez cudzysłowów

Cloudflare

1. Dashboard → twoja domena → DNS → Records
2. Add record → TXT
3. Name: @ (SPF) / _dmarc (DMARC) / selektor._domainkey (DKIM)
4. Proxy status: DNS only (nie zaproxowane przez Cloudflare)

Weryfikacja konfiguracji

Po dodaniu rekordów i odczekaniu 1-4h sprawdź:

• mxtoolbox.com/spf.aspx - sprawdza SPF
• mxtoolbox.com/dmarc.aspx - sprawdza DMARC
• Wyślij testowy mail na mail-tester.com - pokazuje wynik 0-10 i wyjaśnia każdy minus

Ramp-up - jak nie spalić nowej domeny

Nawet z idealnym SPF/DKIM/DMARC nowa domena nie ma reputacji. Wysłanie 5000 maili pierwszego dnia → blokada na ~48h. Zalecany ramp:

• Dzień 1-3: 10-20 maili/dzień
• Tydzień 1: 30-50 maili/dzień
• Tydzień 2: 50-100 maili/dzień
• Tydzień 3: 100-200 maili/dzień
• Tydzień 4+: docelowy wolumen, pod warunkiem spam rate < 0,3%

OutreachPilot ma funkcję warmup - automatyczne wysyłanie syntetycznych maili wewnątrz puli kont, żeby budować pozytywną reputację (otwarcia, odpowiedzi na własnych mailach).

Najczęstsze pytania