Dlaczego SPF ma limit 10 zapytań?

Sprawdzanie SPF dzieje się **przy każdym odbieranym mailu**. Żeby zabezpieczyć się przed nadużyciem (złośliwy SPF mógłby łańcuchowo wywołać setki include'ów i zafundować DDoS na DNS), **RFC 7208 nakłada limit 10 zapytań DNS na sprawdzenie**. Powyżej tej liczby odbiorcy zwracają `PermError` i traktują Twoje maile jakby SPF nie istniał. Narzędzie liczy cały łańcuch (poziom główny + każdy zagnieżdżony include) i zaznacza na czerwono powyżej 10. **Naprawa**: spłaszcz SPF (zamień `include:` na rozwinięte zakresy `ip4:`) albo użyj usługi, która zrobi to za Ciebie (EasyDMARC, dmarcian).

**DKIM (DomainKeys Identified Mail)** podpisuje każdą wychodzącą wiadomość prywatnym kluczem na Twoim serwerze. Pasujący **klucz publiczny leży w DNS** pod `selektor._domainkey.twojadomena.pl`. Odbiorca pobiera klucz publiczny, weryfikuje podpis i potwierdza, że wiadomość nie została zmodyfikowana po drodze. Bez DKIM każdy może przepisać treść albo załączniki, a Twoja reputacja domeny obrywa. **Wynik "pass" wymaga**: klucz istnieje, base64 prawidłowy, nie w trybie testowym (flaga `t=y`), idealnie **2048+ bitów**.

Co to jest selektor DKIM i gdzie go znaleźć?

**Selektor** to etykieta, którą Twój dostawca przypisuje konkretnej parze kluczy. Stoi między subdomeną a `._domainkey.`. Typowe domyślne: Google = `google`, Microsoft 365 = `selector1` / `selector2`, Mailchimp = `k1`, SendGrid = `s1` / `s2`, Mandrill = `mandrill`. **Jak znaleźć swój**: wyślij testowego maila do siebie, otwórz źródło wiadomości, znajdź nagłówek `DKIM-Signature` i tag `s=` - to jest selektor. Albo zobacz w panelu swojego dostawcy stronę "konfiguracja DKIM".

**DMARC (Domain-based Message Authentication, Reporting & Conformance)** to warstwa polityki nad SPF i DKIM. Mówi odbiorcom **co zrobić, gdy obie nie zagrają**: `p=none` (dostarcz ale raportuj), `p=quarantine` (do spamu), `p=reject` (odrzuć). Bez DMARC każdy odbiorca decyduje po swojemu - Twoja dostarczalność staje się loterią. **Zacznij od `p=none` + `rua=mailto:...`**, obserwuj raporty przez kilka tygodni, potem przełącz na `quarantine` jak potwierdzisz, że legalna poczta przechodzi.

Co znaczy `-all` kontra `~all` w SPF?

**Ostatni mechanizm w SPF ustala politykę gdy żadna inna reguła nie pasuje**. `-all` = **HardFail** (odrzuć), `~all` = SoftFail (oznacz jako spam ale dostarcz), `?all` = Neutral (bez opinii), `+all` = Wszystko Pass (katastrofa, każdy może podszyć się pod Ciebie). **Najlepsza praktyka = `-all`**. `~all` to kółka boczne - używaj przez pierwszy miesiąc, kiedy obserwujesz raporty DMARC, potem przełącz na `-all`.

Moja karta DKIM jest żółta z powodu "legacy key" - o co chodzi?

**Twój klucz ma 1024 bity**. RSA 1024-bit był standardem 15 lat temu, dziś uważany za słaby. **2048 bitów to nowoczesne minimum**, 4096 to już przesada. Zrotuj go: większość dostawców (Google, Microsoft, AWS SES) ma w panelu przycisk "wygeneruj DKIM ponownie". Ważne: **nowy klucz dostaje nowy selektor** (np. `selector2` obok `selector1`), zostaw oba rekordy DNS aktywne przez 48-72 godziny, żeby wiadomości w drodze zdążyły dojść.

Mój DMARC ma `p=none` - to źle?

**Niekoniecznie, ale niekompletnie**. `p=none` oznacza "jeśli SPF i DKIM zawiodą, mimo to dostarcz". Zbierasz raporty (`rua=`), ale nie chronisz adresatów przed podszywaniem. **To jest dobry punkt startu** dla domeny, która już wysyła pocztę, ale powinieneś przejść na `quarantine` albo `reject` w ciągu kilku tygodni. **Domena, która w ogóle nie wysyła poczty, powinna od razu mieć `p=reject`** - narzędzie zaznacza `p=none` na żółto, bo większość konfiguracji zostaje tu na zawsze.

Czy potrzebuję `rua=` i `ruf=`?

**`rua=` tak, `ruf=` rzadko**. `rua=mailto:dmarc@twojadomena.pl` włącza **raporty zbiorcze** - codzienne XML-e od Gmaila, Outlooka, Yahoo i innych z liczbami pass/fail i źródłowymi IP. Bez `rua=` lecisz na ślepo. `ruf=` włącza **raporty kryminalistyczne** (pełny nagłówek wiadomości przy każdym fail) - Gmail i Outlook **już nie obsługują `ruf=`** ze względu na RODO, więc prawie nigdy nie działa. Ustaw `rua=` od pierwszego dnia.

Czy te sprawdzania naprawdę są prywatne?

Domena, którą wpisujesz, trafia do naszego serwera, a my pytamy publiczny DNS Cloudflare (1.1.1.1). **Niczego nie logujemy, niczego nie zapisujemy**. Rekordy, które widzisz, to publiczne dane TXT - każdy na świecie może je pobrać poleceniem `dig` z linii poleceń. **To nie jest wrażliwe sprawdzenie** w sensie hasła, to dokładnie te same dane, które serwery pocztowe Twoich klientów pobierają przy każdym wysłanym przez Ciebie mailu.

DNS poczty (SPF, DKIM, DMARC) - darmowy

Dlaczego moje maile lecą do spamu? Sprawdź SPF, DKIM, DMARC.

Wpisujesz domenę, z której wysyłasz pocztę (to co za @ w polu "Od"), a narzędzie czyta trzy rekordy DNS, które sprawdza każda nowoczesna skrzynka: SPF (które serwery mogą wysyłać w Twoim imieniu), DKIM (kryptograficzny podpis każdej wiadomości) i DMARC (co zrobić, gdy SPF i DKIM się nie zgadzają).

Dostajesz trzy karty w kolorach: zielona = OK, żółta = działa ale na słabym kruchym fundamencie, czerwona = odbiorcy najpewniej wysyłają Twoje maile do spamu albo je odrzucają. Każdą kartę możesz rozwinąć - zobaczysz surowy rekord, jego rozłożenie na czynniki pierwsze i listę ostrzeżeń po polsku.

Zapytania DNS wysyłamy z naszego serwera przez publiczny DNS Cloudflare (1.1.1.1). Nic nie zapisujemy, sprawdzenie trwa poniżej dwóch sekund.

Jak korzystać

Wpisz domenę, z której wysyłasz maile. Tylko domenę z pola "Od", nie cały adres. Dla "marketing@sklep.pl" domena to sklep.pl. Jeśli wkleisz cały adres, sami obetniemy część z użytkownikiem.
Klik "Sprawdź". Narzędzie pobiera SPF, DKIM (dla 8 najpopularniejszych selektorów) i DMARC równolegle.
Karta zielona = ta część jest zdrowa. Żółta = działa, ale ma słabe miejsce do poprawy (klucz w trybie testowym, `~all` zamiast `-all`, brak raportów DMARC). Czerwona = odbiorcy mogą blokować Twoje maile.
Nie widzisz swojego klucza DKIM? Włącz "Własne selektory DKIM" i wpisz selektor, którego używa Twój dostawca (np. `dkim`, `mxvault`, `mandrill`). Selektor to prefiks przed `._domainkey.` w rekordzie DNS.
Przeczytaj ostrzeżenia w każdej karcie. Są ułożone według wagi - napraw to z góry, potem sprawdź ponownie.

Do czego się przydaje

Pięć typowych momentów, w których warto sprawdzić SPF/DKIM/DMARC:

Newsletter leci do spamu. Ustawiłeś Mailchimp / Brevo / GetResponse, wysłałeś pierwszą kampanię, połowa adresatów nie dostała. Pierwsza diagnoza = sprawdź SPF i DKIM, platforma wysyłkowa zwykle wymaga obu poprawnie skonfigurowanych.
Migracja na nowego dostawcę poczty. Przesiadasz się z Google Workspace na Microsoft 365 albo dodajesz transakcyjny serwis (Postmark, SendGrid, MailerSend). Stary SPF/DKIM zostaje obok nowego zanim propagacja się skończy - łatwo o pomyłkę.
"Wasze maile nie dochodzą" od klienta. Klient mówi "nigdy nie dostaję od Was potwierdzeń". Możliwe: SPF powyżej limitu 10 zapytań, klucz DKIM unieważniony, DMARC `p=reject` bez `rua` więc nie wiesz co się dzieje.
Audyt ochrony przed phishingiem. Firma wysyła do klientów faktury i zamówienia. Bez DMARC `p=reject` każdy może podszyć się pod Twoją domenę. Narzędzie pokazuje dokładnie, czego brakuje.
Przed startem nowej domeny. Zanim wyślesz pierwszego maila transakcyjnego z nowej domeny, sprawdź czy wszystkie trzy klocki są na swoim miejscu. Reputację domeny buduje się latami, a niszczy w jednej kampanii.

Do głębszego audytu DNS (nie tylko poczty) użyj lookup DNS. Żeby sprawdzić czy hasło do Twojej skrzynki SMTP nie wyciekło, zobacz sprawdzanie wycieku hasła.

Pytania i odpowiedzi

SPF (Sender Policy Framework) to lista serwerów, które mogą wysyłać maile "Od: Twojadomena.pl". Kiedy Gmail dostanie wiadomość, sprawdza IP nadawcy względem Twojej listy SPF. Brak dopasowania = wiadomość traktowana podejrzliwie (folder spam albo odrzucenie). SPF publikujesz jako rekord TXT w DNS, jeden rekord, zaczyna się od `v=spf1`. Najtrudniejszą rzeczą nie jest napisanie go, tylko limit 10 zapytań DNS - każdy `include:` się liczy, a zagnieżdżone includy szybko go przekraczają.

Dlaczego moje maile lecą do spamu? Sprawdź SPF, DKIM, DMARC.

Zapytania DNS wysyłamy z naszego serwera przez publiczny DNS Cloudflare (1.1.1.1). Nic nie zapisujemy, sprawdzenie trwa poniżej dwóch sekund.

Jak korzystać

Wpisz domenę, z której wysyłasz maile. Tylko domenę z pola "Od", nie cały adres. Dla "marketing@sklep.pl" domena to sklep.pl. Jeśli wkleisz cały adres, sami obetniemy część z użytkownikiem.

Klik "Sprawdź". Narzędzie pobiera SPF, DKIM (dla 8 najpopularniejszych selektorów) i DMARC równolegle.

Karta zielona = ta część jest zdrowa. Żółta = działa, ale ma słabe miejsce do poprawy (klucz w trybie testowym, `~all` zamiast `-all`, brak raportów DMARC). Czerwona = odbiorcy mogą blokować Twoje maile.

Nie widzisz swojego klucza DKIM? Włącz "Własne selektory DKIM" i wpisz selektor, którego używa Twój dostawca (np. `dkim`, `mxvault`, `mandrill`). Selektor to prefiks przed `._domainkey.` w rekordzie DNS.

Przeczytaj ostrzeżenia w każdej karcie. Są ułożone według wagi - napraw to z góry, potem sprawdź ponownie.

Do czego się przydaje

Pięć typowych momentów, w których warto sprawdzić SPF/DKIM/DMARC:

Newsletter leci do spamu. Ustawiłeś Mailchimp / Brevo / GetResponse, wysłałeś pierwszą kampanię, połowa adresatów nie dostała. Pierwsza diagnoza = sprawdź SPF i DKIM, platforma wysyłkowa zwykle wymaga obu poprawnie skonfigurowanych.
Migracja na nowego dostawcę poczty. Przesiadasz się z Google Workspace na Microsoft 365 albo dodajesz transakcyjny serwis (Postmark, SendGrid, MailerSend). Stary SPF/DKIM zostaje obok nowego zanim propagacja się skończy - łatwo o pomyłkę.
"Wasze maile nie dochodzą" od klienta. Klient mówi "nigdy nie dostaję od Was potwierdzeń". Możliwe: SPF powyżej limitu 10 zapytań, klucz DKIM unieważniony, DMARC `p=reject` bez `rua` więc nie wiesz co się dzieje.
Audyt ochrony przed phishingiem. Firma wysyła do klientów faktury i zamówienia. Bez DMARC `p=reject` każdy może podszyć się pod Twoją domenę. Narzędzie pokazuje dokładnie, czego brakuje.
Przed startem nowej domeny. Zanim wyślesz pierwszego maila transakcyjnego z nowej domeny, sprawdź czy wszystkie trzy klocki są na swoim miejscu. Reputację domeny buduje się latami, a niszczy w jednej kampanii.

Do głębszego audytu DNS (nie tylko poczty) użyj lookup DNS. Żeby sprawdzić czy hasło do Twojej skrzynki SMTP nie wyciekło, zobacz sprawdzanie wycieku hasła.

Pytania i odpowiedzi

DNS poczty (SPF, DKIM, DMARC)

Dlaczego moje maile lecą do spamu? Sprawdź SPF, DKIM, DMARC.

Jak korzystać

Do czego się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Sprawdzanie wycieków hasła

Dekoder JWT

DNS poczty (SPF, DKIM, DMARC)

Dlaczego moje maile lecą do spamu? Sprawdź SPF, DKIM, DMARC.

Jak korzystać

Do czego się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Sprawdzanie wycieków hasła

Dekoder JWT