Przejdź do treści
Breachroad
Wróć do bloga
Bezpieczeństwo poczty

SPF, DKIM i DMARC: jak zabezpieczyć pocztę firmy

Bez SPF, DKIM i DMARC każdy może wysyłać e-maile podszywające się pod Twoją domenę. Wyjaśniamy te trzy mechanizmy prosto i pokazujemy, jak je wdrożyć.

KR
Karol Rapacz
2 kwietnia 2026 · 10 min czytania
SPF, DKIM i DMARC: jak zabezpieczyć pocztę firmy

Wyobraź sobie, że ktoś wysyła do Twoich klientów e-maile z adresu faktury@twojafirma.pl — z fałszywą fakturą i nowym numerem konta. Nie włamał się na Twoją pocztę; po prostu podszył się pod Twoją domenę, bo poczta e-mail z założenia na to pozwala. Ochroną przed tym są trzy mechanizmy: SPF, DKIM i DMARC. Brzmią technicznie, ale ich idea jest prosta, a wdrożenie — w zasięgu każdej firmy. Ten tekst tłumaczy je bez żargonu i pokazuje, jak je włączyć.

Dlaczego to w ogóle jest problem

E-mail powstał w czasach, gdy zaufanie było domyślne — protokół pozwala wpisać w polu „od” dowolny adres. To jak wysłanie listu z dowolnym nadawcą na kopercie. Dlatego bez dodatkowych zabezpieczeń każdy może wysłać wiadomość, która wygląda, jakby pochodziła od Ciebie. To podstawa phishingu, oszustw na fakturę (BEC) i podszywania się pod marki. SPF, DKIM i DMARC to trzy warstwy, które wspólnie pozwalają odbiorcom sprawdzić, czy wiadomość naprawdę pochodzi od Ciebie.

Trzy mechanizmy, prosto wyjaśnione

SPF (Sender Policy Framework) — kto może wysyłać w imieniu Twojej domeny. SPF to wpis w DNS Twojej domeny, który mówi: „e-maile z tej domeny wysyłają wyłącznie te serwery” (np. serwery Twojego dostawcy poczty). Serwer odbiorcy sprawdza, czy wiadomość przyszła z dozwolonego adresu. To jak lista osób uprawnionych do wysyłania listów w Twoim imieniu.

DKIM (DomainKeys Identified Mail) — cyfrowy podpis wiadomości. DKIM dokłada do każdej wysłanej wiadomości kryptograficzny podpis, powiązany z Twoją domeną. Odbiorca weryfikuje ten podpis kluczem opublikowanym w Twoim DNS. Jeśli się zgadza, ma pewność, że wiadomość naprawdę pochodzi od Ciebie i nie została po drodze zmieniona. To jak pieczęć na kopercie.

DMARC — co zrobić, gdy weryfikacja zawiedzie (i raport). DMARC spina SPF i DKIM: mówi serwerom odbiorców, co zrobić z wiadomością, która nie przejdzie weryfikacji — nic (p=none, tylko monitorowanie), do kwarantanny (p=quarantine, do spamu) albo odrzucić (p=reject). Dodatkowo DMARC przysyła Ci raporty o tym, kto wysyła e-maile w imieniu Twojej domeny — bezcenne przy wykrywaniu nadużyć. To polityka egzekwowania plus system alarmowy.

Jak to wdrożyć krok po kroku

Wdrożenie odbywa się w ustawieniach DNS Twojej domeny (u rejestratora lub dostawcy poczty):

  1. Zacznij od SPF. Ustaw rekord TXT wskazujący serwery, które legalnie wysyłają Twoją pocztę (Twój dostawca poczty poda gotową wartość, np. dla Microsoft 365 czy Google Workspace). Zakończ go regułą -all (twarde odrzucenie reszty) po weryfikacji, że nic nie pominąłeś.

  2. Włącz DKIM u dostawcy poczty. W panelu Microsoft 365 / Google Workspace / innego dostawcy włączasz podpisywanie DKIM i publikujesz podany klucz w DNS. To zwykle kilka kliknięć.

  3. Wdróż DMARC etapami. Zacznij od p=none z adresem na raporty (rua=) — przez kilka tygodni obserwuj, kto wysyła w Twoim imieniu, i upewnij się, że legalna poczta przechodzi. Potem przejdź na p=quarantine, a docelowo p=reject. Stopniowanie chroni przed przypadkowym zablokowaniem własnych wiadomości.

  4. Sprawdź efekt. Naszym skanerem bezpieczeństwa zweryfikujesz obecność SPF, DMARC i DKIM dla domeny w kilka sekund.

Kluczowa uwaga: samo SPF i DKIM bez DMARC w trybie egzekwowania nie chroni w pełni — dopiero DMARC z polityką quarantine/reject realnie blokuje podszywanie się. Wiele domen ma SPF i DKIM, ale DMARC ustawiony na p=none, czyli tylko obserwację — to za mało.

Częste błędy

  • DMARC na zawsze w p=none. Sama obserwacja nie blokuje niczego. Docelowo trzeba przejść do egzekwowania.
  • SPF z +all lub zbyt szeroki. Otwiera domenę na wysyłkę przez dowolny serwer — gorzej niż brak SPF.
  • Zapomniani nadawcy. Newslettery, systemy CRM, faktury — jeśli wysyłają w imieniu Twojej domeny, muszą być ujęte w SPF/DKIM, inaczej legalna poczta zacznie lądować w spamie po zaostrzeniu polityki. Dlatego etap p=none z raportami jest tak ważny.

Najczęstsze pytania (FAQ)

Czy mała firma naprawdę potrzebuje SPF, DKIM i DMARC? Tak. Bez nich każdy może podszyć się pod Twoją domenę i oszukiwać Twoich klientów oraz kontrahentów — a to uderza w Twoją reputację, nawet jeśli sam nie zostałeś zhakowany. Wdrożenie jest jednorazowe i darmowe (poza czasem konfiguracji), a chroni markę i poprawia dostarczalność Twoich e-maili.

Czym różni się p=none od p=reject? p=none oznacza tylko monitorowanie — wiadomości podszywające się pod Ciebie i tak dotrą do odbiorców, dostajesz jedynie raporty. p=reject (lub quarantine) faktycznie blokuje takie wiadomości. Realną ochronę daje dopiero egzekwowanie; p=none to etap przejściowy do zebrania danych, nie cel.

Czy wdrożenie może zablokować moją własną pocztę? Może, jeśli od razu ustawisz twardą politykę, nie uwzględniając wszystkich legalnych nadawców (CRM, newsletter, faktury). Dlatego zaczyna się od p=none z raportami: przez kilka tygodni widzisz, kto wysyła w Twoim imieniu, uzupełniasz SPF/DKIM i dopiero potem zaostrzasz politykę.

Jak sprawdzić, czy moja domena jest zabezpieczona? Najszybciej naszym skanerem, który sprawdza SPF, DMARC i DKIM. Możesz też skorzystać z publicznych narzędzi do analizy rekordów. Jeśli DMARC jest na p=none albo brakuje któregoś rekordu — jest co poprawić.

Prowadzę firmę i chcę to wdrożyć poprawnie — pomożecie? Tak. Konfiguracja SPF/DKIM/DMARC z uwzględnieniem wszystkich nadawców i bezpiecznym przejściem do egzekwowania to typowy element audytu bezpieczeństwa i wsparcia. Dobrze wdrożone chroni Twoją markę przed podszywaniem i oszustwami na fakturę. Napisz do nas.

Podsumowanie

SPF, DKIM i DMARC to trzy warstwy, które razem odpowiadają na pytanie „czy ta wiadomość naprawdę pochodzi od Ciebie”: SPF mówi, kto może wysyłać, DKIM podpisuje wiadomości, a DMARC decyduje, co zrobić z podróbkami — i raportuje nadużycia. Wdrożenie jest jednorazowe, darmowe i w zasięgu każdej firmy, a chroni Twoją markę i klientów przed podszywaniem. Klucz to dojście do DMARC w trybie egzekwowania (quarantine/reject), a nie zatrzymanie się na samym monitorowaniu.


Źródła i dalsza lektura: dmarc.org, CERT Polska, Sekurak.

Udostępnij artykuł

Usługi Umów konsultację