Dlaczego Twoje emaile trafiają do spamu

Wysyłasz maile z formularza kontaktowego na stronie, a klienci ich nie otrzymują. Albo otrzymują — ale w folderze spam. Problem rzadko leży w treści wiadomości. Najczęstszą przyczyną jest brak lub niepoprawna konfiguracja uwierzytelniania emaili na poziomie DNS.

Trzy standardy — SPF, DKIM i DMARC — działają razem, aby potwierdzić, że email naprawdę pochodzi od nadawcy, za którego się podaje. Bez nich serwery odbiorców traktują Twoje wiadomości jako potencjalnie fałszywe.

SPF — kto może wysyłać maile z Twojej domeny

SPF (Sender Policy Framework) to rekord DNS typu TXT, który określa, jakie serwery są uprawnione do wysyłania emaili w imieniu Twojej domeny.

Przykładowy rekord SPF:

example.com.  TXT  "v=spf1 ip4:203.0.113.50 include:_spf.google.com ~all"

Co oznaczają poszczególne elementy:

  • v=spf1 — wersja protokołu (zawsze spf1)
  • ip4:203.0.113.50 — Twój serwer może wysyłać maile
  • include:_spf.google.com — serwery Google Workspace również mogą
  • ~all — wiadomości z innych serwerów powinny być traktowane podejrzliwie (softfail)

Opcje polityki (kwalifikatory):

  • +all — przepuść wszystko (nigdy tego nie używaj!)
  • ~all — softfail — oznacz jako podejrzane, ale doręcz
  • -all — hardfail — odrzuć wiadomości z nieautoryzowanych serwerów
  • ?all — neutralnie — nie podejmuj decyzji na podstawie SPF

Najczęstsze błędy SPF:

  • Brak rekordu SPF — serwer odbiorcy nie ma jak zweryfikować nadawcy
  • Więcej niż 10 lookupów DNS — limit standardu SPF. Każdy include to dodatkowy lookup
  • Używanie +all — skutecznie wyłącza SPF, bo autoryzuje każdy serwer na świecie
  • Wiele rekordów SPF — dla jednej domeny powinien istnieć dokładnie jeden rekord SPF

DKIM — cyfrowy podpis wiadomości

DKIM (DomainKeys Identified Mail) dodaje cyfrowy podpis do nagłówka każdego wysyłanego emaila. Serwer odbiorcy weryfikuje podpis, sprawdzając klucz publiczny opublikowany w DNS nadawcy.

Rekord DKIM w DNS wygląda tak:

selector._domainkey.example.com.  TXT  "v=DKIM1; k=rsa; p=MIGfMA0G..."

Gdzie selector to identyfikator klucza (np. google, mail, s1), a p= to klucz publiczny.

Jak działa DKIM:

  1. Serwer wysyłający generuje parę kluczy (prywatny i publiczny)
  2. Klucz publiczny jest publikowany w DNS jako rekord TXT
  3. Przy wysyłaniu emaila serwer podpisuje wybrane nagłówki i treść kluczem prywatnym
  4. Serwer odbiorcy pobiera klucz publiczny z DNS i weryfikuje podpis
  5. Jeśli podpis jest prawidłowy — wiadomość nie została zmodyfikowana w drodze

DKIM chroni przed modyfikacją treści w trakcie przesyłania i potwierdza, że wiadomość pochodzi z autoryzowanego serwera. W przeciwieństwie do SPF, DKIM działa poprawnie nawet przy przekierowywaniu emaili.

DMARC — polityka i raportowanie

DMARC (Domain-based Message Authentication, Reporting and Conformance) łączy SPF i DKIM w spójną politykę i dodaje mechanizm raportowania. To DMARC mówi serwerowi odbiorcy, co zrobić, gdy SPF lub DKIM zawiodą.

Przykładowy rekord DMARC:

_dmarc.example.com.  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com; pct=100"

Elementy:

  • v=DMARC1 — wersja protokołu
  • p=quarantine — polityka: przenieś do spamu niespełniające wymagań wiadomości
  • rua=mailto:dmarc@example.com — adres do raportów zbiorczych
  • pct=100 — procent wiadomości objętych polityką

Trzy poziomy polityki DMARC:

  • p=none — tylko monitorowanie, bez wpływu na dostarczalność. Idealny na start
  • p=quarantine — wiadomości niespełniające wymagań trafiają do spamu
  • p=reject — wiadomości niespełniające wymagań są odrzucane

Zalecana ścieżka wdrożenia:

  1. Zacznij od p=none z raportowaniem — zbieraj dane przez 2-4 tygodnie
  2. Analizuj raporty — zidentyfikuj wszystkie legalne źródła emaili
  3. Upewnij się, że SPF i DKIM są poprawnie skonfigurowane dla wszystkich źródeł
  4. Przejdź na p=quarantine z pct=10 — tylko 10% wiadomości objętych polityką
  5. Stopniowo zwiększaj pct do 100
  6. Przejdź na p=reject — pełna ochrona

Jak to wszystko działa razem

Kiedy Twój email dociera do serwera odbiorcy (np. Gmail), następuje:

  1. Sprawdzenie SPF — czy serwer wysyłający jest autoryzowany w rekordzie SPF domeny nadawcy?
  2. Sprawdzenie DKIM — czy podpis cyfrowy jest prawidłowy?
  3. Sprawdzenie DMARC — czy SPF lub DKIM przeszły pomyślnie I czy domena jest wyrównana (alignment)?
  4. Decyzja — na podstawie polityki DMARC: doręcz, przenieś do spamu lub odrzuć

Wyrównanie (alignment) to kluczowe pojęcie DMARC. Oznacza, że domena w adresie "Od:" musi zgadzać się z domeną w SPF (envelope sender) lub DKIM (domena podpisująca). Bez wyrównania nawet prawidłowe SPF/DKIM nie spełnią wymagań DMARC.

Testowanie konfiguracji

Przed i po konfiguracji warto przetestować ustawienia:

  • MXToolbox (mxtoolbox.com) — kompleksowy test SPF, DKIM, DMARC
  • mail-tester.com — wyślij testowy email i otrzymaj ocenę 0-10 z szczegółowymi uwagami
  • Google Admin Toolbox — sprawdzenie rekordów DNS z perspektywy Google
  • dmarcanalyzer.com — analiza raportów DMARC w czytelnej formie

Test ręczny: wyślij email na adres Gmail i sprawdź nagłówki wiadomości. Szukaj:

Authentication-Results:
  spf=pass
  dkim=pass
  dmarc=pass

Jeśli którykolwiek test zwraca fail, czas na diagnostykę.

Częste problemy i rozwiązania

  • Formularz kontaktowy wysyła maile z serwera, który nie jest w SPF — dodaj adres IP serwera do rekordu SPF
  • Email przechodzi SPF, ale nie DMARC — problem z wyrównaniem. Upewnij się, że envelope sender i nagłówek "Od:" używają tej samej domeny
  • DKIM nie przechodzi po przekierowaniu — to normalne, jeśli serwer pośredni modyfikuje treść. Dlatego ważne jest, by mieć zarówno SPF, jak i DKIM
  • Raporty DMARC pokazują nieznane źródła — mogą to być legalne serwisy (newsletter, CRM) lub próby podszywania się pod Twoją domenę

Podsumowanie

SPF, DKIM i DMARC to trzy filary uwierzytelniania emaili. SPF określa, kto może wysyłać, DKIM gwarantuje integralność wiadomości, a DMARC definiuje politykę i zapewnia raportowanie.

Konfiguracja tych trzech standardów to nie jednorazowe zadanie — wymaga monitorowania raportów DMARC i aktualizacji rekordów przy każdej zmianie infrastruktury pocztowej. Ale efekt jest tego wart: wyższa dostarczalność, ochrona przed phishingiem i lepsza reputacja domeny.

Masz problemy z dostarczalnością emaili lub potrzebujesz pomocy z konfiguracją SPF/DKIM/DMARC? Skontaktuj się z nami.