BetaSPFWise jest w wersji Beta, a wszystkie funkcje są bezpłatne do jej zakończenia. Więcej informacji otrzymasz po rejestracji.
spf

Jak skonfigurować rekord SPF

SPF określa, które serwery mogą wysyłać pocztę w imieniu Twojej domeny. Oto jak poprawnie zbudować rekord, zakończyć go silną polityką i nie przekroczyć limitu odpytań.

Zaktualizowano 5 lip 20264 min czytania

SPF (Sender Policy Framework) to pojedynczy rekord DNS TXT, który wskazuje, które serwery mogą wysyłać wiadomości e-mail w imieniu Twojej domeny. Konfiguracja zajmuje kilka minut i blokuje najprostszą formę podszywania się. Oto jak zrobić to poprawnie.

Krok 1: sporządź listę nadawców

Spisz każdą usługę, która wysyła pocztę w imieniu Twojej domeny: dostawcę skrzynki pocztowej (Google Workspace, Microsoft 365) oraz wszystkie narzędzia marketingowe, fakturowe, helpdeskowe czy CRM. Każde z nich udostępnia wpis include dla SPF, którego będziesz potrzebować.

Krok 2: zbuduj rekord

Rekord SPF zaczyna się od v=spf1, wymienia Twoich nadawców i kończy się mechanizmem all. Dla domeny wysyłającej pocztę przez Google Workspace i jedno narzędzie marketingowe:

v=spf1 include:_spf.google.com include:sendgrid.net -all

  • include: dołącza autoryzowane serwery danego dostawcy.
  • -all (hardfail) instruuje odbiorców, aby odrzucali wszystko, co nie znajduje się na liście. To najsilniejsze zakończenie i cel, do którego warto dążyć.
  • ~all (softfail) oznacza niewymienioną pocztę jako podejrzaną, zamiast ją odrzucać. Używaj go wyłącznie w trakcie testów.

Krok 3: opublikuj jeden rekord

Dodaj rekord jako rekord TXT w domenie głównej. Opublikuj dokładnie jeden rekord SPF. Dwa rekordy SPF to błąd konfiguracji, który powoduje permerror i uniemożliwia uwierzytelnianie.

Krok 4: pilnuj limitu dziesięciu odpytań

Podczas oceny SPF może wywołać maksymalnie dziesięć odpytań DNS. Każdy include się liczy, a u dostawców szybko się one sumują. Po przekroczeniu limitu otrzymasz permerror. Zobacz jak naprawić zbyt wiele odpytań DNS w SPF.

Krok 5: zweryfikuj

Opublikuj rekord, poczekaj na propagację DNS, a następnie przeskanuj swoją domenę, aby potwierdzić, że rekord jest poprawny, mieści się w limicie odpytań i kończy się silnym kwalifikatorem all.

Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.

SPF to tylko jedna warstwa. Połącz go z DKIM i DMARC, aby uzyskać realną ochronę.

Sprawdź własną domenę

Uruchom darmowe skanowanie i uzyskaj swoją ocenę wraz z dokładnymi rekordami do poprawienia.

Skanuj domenę

Powiązane poradniki