BetaSPFWise jest w wersji Beta, a wszystkie funkcje są bezpłatne do jej zakończenia. Więcej informacji otrzymasz po rejestracji.
basics

Czym jest uwierzytelnianie poczty e-mail? Kompletny przewodnik

Napisany prostym językiem przewodnik filarowy po uwierzytelnianiu poczty e-mail: dlaczego otwarty protokół SMTP nie ma wbudowanej tożsamości oraz jak SPF, DKIM, DMARC i sygnały wspierające takie jak PTR, ARC, BIMI i MTA-STS wspólnie potwierdzają, że wiadomość naprawdę pochodzi z Twojej domeny.

Zaktualizowano 5 lip 20268 min czytania

Uwierzytelnianie poczty e-mail to zestaw rekordów DNS i protokołów, które pozwalają serwerowi odbiorczemu potwierdzić, że wiadomość rzeczywiście pochodzi z domeny, którą podaje. Istnieje ono dlatego, że SMTP, protokół przenoszący pocztę, został zaprojektowany bez żadnego wbudowanego pojęcia tożsamości, więc każdy może wpisać Twoją domenę w adresie From:. SPF, DKIM i DMARC to trzy standardy, które zamykają tę lukę, a sygnały wspierające takie jak odwrotny DNS, ARC, BIMI i MTA-STS dodatkowo je wzmacniają.

Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.

Dlaczego istnieje uwierzytelnianie poczty e-mail

Gdy na początku lat 80. standaryzowano SMTP, zakładano, że każdy serwer w sieci jest godny zaufania. Nie było wymogu udowadniania, kim się jest, przed przekazaniem wiadomości. To właśnie z powodu tego założenia podszywanie się jest banalnie proste: nadawca może wpisać dowolny adres w nagłówku From:, a niezabezpieczony serwer SMTP przyjmie go i przekaże dalej.

Znaczenie mają tu dwa różne adresy, a ich mylenie jest przyczyną większości błędów w uwierzytelnianiu. Nadawca koperty (nazywany też 5321.MailFrom lub Return-Path) to adres używany podczas sesji SMTP oraz do obsługi zwrotów. Nagłówek From (5322.From) to adres, który człowiek widzi w swoim programie pocztowym. Napastnicy podszywają się pod widoczny nagłówek From, czyli dokładnie pod to pole, którego zwykły SMTP nigdy nie sprawdza. Uwierzytelnianie poczty dodaje dowody kryptograficzne i oparte na DNS, dzięki którym odbiorca może powiązać wiadomość z rzeczywistą, kontrolowaną domeną i odrzucić resztę. Aby bliżej przyjrzeć się atakowi, przed którym to chroni, zobacz czym jest podszywanie się pod pocztę.

Trzy podstawowe standardy

SPF, DKIM i DMARC rozwiązują po jednej części problemu. Żaden z nich nie wystarczy sam. Razem pozwalają odbiorcy zarówno zweryfikować tożsamość, jak i zdecydować, co zrobić, gdy weryfikacja się nie powiedzie.

SPF: które serwery mogą wysyłać w imieniu Twojej domeny

Sender Policy Framework (RFC 7208) to rekord DNS TXT, który wymienia adresy IP i hosty upoważnione do wysyłania poczty z użyciem Twojej domeny w kopercie. Odbiorca sprawdza ten rekord, porównuje z nim łączący się adres IP i zwraca wynik taki jak pass, fail lub softfail.

SPF ma jedno ograniczenie, które podkłada nogę większości nadawców: standard ogranicza ocenę do 10 mechanizmów odpytujących DNS (include, a, mx, ptr, exists oraz modyfikator redirect). Przekrocz ten limit, a odbiorca zwróci PermError, czyli trwały błąd oznaczający, że Twojego rekordu w ogóle nie dało się ocenić. Zwykle winne są zagnieżdżone instrukcje include pochodzące od wielu dostawców. Ten sam standard ogranicza także puste zapytania (mechanizmy zwracające NXDOMAIN lub brak rekordu) do dwóch, co daje ten sam PermError. Jeśli natrafisz na którąkolwiek z tych ścian, przeczytaj jak naprawić zbyt wiele zapytań DNS w SPF.

SPF psuje się także przy przekazywaniu poczty, ponieważ serwer przekazujący wysyła z własnego adresu IP, którego Twój rekord nie wymienia. Dlatego SPF nie może działać samodzielnie.

DKIM: podpis, który przetrwa podróż

DomainKeys Identified Mail (RFC 6376) dołącza do każdej wiadomości podpis kryptograficzny. Twój serwer pocztowy podpisuje wybrane nagłówki i treść kluczem prywatnym, a odbiorcy pobierają pasujący klucz publiczny z DNS, aby go zweryfikować. Klucz publiczny znajduje się pod adresem selector._domainkey.yourdomain.com, gdzie selektor to etykieta, którą wybierasz (na przykład s1 lub google), dzięki czemu możesz opublikować więcej niż jeden klucz i je rotować. Tam, gdzie dostawca to obsługuje, używaj klucza 2048-bitowego; klucze 1024-bitowe są słabsze i są stopniowo wycofywane, a klucz 2048-bitowy zwykle wymaga wielołańcuchowego rekordu TXT, aby się zmieścił.

Ponieważ podpis podróżuje wewnątrz wiadomości i nie zależy od łączącego się adresu IP, DKIM zwykle przetrwa przekazywanie poczty tam, gdzie SPF zawodzi. Dla dopasowania (alignment) znaczenie ma wartość d= w podpisie, a nie selektor ani Return-Path. Zobacz jak skonfigurować DKIM.

DMARC: polityka i raportowanie na wierzchu

Domain-based Message Authentication, Reporting and Conformance to warstwa, która wiąże SPF i DKIM z widocznym nagłówkiem From i mówi odbiorcom, co zrobić w razie niepowodzenia. Został zdefiniowany w RFC 7489 w 2015 roku i zaktualizowany w 2026 roku przez RFC 9989 (z raportowaniem wydzielonym do RFC 9990 i RFC 9991), co podniosło go do rangi Proposed Standard. Rekordy zaczynające się od v=DMARC1 pozostają ważne; odświeżenie nie wprowadziło żadnych zmian łamiących zgodność. Rekord DMARC to rekord TXT pod adresem _dmarc.yourdomain.com ze znacznikiem polityki:

  • p=none jedynie monitoruje i nie podejmuje żadnych działań.
  • p=quarantine kieruje wiadomości, które nie przeszły weryfikacji, do spamu lub je wstrzymuje.
  • p=reject wprost odrzuca wiadomości, które nie przeszły weryfikacji.

DMARC prosi także o raporty, dzięki czemu zyskujesz wgląd w to, kto wysyła w imieniu Twojej domeny, zanim zaczniesz egzekwować politykę. Zacznij od p=none, przeanalizuj dane, a potem zaostrzaj. Cała ta ścieżka jest opisana w polityka DMARC: none, quarantine czy reject.

Jak te trzy standardy współgrają: dopasowanie

DMARC przechodzi pomyślnie, gdy przynajmniej jeden z mechanizmów SPF lub DKIM zarówno uwierzytelni wiadomość, jak i będzie dopasowany. Dopasowanie oznacza, że domena, która przeszła uwierzytelnianie, zgadza się z domeną w nagłówku From, którą widzi odbiorca.

WeryfikacjaUwierzytelniaDopasowuje wobec
SPFdomenę Return-Path (koperty)domenę nagłówka From
DKIMdomenę podpisującą d=domenę nagłówka From

Oto kluczowy wniosek: SPF może przejść pomyślnie, podczas gdy DMARC i tak zawiedzie, ponieważ SPF weryfikuje kopertę, a jeśli domena tej koperty różni się od widocznej domeny From, to nie są one dopasowane. To samo dotyczy DKIM, jeśli domena d= jest inna. DMARC potrzebuje tylko jednego dopasowanego uwierzytelnienia, dlatego włączenie zarówno SPF, jak i DKIM daje Ci trwały wynik przy przekazywaniu i przekazywaniu przez przekaźniki. Dopasowanie może być złagodzone (obie domeny współdzielą domenę organizacyjną, więc mail.example.com pasuje do example.com) lub ścisłe (dokładna zgodność). Kompromisy opisano w dopasowanie złagodzone a ścisłe w DMARC.

Sygnały wspierające

Trzy podstawowe standardy odpowiadają na jedno pytanie: czy to naprawdę Ty. Druga warstwa sygnałów wpływa na reputację, zaufanie i bezpieczeństwo transportu.

SygnałCo robiGdzie się znajduje
PTR / odwrotny DNSOdwzorowuje Twój wysyłający adres IP z powrotem na nazwę hosta; odbiorcy oczekują odwrotnego DNS potwierdzonego w przód (FCrDNS)Strefa odwrotnego DNS dla danego IP
ARCZachowuje oryginalne wyniki uwierzytelniania przez serwery przekazujące i listy mailingoweNagłówki ARC-* dodawane w tranzycie
BIMIWyświetla Twoje logo obok uwierzytelnionej poczty; wymaga egzekwowania DMARCRekord TXT default._bimi.yourdomain.com
MTA-STSWymusza na odbiorcach użycie TLS z ważnym certyfikatem do Twojego MXRekord TXT _mta-sts oraz plik polityki

Odwrotny DNS ma znaczenie, ponieważ dostawcy skrzynek pocztowych karzą lub odrzucają pocztę z adresów IP, których rekord PTR nie rozwiązuje się z powrotem na nazwę hosta nadawcy, a następnie potwierdzają w przód, rozwiązując tę nazwę hosta z powrotem na ten sam adres IP. ARC (RFC 8617) istnieje dlatego, że przekazywanie poczty i listy mailingowe psują SPF i mogą unieważnić DKIM. Pośrednik obsługujący ARC zapisuje wyniki uwierzytelniania, które zobaczył, dzięki czemu końcowy odbiorca może zaufać oryginalnemu werdyktowi nawet po zmodyfikowaniu wiadomości.

BIMI i MTA-STS są opcjonalne, ale wartościowe. BIMI zamienia silną postawę DMARC w widoczne logo marki w skrzynce odbiorczej, a dostawcy skrzynek wymagają egzekwowania (p=quarantine lub p=reject), zanim je pokażą. MTA-STS chroni samo połączenie przed atakami polegającymi na obniżeniu poziomu zabezpieczeń i przechwyceniu, nakazując nadawcom wymaganie TLS do Twoich serwerów pocztowych.

Jak odbiorcy naprawdę tego używają

W momencie dostarczania serwer odbiorczy ocenia SPF, DKIM, DMARC, reputację adresu IP połączenia oraz PTR, a następnie zapisuje wynik w nagłówku Authentication-Results. Możesz otworzyć ten nagłówek w dowolnej otrzymanej wiadomości, aby zobaczyć werdykt, w tym które kontrole przeszły pomyślnie i które domeny były dopasowane.

Uwierzytelnianie jest teraz twardą bramą, a nie miłym dodatkiem. Gmail, Yahoo i Microsoft wymagają od nadawców masowych (mniej więcej 5000 lub więcej wiadomości dziennie do ich użytkowników) uwierzytelniania za pomocą SPF i DKIM, opublikowania co najmniej rekordu DMARC p=none, dopasowania domen, utrzymywania wskaźnika skarg na spam poniżej 0,3%, a najlepiej poniżej 0,1%, oferowania rezygnacji z listy jednym kliknięciem zgodnie z RFC 8058 oraz utrzymywania ważnego odwrotnego DNS potwierdzonego w przód. Google przeszedł w 2025 roku od tymczasowych odroczeń do trwałych odrzuceń, więc niespełnienie tych zasad oznacza teraz, że poczta jest odbijana z błędem 550, a nie jedynie opóźniana. Pełną listę kontrolną znajdziesz w wymagania dla masowych nadawców poczty.

Jak sprawdzić domenę

Możesz samodzielnie sprawdzić dowolną domenę:

  1. Odpytaj rekord SPF TXT w korzeniu domeny i upewnij się, że mieści się poniżej 10 zapytań DNS.
  2. Odpytaj DKIM pod adresem selector._domainkey.domain.com dla każdego selektora używanego przez Twoich nadawców.
  3. Odpytaj rekord DMARC TXT pod adresem _dmarc.domain.com i odnotuj politykę.
  4. Sprawdź odwrotny DNS dla każdego wysyłającego adresu IP i potwierdź, że jest potwierdzony w przód.
  5. Wyślij wiadomość testową i przeczytaj nagłówek Authentication-Results, aby zobaczyć werdykt na żywo.

Skaner robi to wszystko naraz i sygnalizuje brak dopasowania, problemy z limitem zapytań oraz brakujące rekordy.

Najczęściej zadawane pytania

Czy potrzebuję SPF, DKIM i DMARC, czy wystarczy jeden z nich?

Potrzebujesz wszystkich trzech. SPF i DKIM zapewniają po jednym sygnale uwierzytelniania, ale tylko jeden musi być dopasowany, aby DMARC przeszedł pomyślnie, więc opublikowanie obu daje Ci odporność przy przekazywaniu poczty. DMARC to warstwa, która chroni widoczny adres From i mówi odbiorcom, co zrobić, gdy uwierzytelnianie zawiedzie.

Czy uwierzytelnianie poczty może powstrzymać całe podszywanie się?

DMARC z polityką p=reject powstrzymuje napastników przed podszywaniem się pod Twoją dokładną domenę, ponieważ niedopasowana poczta zostaje odrzucona. Nie powstrzymuje jednak łudząco podobnych domen, podszywania się pod nazwę wyświetlaną ani przejętych kont, więc traktuj to jako jedną silną warstwę, a nie kompletne rozwiązanie antyphishingowe.

Dlaczego moja poczta przechodzi SPF, a mimo to nie przechodzi DMARC?

SPF uwierzytelnia domenę koperty (Return-Path), podczas gdy DMARC sprawdza dopasowanie wobec widocznego nagłówka From. Jeśli Twoja platforma wysyłkowa używa własnej domeny w Return-Path, SPF może przejść bez dopasowania, a DMARC zawiedzie, chyba że wiadomość obejmuje dopasowany DKIM.

Jaka jest różnica między nadawcą koperty a nagłówkiem From?

Nadawca koperty (Return-Path) jest używany do routingu i zwrotów podczas transakcji SMTP. Nagłówek From to adres, który widzi odbiorca. Napastnicy fałszują nagłówek From, dlatego dopasowanie DMARC skupia się właśnie na nim.

Jeśli nie masz pewności, jak stoi Twoja domena, uruchom bezpłatne skanowanie za pomocą powyższego narzędzia. W kilka sekund raportuje ono stan Twojego SPF, DKIM, DMARC i odwrotnego DNS oraz wskazuje dokładną poprawkę dla wszystkiego, co jest brakujące lub niedopasowane.

Sprawdź własną domenę

Uruchom darmowe skanowanie i uzyskaj swoją ocenę wraz z dokładnymi rekordami do poprawienia.

Skanuj domenę

Powiązane poradniki