Co to jest rekord SPF i jak pomaga w dostarczaniu poczty? Wyjaśnienie dla każdego

Co to jest rekord SPF i jak pomaga w dostarczaniu poczty? Wyjaśnienie dla każdego

Wyobraź sobie, że ktoś wysyła e-maile podpisując się Twoim imieniem i adresem domenowym, oferując fałszywe produkty, wyłudzając dane albo rozsyłając złośliwe oprogramowanie. Odbiorcy widzą Twoją domenę jako nadawcę i tracą zaufanie do Twojej marki. To zjawisko nazywa się email spoofing i jest jednym z najpowszechniejszych narzędzi phisherów.

SPF (Sender Policy Framework) to jeden z kluczowych mechanizmów obronnych przed tym zagrożeniem i jednocześnie jeden z najważniejszych czynników wpływających na to, czy Twoje e-maile trafiają do skrzynki odbiorcy, czy do folderu spam. Ten poradnik tłumaczy, jak SPF działa i dlaczego jego brak kosztuje Cię zaufanie odbiorców.

Na czym polega problem bez skonfigurowanego SPF?

Protokół SMTP, czyli standard przesyłania poczty elektronicznej nie weryfikuje, kto naprawdę wysyła wiadomość. Technicznie każdy serwer pocztowy na świecie może wysłać e-mail z polem From: ustawionym na dowolny adres, w tym prezes@twojafirma.pl. Bez dodatkowych mechanizmów weryfikacji serwer pocztowy odbiorcy nie może odróżnić prawdziwej wiadomości od fałszywej.

Skutki braku SPF:

• Ktoś może wysyłać e-maile „od Ciebie" bez Twojej wiedzy.
• Serwery pocztowe odbiorców, które sprawdzają SPF i nie znajdują rekordu, traktują Twoje wiadomości jako podejrzane, co zwiększa ryzyko trafienia do spamu.
• Twoja domena ląduje na czarnych listach, jeśli jest używana do spamu, nawet jeśli sam spamu nie wysyłasz.

Jak działa SPF?

SPF działa jako rekord TXT w strefie DNS Twojej domeny. Zawiera listę serwerów (adresów IP lub zakresów adresów), które mają prawo wysyłać e-maile w imieniu Twojej domeny. Mechanizm weryfikacji przebiega następująco:

1. Wysyłasz e-mail z serwera pocztowego Twojego hostingu.
2. Serwer pocztowy odbiorcy odbiera wiadomość i sprawdza adres IP serwera, który ją wysłał.
3. Serwer odbiorcy pobiera rekord SPF Twojej domeny z DNS.
4. Porównuje adres IP nadawcy z listą autoryzowanych serwerów w rekordzie SPF.
5. Jeśli adres IP jest na liście, to przechodzi weryfikację. Jeśli nie ma go na liście, serwer podejmuje działanie zgodne z polityką SPF (odrzucenie, oznaczenie jako podejrzana lub przepuszczenie z ostrzeżeniem).

Kluczowa techniczna szczegółowość: SPF weryfikuje adres z nagłówka envelope-from (techniczna koperta wiadomości SMTP), nie z pola From: widocznego w kliencie pocztowym. To rozróżnienie ma znaczenie przy zaawansowanej konfiguracji poczty, ale dla większości użytkowników jest niewidoczne.

Jak wygląda rekord SPF?

Rekord SPF to rekord TXT w strefie DNS domeny. Zawsze zaczyna się od v=spf1 i kończy jednym z mechanizmów „all", który określa politykę dla serwerów niewymienionych w rekordzie.

Najprostszy możliwy rekord SPF: 

twojadomena.pl.    IN    TXT    "v=spf1 mx ~all"

Ten rekord mówi: „e-maile z tej domeny mogą być wysyłane tylko przez serwery wymienione w rekordach MX tej domeny. Wiadomości z innych serwerów należy oznaczyć jako podejrzane, ale nie odrzucać".

Rekord SPF dla domeny używającej Google Workspace:

twojadomena.pl.    IN    TXT    "v=spf1 include:_spf.google.com ~all"

Dyrektywa include:_spf.google.com oznacza: „dołącz listę autoryzowanych serwerów zdefiniowanych przez Google", bez konieczności ręcznego wpisywania wszystkich adresów IP infrastruktury Google.

Co oznaczają poszczególne elementy rekordu SPF?

Mechanizmy autoryzacji

• ip4:185.230.64.10 — autoryzuje konkretny adres IPv4.
• ip4:185.230.64.0/24 — autoryzuje cały zakres adresów IPv4.
• ip6:2001:db8::/32 — autoryzuje zakres adresów IPv6.
• mx — autoryzuje serwery wymienione w rekordach MX domeny.
• a — autoryzuje adres IP z rekordu A domeny.
• include:_spf.inna-domena.pl — dołącza listę autoryzowanych serwerów innej domeny.

Kwalifikatory (polityki)

• +all — dopuszcza wiadomości z wszystkich serwerów (praktycznie wyłącza SPF, takiego ustawienia nie stosuj).
• ~all (softfail) — serwery spoza listy są oznaczane jako podejrzane, ale wiadomości są dostarczane. Dobry wybór na etapie wdrożenia SPF.
• -all (fail) — wiadomości z serwerów spoza listy są odrzucane. Najsilniejsza polityka, stosuj, gdy masz pewność, że SPF obejmuje wszystkie serwery nadawcze.
• ?all (neutral) — brak deklaracji polityki. Słabe zabezpieczenie,` praktycznie ignorowane przez filtry antyspamowe.

Najważniejsza zasada: jeden rekord SPF na domenę

Standard SPF wymaga, żeby dla danej domeny istniał dokładnie jeden rekord SPF. Jeśli masz dwa rekordy TXT zaczynające się od v=spf1, weryfikacja SPF zakończy się błędem, co jest traktowane przez serwery pocztowe jako fail SPF.

Jeśli wysyłasz pocztę z kilku źródeł (np. serwer hostingu i zewnętrzny system do masowych wysyłek), musisz umieścić wszystkie w jednym rekordzie SPF:

"v=spf1 include:_spf.google.com include:sendgrid.net ip4:185.230.64.10 ~all"

Limit 10 zapytań DNS. SPF może wykonać maksymalnie 10 zapytań DNS podczas weryfikacji (każde include:, mx i a to osobne zapytanie). Przekroczenie tego limitu powoduje błąd SPF PermError, a wiadomości mogą być odrzucone. Narzędzie MXToolbox SPF Checker pokaże, ile zapytań generuje Twój rekord.

SPF a dostarczanie poczty w praktyce

Gmail, Outlook, Yahoo i inne duże serwery pocztowe traktują brak lub błędny SPF jako sygnał ostrzegawczy przy ocenie wiarygodności wiadomości. Nie jest to jedyny czynnik, ale jego brak wyraźnie obniża ocenę, szczególnie w połączeniu z brakiem DKIM i DMARC.

Skuteczna poczta biznesowa to nie tylko ładny adres w domenie firmy, to kompletna konfiguracja DNS zapewniająca, że Twoje wiadomości docierają do skrzynki odbiorcy, a nie do spamu. SPF jest pierwszym z trzech filarów tej konfiguracji (obok DKIM i DMARC).

Jeśli korzystasz z hostingu WordPress i wysyłasz transakcyjne e-maile przez WordPress (potwierdzenia zamówień, resetowanie haseł), upewnij się, że serwer pocztowy hostingu jest wymieniony w rekordzie SPF Twojej domeny, w przeciwnym razie te wiadomości mają wysokie ryzyko trafienia do spamu odbiorcy.

Jak sprawdzić, czy SPF działa poprawnie?

Kilka narzędzi do weryfikacji rekordu SPF:

• mxtoolbox.com/spf — sprawdza rekord SPF, waliduje składnię i pokazuje, ile zapytań DNS generuje.
• mail-tester.com — wyślij testową wiadomość i otrzymaj szczegółowy raport o konfiguracji poczty, w tym o wyniku weryfikacji SPF.
• Google Admin Toolbox → Check MX — sprawdza konfigurację DNS poczty dla domeny, w tym SPF.
• dig: dig twojadomena.pl TXT — pobiera wszystkie rekordy TXT, w tym SPF.

Nagłówki odebranej wiadomości e-mail zawierają wynik weryfikacji SPF. Szukaj linii Received-SPF: lub Authentication-Results:. W Gmail możesz je zobaczyć przez „Pokaż oryginał" (trzy kropki → Pokaż oryginał).

Bezpieczny hosting z właściwie skonfigurowaną infrastrukturą pocztową i wsparciem przy konfiguracji SPF to podstawa niezawodnej poczty firmowej. Jeśli zarządzasz konfiguracją DNS i poczty dla wielu domen, profesjonalna opieka WordPress obejmuje audyt i konfigurację rekordów pocztowych jako część kompleksowej obsługi technicznej. Jeśli potrzebujesz czegoś więcej niż hosting współdzielony, zapoznaj się z ofertą serwrów VPS, skontaktuj się z nami, chętnie doradzimy.

Podsumowanie

SPF to fundament bezpieczeństwa poczty domenowej. Chroni Twoją markę przed spoofingiem i poprawia dostarczanie Twoich własnych wiadomości. Konfiguracja jest prosta: jeden rekord TXT w strefie DNS, zawierający listę autoryzowanych serwerów pocztowych i politykę dla pozostałych. Zacznij od ~all (softfail), przetestuj konfigurację narzędziami i przejdź na -all gdy masz pewność, że wszystkie serwery są wymienione. SPF działa najlepiej w połączeniu z DKIM i DMARC. Razem tworzą kompletną tarczę ochronną dla Twojej poczty.