Jak poprawnie ustawić rekord SPF? Krok po kroku z przykładami

Wiesz już, czym jest SPF i dlaczego ma znaczenie dla dostaczania poczty. Teraz czas na praktykę. Ten poradnik przeprowadza przez cały proces konfiguracji rekordu SPF krok po kroku: od zebrania potrzebnych informacji, przez dodanie rekordu w panelu DNS, po weryfikację poprawności konfiguracji.

Krok 1 — zidentyfikuj wszystkie serwery wysyłające pocztę w Twojej domenie

Zanim napiszesz rekord SPF, musisz wiedzieć, z jakich serwerów wysyłasz lub możesz wysyłać e-maile podpisane Twoją domeną. Pominięcie choćby jednego źródła oznacza, że wiadomości z niego będą traktowane jako nieautoryzowane.

Typowe źródła poczty wychodzącej do zidentyfikowania:

  • Serwer pocztowy hostingu — jeśli korzystasz z poczty wbudowanej w hosting. Sprawdź w dokumentacji lub panelu dostawcy, jakie adresy IP lub hostname ma serwer pocztowy.
  • Google Workspace / Microsoft 365 — jeśli używasz zewnętrznego dostawcy poczty firmowej.
  • System do wysyłki e-mail marketingowych — Mailchimp, GetResponse, Brevo, ActiveCampaign, SendGrid i inne mają własne serwery wysyłające. Każdy z nich ma dedykowaną dyrektywę include: do dodania do SPF.
  • Transakcyjny serwer pocztowy — Mailgun, Postmark, Amazon SES, SendGrid w trybie transakcyjnym. Używany np. przez WordPress do wysyłania potwierdzeń zamówień WooCommerce i resetowania haseł.
  • CRM lub platforma sprzedażowa — HubSpot, Salesforce, Pipedrive i inne narzędzia mogą wysyłać e-maile w imieniu Twojej domeny.

Listę wszystkich usług wysyłających e-maile w imieniu Twojej domeny znajdziesz, analizując nagłówki wysłanych wiadomości. Szukaj pól Received: i X-Mailer:.

Krok 2 — sprawdź aktualny rekord SPF (jeśli istnieje)

Zanim dodasz nowy rekord SPF, sprawdź, czy już jakiś istnieje. Dwa rekordy SPF dla tej samej domeny to błąd, a weryfikacja kończy się błędem PermError i Twoje e-maile mogą być odrzucane.

Sprawdź aktualny SPF:

dig twojadomena.pl TXT

Lub użyj narzędzia online: mxtoolbox.com/spf: wpisz domenę i kliknij „SPF Lookup". Jeśli istnieje rekord SPF, zobaczysz jego wartość. Jeśli nie ma, zobaczysz komunikat o braku rekordu SPF.

Jeśli rekord istnieje, to nie dodawaj nowego, lecz edytuj istniejący, dołączając brakujące serwery. Pamiętaj o zapisaniu wcześniejszego rekordu na wypadek pomyłki. 

Krok 3 — zbuduj rekord SPF

Teraz możesz zbudować rekord SPF na podstawie zebranej listy serwerów. Poniżej gotowe wartości dla popularnych kombinacji:

Tylko serwer pocztowy hostingu (rekord MX)

"v=spf1 mx ~all"

Najprostszy możliwy rekord, który autoryzuje serwery wymienione w rekordach MX domeny. Odpowiedni, gdy cała poczta idzie przez serwer hostingowy.

Google Workspace

"v=spf1 include:_spf.google.com ~all"

Microsoft 365

"v=spf1 include:spf.protection.outlook.com ~all"

Hosting + Google Workspace

"v=spf1 mx include:_spf.google.com ~all"

Google Workspace + Mailchimp + własny serwer

"v=spf1 include:_spf.google.com include:servers.mcsv.net ip4:185.230.64.10 ~all"

SendGrid (transakcyjny)

"v=spf1 include:sendgrid.net ~all"

Amazon SES

"v=spf1 include:amazonses.com ~all"

Zawsze sprawdzaj aktualną wartość dyrektywy include: w dokumentacji konkretnego dostawcy, gdyż te wartości mogą się zmieniać.

Krok 4 — dodaj rekord SPF w panelu DNS

Otwórz panel zarządzania strefą DNS dla swojej domeny. Interfejsy różnią się wyglądem, ale kroki są zawsze te same:

  1. Kliknij „Dodaj rekord" lub „Add Record".
  2. Wybierz typ: TXT.
  3. W polu Nazwa / Host wpisz @ (oznacza domenę główną) lub zostaw puste, zależnie od wymagań panelu.
  4. W polu Wartość / Value wpisz treść rekordu SPF w cudzysłowie, np.: "v=spf1 include:_spf.google.com ~all". Niektóre panele wymagają cudzysłowów, inne nie, dlatedo sprawdź dokumentację swojego dostawcy.
  5. TTL ustaw na 3600 (1 godzina).
  6. Zapisz rekord.

Jeśli istnieje już rekord SPF dla domeny głównej — nie dodawaj nowego, lecz edytuj istniejący. Opcja edycji jest dostępna przy każdym rekordzie w panelu DNS.

Krok 5 — zweryfikuj rekord SPF

Po zapisaniu odczekaj kilka minut na propagację i zweryfikuj konfigurację:

  • mxtoolbox.com/spf — wpisz domenę i sprawdź wynik. Narzędzie pokazuje zinterpretowany rekord, liczbę zapytań DNS i ewentualne błędy.
  • mail-tester.com — wyślij testową wiadomość z konta domenowego na podany adres testowy. Raport pokaże wynik weryfikacji SPF i szczegóły konfiguracji.
  • Google Admin Toolbox → Check MX — Google's narzędzie do sprawdzania konfiguracji DNS poczty.

Prawidłowy wynik to SPF: PASS. Jeśli widzisz FAILSOFTFAILNEUTRAL lub PERMERROR to sprawdź przyczyny w sekcji błędów.

Najczęstsze błędy przy konfiguracji SPF i jak je naprawić

Dwa rekordy SPF (PermError)

Objaw: Narzędzie do sprawdzania SPF zgłasza „More than one SPF record found" lub „PermError: too many SPF records".

Przyczyna: W strefie DNS istnieją dwa rekordy TXT zaczynające się od v=spf1.

Rozwiązanie: Usuń jeden z rekordów i połącz obie listy serwerów w jednym rekordzie SPF.

Przekroczenie limitu 10 zapytań DNS (PermError)

Objaw: „SPF PermError: too many DNS lookups".

Przyczyna: Rekord SPF generuje więcej niż 10 zapytań DNS (każde include:mx i a to jedno zapytanie, a każde zagnieżdżone include: to kolejne zapytanie).

Rozwiązanie: Zamień dyrektywy include: na bezpośrednie adresy IP (ip4:) tam, gdzie to możliwe. Możesz też użyć narzędzia SPF Flattening (np. AutoSPF), które automatycznie rozwiązuje wszystkie include: do adresów IP i tworzy uproszczony rekord bez zapytań DNS.

Serwer wysyłający nie jest wymieniony w SPF (SoftFail lub Fail)

Objaw: Wiadomości trafiają do spamu lub są odrzucane. Nagłówek wiadomości zawiera Received-SPF: fail lub Received-SPF: softfail.

Przyczyna: Serwer, z którego wysyłasz wiadomości, nie jest wymieniony w rekordzie SPF.

Rozwiązanie: Zidentyfikuj adres IP serwera wysyłającego (znajdziesz go w nagłówkach wiadomości, w polu Received:) i dodaj go do rekordu SPF przez ip4: lub odpowiedni include:.

Błędna składnia rekordu

Objaw: „SPF record syntax error" lub „Invalid SPF record".

Przyczyna: Literówka, brakująca spacja, nieznany mechanizm lub zły format adresu IP.

Rozwiązanie: Sprawdź rekord przez mxtoolbox.com/spf — narzędzie wskazuje dokładne miejsce błędu składni.

Strategia wdrożenia SPF dla nowych domen

Jeśli konfigurujesz SPF od zera lub po długim czasie bez tego rekordu, wdróż go w dwóch etapach:

Etap 1 — softfail (~all): Wdróż rekord z polityką ~all. Wiadomości z nieautoryzowanych serwerów będą oznaczone jako podejrzane, ale nie odrzucane. Monitoruj raporty DMARC (jeśli masz DMARC ustawiony na rua) przez 2–4 tygodnie, żeby zidentyfikować wszystkie serwery wysyłające w imieniu Twojej domeny.

Etap 2 — fail (-all): Gdy masz pewność, że SPF obejmuje wszystkie serwery nadawcze, zmień politykę na -all. Teraz wiadomości z nieautoryzowanych serwerów będą odrzucane przez serwery pocztowe stosujące weryfikację SPF.

Nigdy nie przechodź od razu na -all bez wcześniejszego monitorowania w trybie ~all. Ryzykujesz odrzucenie legalnych wiadomości z serwerów, o których zapomniałeś.

Konfigurację SPF warto przeprowadzić razem z weryfikacją pozostałych elementów infrastruktury pocztowej. Profesjonalna poczta biznesowa z domeną firmy powinna mieć skonfigurowane SPF, DKIM i DMARC, które zapewniają kompletną ochronę i dostarczają maksymalnie dużo wiadomości.

Jeśli korzystasz z bezpiecznego hostingu z konfiguracją poczty zgodną ze standardami, część rekordów SPF może być już skonfigurowana. Sprawdź to w panelu DNS, zanim zaczniesz od zera. Przed wprowadzaniem zmian w DNS zawsze warto mieć aktualną kopię zapasową konfiguracji, nie tylko plików strony, ale też aktualnych wartości rekordów DNS.

Przy migracji domeny lub poczty na nowy hostingdarmowa migracja obejmuje przeniesienie całej konfiguracji, w tym prawidłowe ustawienie rekordów DNS poczty, żeby ciągłość działania poczty firmowej nie była zagrożona.

Podsumowanie

Konfiguracja rekordu SPF to pięć kroków: zidentyfikuj serwery wysyłające, sprawdź, czy SPF już istnieje, zbuduj rekord, dodaj go do DNS i zweryfikuj działanie. Najważniejsze zasady: jeden rekord SPF na domenę, limit 10 zapytań DNS i stopniowe zaostrzanie polityki od ~all do -all. Dobrze skonfigurowany SPF to pierwszy krok do e-maili, które trafiają do skrzynki odbiorcy, a nie do spamu.