Jak ustawić rekord TXT w DNS? Zastosowania i konfiguracja krok po kroku

Rekord TXT (Text Record) wygląda niepozornie. Przechowuje dowolny tekst, bez ściśle określonego formatu. Mimo tej pozornej prostoty jest dziś jednym z najczęściej konfigurowanych typów rekordów DNS. Weryfikacja właścicielstwa domeny w Google Search Console, polityki bezpieczeństwa poczty e-mail (SPF, DKIM, DMARC), certyfikaty SSL wymagające weryfikacji przez DNS, podpisy DNSSEC to wszystko ląduje w rekordach TXT.

Ten poradnik wyjaśnia, do czego służy rekord TXT, jak wygląda jego struktura i jak krok po kroku dodać go w panelu DNS, dla każdego z najczęstszych zastosowań.

Czym jest rekord TXT i jak jest zbudowany?

Rekord TXT to wpis w strefie DNS domeny przechowujący dowolny tekst w formacie ciągu znaków. Pierwotnie był projektowany jako miejsce na czytelne dla człowieka opisy domeny. W praktyce stał się nośnikiem ustrukturyzowanych danych odczytywanych maszynowo przez serwery, narzędzia i usługi zewnętrzne.

Struktura rekordu TXT w pliku strefy DNS:

twojadomena.pl.    3600    IN    TXT    "wartość tekstowa rekordu"

Elementy rekordu:

  • Nazwa hosta — dla domeny głównej: @ lub twojadomena.pl.; dla subdomeny: np. _dmarc → pełny adres _dmarc.twojadomena.pl.
  • TTL — czas buforowania w sekundach. Wartość 3600 (1 godzina) jest standardem dla rekordów TXT.
  • Typ — zawsze IN TXT.
  • Wartość — tekst w cudzysłowach. Panele graficzne zazwyczaj nie wymagają cudzysłowów — dodają je automatycznie.

Jedna domena może mieć wiele rekordów TXT dla tej samej nazwy hosta, z jednym ważnym wyjątkiem: rekord SPF musi być tylko jeden (więcej rekordów SPF dla tej samej domeny powoduje błąd weryfikacji).

Zastosowanie 1 — SPF (Sender Policy Framework)

SPF to polityka autoryzacji serwerów pocztowych. Określa, które serwery mają prawo wysyłać e-maile w imieniu Twojej domeny. Bez rekordu SPF wiadomości z Twojej domeny mają wyższe ryzyko trafienia do spamu.

Rekord SPF dodaje się jako TXT dla domeny głównej (@):

@    3600    IN    TXT    "v=spf1 include:_spf.google.com ~all"

Kluczowe zasady: jeden rekord SPF na domenę, maksymalnie 10 zapytań DNS w łańcuchu, polityka na końcu (~all — softfail, -all — fail, +all — nie stosuj).

Zastosowanie 2 — DKIM (klucz publiczny podpisu cyfrowego)

DKIM to podpis kryptograficzny dodawany do wychodzących e-maili. Klucz publiczny DKIM jest publikowany jako rekord TXT pod adresem: selektor._domainkey.twojadomena.pl.

google._domainkey    3600    IN    TXT    "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9..."

Wartość klucza publicznego dostarcza dostawca poczty (Google Workspace, Microsoft 365, serwer hostingu). Kopiujesz ją dosłownie bez modyfikacji.

Uwaga techniczna: klucze RSA-2048 generują rekordy TXT przekraczające 255 znaków. Niektóre panele DNS wymagają podziału wartości na dwa ciągi w osobnych cudzysłowach. Jeśli panel zwraca błąd o zbyt długiej wartości, podziel klucz publiczny na dwie części po ok. 255 znaków i umieść je w oddzielnych parach cudzysłowów, a resolver DNS automatycznie je scali.

Zastosowanie 3 — DMARC

DMARC łączy SPF i DKIM w egzekwowalną politykę. Rekord DMARC dodaje się jako TXT dla subdomeny _dmarc:

_dmarc    3600    IN    TXT    "v=DMARC1; p=none; rua=mailto:dmarc@twojadomena.pl"

Parametr p= określa politykę dla wiadomości niespełniających weryfikacji: none (tylko raportuj), quarantine (spam), reject (odrzuć). Adres rua= to cel raportów zbiorczych — codziennych zestawień o ruchu pocztowym Twojej domeny.

Zastosowanie 4 — weryfikacja właścicielstwa domeny

Google Search Console, Google Workspace, Microsoft 365, GitHub Pages, Cloudflare i dziesiątki innych usług wymagają potwierdzenia, że kontrolujesz daną domenę. Najczęstszą metodą weryfikacji jest dodanie rekordu TXT o podanej wartości:

@    3600    IN    TXT    "google-site-verification=abc123xyz456def789"

Po dodaniu rekordu i odczekaniu na propagację DNS klikasz „Weryfikuj" w panelu usługi — i proces jest zakończony. Rekord weryfikacyjny możesz zostawić w strefie DNS na stałe — nie wpływa negatywnie na działanie domeny.

Zastosowanie 5 — weryfikacja domeny dla certyfikatu SSL (DNS-01)

Certyfikaty SSL wymagające weryfikacji przez DNS (szczególnie certyfikaty Wildcard od Let's Encrypt i płatnych CA) używają rekordu TXT jako dowodu kontroli nad domeną. Urząd certyfikacji wskazuje konkretną wartość do wpisania pod adresem _acme-challenge.twojadomena.pl:

_acme-challenge    300    IN    TXT    "losowy_ciąg_weryfikacyjny_od_CA"

Po wystawieniu certyfikatu rekord można usunąć, jest on potrzebny tylko na czas weryfikacji. Automatyczne narzędzia (certbot z pluginem DNS) potrafią dodawać i usuwać ten rekord automatycznie przy każdym odnowieniu certyfikatu.

Pełna oferta certyfikatów SSL dostępnych u cal.pl to certyfikaty SSL — od bezpłatnych Let's Encrypt po płatne certyfikaty rozszerzonej walidacji. Jeśli jednak interesuje Cię strona oparta o WordPress zapoznaj się z certyfikatem SSL dla WordPress.

Zastosowanie 6 — BIMI (logo firmy przy e-mailach)

BIMI (Brand Indicators for Message Identification) to standard wyświetlający logo Twojej firmy przy wiadomościach w skrzynkach obsługujących tę funkcję (Gmail, Yahoo, Apple Mail). Wymaga rekordu TXT pod adresem default._bimi.twojadomena.pl:

default._bimi    3600    IN    TXT    "v=BIMI1; l=https://twojadomena.pl/logo.svg; a=https://twojadomena.pl/vmc.pem"

Parametr l= wskazuje URL do pliku SVG z logo (musi spełniać określone wymagania formatowania). Parametr a= wskazuje Verified Mark Certificate (VMC) — wymagany przez Gmail do wyświetlania logo. BIMI wymaga też aktywnej polityki DMARC p=quarantine lub p=reject.

Jak dodać rekord TXT w panelu DNS — krok po kroku

Niezależnie od dostawcy DNS, interfejs panelu zawiera te same pola. Szukaj przycisku „Dodaj rekord" lub „Add Record":

  1. Wybierz typ rekordu: TXT.
  2. W polu Nazwa / Host wpisz:
    • @ dla domeny głównej (SPF, DMARC dla nadawcy, weryfikacja właścicielstwa)
    • _dmarc dla rekordu DMARC
    • google._domainkey dla DKIM Google Workspace
    • _acme-challenge dla weryfikacji SSL
    • default._bimi dla BIMI
  3. W polu Wartość / Value wklej dokładną wartość rekordu — skopiowaną z panelu usługi lub wygenerowaną przez narzędzie. Nie modyfikuj jej.
  4. Ustaw TTL: 3600 dla stałych rekordów (SPF, DKIM, DMARC), 300 dla tymczasowych (weryfikacja _acme-challenge).
  5. Zapisz rekord i odczekaj na propagację (zazwyczaj 15–60 minut).

Jak zweryfikować rekord TXT po dodaniu?

Kilka metod weryfikacji poprawności i propagacji rekordu TXT:

  • dig (Linux/Mac): dig twojadomena.pl TXT — wyświetla wszystkie rekordy TXT domeny.
  • nslookup (Windows): nslookup -type=TXT twojadomena.pl
  • mxtoolbox.com → TXT Lookup — graficzny interfejs, sprawdza propagację z serwerów MXToolbox.
  • dnschecker.org — sprawdza propagację z wielu lokalizacji geograficznych jednocześnie.

Dla rekordów SPF istnieją dedykowane narzędzia walidacyjne: mxtoolbox.com/spf sprawdza składnię, liczbę zapytań DNS i ewentualne błędy. Dla DMARC — mxtoolbox.com/dmarc. Dla DKIM — mxtoolbox.com/dkim (wymagana znajomość selektora).

Typowe błędy przy konfiguracji rekordów TXT

Dwa rekordy SPF dla tej samej domeny

Standard SPF dopuszcza tylko jeden rekord TXT z v=spf1 dla danej nazwy hosta. Dwa rekordy SPF = błąd PermError = traktowanie wiadomości jak niespełniające SPF. Jeśli masz wiele źródeł poczty, połącz je w jednym rekordzie SPF przez dyrektywy include:.

Cudzysłowy w wartości rekordu

Niektóre panele DNS dodają cudzysłowy automatycznie, inne oczekują ich w polu wartości. Wklejenie wartości z cudzysłowami do panelu, który sam je dodaje, skutkuje podwójnymi cudzysłowami w zapisie strefy — co może powodować błędy przy parsowaniu. Sprawdź dokumentację swojego panelu DNS.

Zbyt długa wartość DKIM

Klucze RSA-2048 przekraczają 255 znaków — limit jednego ciągu w rekordzie TXT. Jeśli panel zwraca błąd, podziel wartość klucza na dwie części w osobnych parach cudzysłowów. Resolver DNS automatycznie je scali przy odczycie.

Zły host dla rekordu DMARC

Rekord DMARC musi być dodany dla subdomeny _dmarc, nie dla domeny głównej @. DMARC pod @ nie zadziała — serwery pocztowe szukają go wyłącznie pod _dmarc.twojadomena.pl.

Bezpieczny hosting z intuicyjnym panelem DNS i pełnym wsparciem dla rekordów TXT ułatwia konfigurację SPF, DKIM i DMARC bez konieczności edytowania pliku strefy DNS ręcznie. Jeśli konfiguracja rekordów pocztowych jest skomplikowana lub masz wiele źródeł wysyłki, profesjonalna opieka WordPress obejmuje audyt i konfigurację kompletnego stosu uwierzytelniania poczty. Dla domen wymagających podpisów DNSSEC rekordy TXT podpisane kryptograficznie są częścią infrastruktury opisanej w ofercie DNSSEC.

Sprawdzenie konfiguracji DNS poczty warto wykonać np. narzędziem mail-tester.com przed uruchomieniem kampanii marketingowej — raport wskaże wszystkie rekordy TXT wymagające uzupełnienia lub poprawki. Kompletna poczta biznesowa z prawidłowymi rekordami TXT dla SPF, DKIM i DMARC to fundament dostarczalności e-maili firmowych.

Podsumowanie

Rekord TXT jest szwajcarskim scyzorykiem DNS. Służy do dziesiątek różnych celów, od weryfikacji właścicielstwa domeny przez polityki bezpieczeństwa poczty po klucze kryptograficzne DKIM. Konfiguracja jest prosta: wybierz typ TXT, wpisz odpowiednią nazwę hosta i wklej wartość dostarczoną przez usługę. Zanim zapiszesz, sprawdź, czy nie istnieje już rekord TXT dla tej samej nazwy, który mógłby kolidować (szczególnie przy SPF). Po dodaniu zweryfikuj propagację przez narzędzia diagnostyczne i gotowe.