Jeśli chcesz zwiększyć skuteczność doręczania swoich e-maili do skrzynek odbiorców i skutecznie chronić się przed spoofingiem (czyli podszywaniem się oszustów pod Twój adres), kluczowym rozwiązaniem jest poprawna konfiguracja rekordu SPF (Sender Policy Framework).

Rekord SPF to wpis w strefie DNS Twojej domeny (typu TXT), który pełni rolę oficjalnej listy uprawnień. Określa on dokładnie, które serwery pocztowe są autoryzowane do wysyłania wiadomości w imieniu Twojej domeny. Gdy wysyłasz maila, serwer odbiorcy (np. Gmail czy Outlook) sprawdza Twój rekord SPF. Jeśli serwer wysyłający znajduje się na liście – wiadomość zostaje przyjęta. Jeśli nie – może zostać odrzucona lub trafić prosto do folderu SPAM.

GENERATOR REKORDU SPF

Co musisz przygotować przed stworzeniem rekordu SPF?

Zanim skorzystasz z poniższego generatora, przygotuj następujące informacje:

  • Adres IP serwera pocztowego – unikalny adres (IPv4 lub IPv6), z którego wysyłane są Twoje e-maile. Zazwyczaj pokrywa się on z rekordem A lub MX Twojej domeny.
  • Lista zewnętrznych serwisów – zidentyfikuj narzędzia, których używasz do wysyłki w imieniu swojej domeny (np. Google Workspace, Microsoft 365, Mailchimp, systemy CRM czy systemy do fakturowania).
  • Nazwa domeny – rekord konfigurujesz dla domeny głównej (np. twojadomena.pl), wpisując go w panelu DNS jako host @.
  • Dostęp do panelu zarządzania DNS – upewnij się, że masz login i hasło do panelu u swojego rejestratora (np. SEOHOST, Cyberfolks, nazwa.pl) lub dostawcy hostingu.

Kluczowe zasady poprawnego rekordu SPF

Aby Twój rekord działał poprawnie i nie powodował problemów z dostarczalnością, musisz pamiętać o trzech żelaznych zasadach:

  1. Tylko jeden rekord na domenę – posiadanie dwóch lub więcej wpisów SPF dla tej samej domeny to błąd krytyczny (PermError), który powoduje, że serwery odbiorców ignorują wszystkie Twoje zabezpieczenia.
  2. Limit 10 zapytań DNS – mechanizmy takie jak include:, a: czy mx: zmuszają serwer odbiorcy do dodatkowych sprawdzeń. Jeśli Twój rekord wymaga więcej niż 10 takich zapytań, zostanie uznany za błędny.
  3. Pełne bezpieczeństwo (SPF + DKIM + DMARC) – sam SPF to fundament, ale dla pełnej ochrony i najwyższej dostarczalności warto skonfigurować go w parze z kluczem cyfrowym DKIM oraz polityką DMARC.

Darmowy Generator Rekordu SPF

Poniższy generator pozwoli Ci błyskawicznie przygotować poprawną składnię rekordu. Choć struktura wpisu wydaje się prosta, o jego skuteczności decyduje precyzja. Skorzystaj z kroków poniżej, a pod narzędziem znajdziesz szczegółową instrukcję wyjaśniającą każdą z dostępnych opcji!

PAMIĘTAJ: Po wygenerowaniu rekordu, musisz go samodzielnie dodać w panelu zarządzania swoją domeną.

Krok 1 — Domena
Wpisz domenę, dla której tworzysz rekord (np. twojadomena.pl). Nie wpisuj „www.” ani „https://”.
Krok 2 — Autoryzowane serwery
Większość polskich hostingów (SeoHost, Cyberfolks itp.) wymaga zaznaczenia TAK przy MX i A.
Wpisz tylko, jeśli Twój serwer ma dedykowany adres IP inny niż domena.
Krok 3 — Zewnętrzne serwisy (Include)
Kliknij, jeśli używasz tych usług. Dla zwykłych hostingów pozostaw puste (Krok 2 załatwia sprawę).
Wpisz samą nazwę hosta, jeśli dostawca tego wymaga.
Krok 4 — Polityka (Fail Policy)
Decyduje co zrobić z mailem, który nie przeszedł weryfikacji.
~all: Zalecane. Mail przejdzie, ale może trafić do spamu.
-all: Bezpieczne. Mail od razu zostanie odrzucony przez odbiorcę.
Twój Rekord TXT:
v=spf1 mx a ~all

Krok 1: Domena (Identyfikacja)

  • Co robisz: Wpisujesz główną nazwę swojej domeny (np. mojsklep.pl).
  • Wpływ na decyzję: To najważniejszy krok, który określa, gdzie rekord SPF zostanie docelowo dodany.
  • Co to oznacza: Rekord SPF jest zawsze przypisany do konkretnej domeny. Jeśli użytkownik ma maile w domenie biuro@firma.pl, rekord musi dotyczyć firma.pl. System automatycznie czyści wpis z „www.” lub „https://”, ponieważ SPF działa w warstwie DNS samej domeny, a nie adresu strony.

Krok 2: Autoryzowane serwery (Mechanizmy A i MX)

  • Co robisz: Zaznasz „Tak” lub „Nie” przy opcjach MX oraz A.
  • Wpływ na decyzję: Dodaje do rekordu krótkie znaczniki mx oraz a.
    • MX (Mail Exchange): Informuje świat: „Każdy serwer, który odbiera dla mnie pocztę, ma też prawo ją wysyłać”. To standard dla 99% firm.
    • A (Address): Informuje: „Serwer, na którym stoi moja strona WWW, ma prawo wysyłać maile”. Jest to kluczowe, jeśli np. WordPress wysyła powiadomienia o zamówieniach bezpośrednio z hostingu.
    • IPv4: Pozwala ręcznie wpisać stały adres IP serwera. To „sztywna” autoryzacja – najbezpieczniejsza, bo wskazuje konkretne „miejsce” w sieci.

Krok 3: Zewnętrzne serwisy (Mechanizm Include)

  • Co robisz: Klikasz w przyciski znanych marek (Google, Microsoft) lub wpisujesz własny adres w pole „Inne”.
  • Wpływ na decyzję: Dodaje regułę include:adres.pl.
  • Co to oznacza: To delegacja uprawnień. Mówisz serwerowi odbiorcy: „Ja sam nie wysyłam tych maili, ale ufam firmie Google/Mailchimp i pozwalam im wysyłać wiadomości w moim imieniu”.

Ważne: Dla polskich hostingów (SeoHost itp.) nie używamy include, bo ich uprawnienia „zasysane” są już w Kroku 2 przez mechanizm MX/A. Pole to służy tylko dla zewnętrznych narzędzi typu SaaS.

Krok 4: Polityka obsługi (Fail Policy)

  • Co robisz: Wybierasz pomiędzy trybem łagodnym (~all) a rygorystycznym (-all).
  • Wpływ na decyzję: To instrukcja dla serwera odbiorcy (np. Gmaila), co ma zrobić, gdy mail przyjdzie z nieautoryzowanego źródła.
    • ~all (Soft Fail): „Podejrzany mail, ale go przyjmij i najwyżej oznacz jako SPAM”. Najbezpieczniejsza opcja na start – chroni przed sytuacją, w której zapomnieliśmy dopisać jakiegoś serwera i nasze własne maile zaczęłyby znikać.
    • -all (Hard Fail / Reject): „Jeśli serwera nie ma na liście, natychmiast odrzuć maila”. To najwyższy poziom bezpieczeństwa. Gwarantuje, że nikt nie podszyje się pod Twoją domenę, ale wymaga 100% pewności, że lista z Kroków 2 i 3 jest kompletna.