Czy wystarczy sam SPF?

Nie. Sam SPF nie wymusza akcji ani nie chroni przed przekierowaniami (forwarding). Pełna ochrona wymaga SPF + DKIM + DMARC.

Czy bez DMARC w polityce reject ktoś może wysłać 'ode mnie' do moich klientów?

Tak. Bez DMARC w polityce reject (lub przy DMARC w trybie p=none) odbiorca może zaakceptować sfałszowaną wiadomość. To główny wektor BEC w polskich biurach rachunkowych.

Jak długo zbierać raporty DMARC przed przejściem na reject?

4-8 tygodni. W tym czasie zidentyfikujecie wszystkich legitymnych dostawców (mailingi, fakturowanie, CRM, ZOOM-i). Zbyt szybki skok na p=reject blokuje legitymny ruch.

Czy SPF/DKIM/DMARC chronią przed phishingiem?

Chronią przed phishingiem podszywającym się pod waszą domenę. Nie chronią przed phishingiem z innej domeny udającej waszą (np. cybcerber.pl zamiast cybercerber.pl) - to wymaga monitoringu domen i edukacji zespołu.

Jakie narzędzia do raportów DMARC?

Dmarcian (community), Postmark DMARC, EasyDMARC, Valimail. Postmark DMARC ma darmowy plan podstawowy. Dla MŚP polski rynek - dmarcian community wystarcza, jeśli umiecie czytać XML.

Czy darmowy Google Workspace ma DKIM?

Tak, ale wymaga włączenia ręcznie w panelu administratora i dodania klucza do DNS. Domyślnie DKIM nie jest aktywny dla nowych kont Google Workspace - sprawdźcie.

SPF vs DKIM vs DMARC - trzy warstwy uwierzytelniania poczty firmowej

Kryterium	SPF	DKIM	DMARC
Co robi	Lista IP-ów uprawnionych do wysyłania z waszej domeny	Kryptograficzny podpis każdej wiadomości kluczem z DNS	Polityka egzekwowania + mechanizm raportowania niezgodności
Lokalizacja	Rekord DNS TXT na waszej domenie głównej	Rekord DNS TXT na selector._domainkey.wasza-domena.pl	Rekord DNS TXT na _dmarc.wasza-domena.pl
Co sprawdza odbiorca	Czy IP nadawcy jest na liście	Czy podpis kryptograficzny zgadza się z kluczem z DNS	Czy SPF lub DKIM przechodzą i są zgodne z domeną w From
Co się dzieje przy niezgodności	Sam SPF nie egzekwuje - mówi tylko 'fail' lub 'softfail'	Sam DKIM nie egzekwuje - mówi 'fail'	DMARC decyduje: nic nie rób / kwarantanna / odrzuć
Trudność konfiguracji	Łatwa - 1 rekord DNS, lista dostawców	Średnia - generacja klucza, konfiguracja u dostawcy poczty	Średnia - rekord DNS + system zbierający raporty XML
Standard	RFC 7208	RFC 6376	RFC 7489
Czas wdrożenia	30 minut - 2 godziny	1-3 godziny (zależnie od dostawcy)	30 minut konfiguracji + 4-8 tygodni obserwacji

Co robi każdy z trzech

SPF (RFC 7208). Rekord DNS typu TXT na waszej domenie, mówiący “tylko te serwery mogą wysyłać pocztę z @wasza-domena.pl.” Przykład: v=spf1 include:_spf.google.com include:sendgrid.net ~all. Odbiorca sprawdza, czy IP nadawcy mieści się w tej liście. Jeśli nie - sam SPF nie blokuje, tylko zwraca wynik “fail” lub “softfail” do warstwy DMARC.

DKIM (RFC 6376). Dostawca poczty podpisuje każdą wychodzącą wiadomość kluczem prywatnym. Klucz publiczny jest opublikowany w DNS pod selector._domainkey.wasza-domena.pl. Odbiorca pobiera klucz publiczny, weryfikuje podpis. Jeśli wiadomość była modyfikowana po wysłaniu - podpis się nie zgadza, DKIM zwraca “fail.”

DMARC (RFC 7489). Polityka egzekwowania + raportowanie. Mówi serwerowi odbierającemu: “Jeśli ani SPF ani DKIM nie zgadzają się z domeną w polu From, [nic nie rób / przenieś do spamu / odrzuć].” Dodatkowo wysyła wam raporty XML o każdej wiadomości próbowanej z waszej domeny - widzicie, kto się pod was podszywa.

Dlaczego potrzebne są wszystkie trzy

SPF jeden ma dwie luki: nie chroni przed forwardingiem (przekierowanie maila zmienia IP nadawcy, SPF fails) i nie egzekwuje samodzielnie. DKIM chroni przed modyfikacją treści, ale nie mówi odbiorcy co robić przy fail. Dopiero DMARC łączy obie warstwy i wymusza politykę.

Razem: nikt nie może wysłać legitymnego maila “od was” bez dostępu do waszej infrastruktury. To zamyka główny wektor BEC.

Procedura wdrożenia

Krok 1 - SPF. Inwentaryzacja: kto wysyła pocztę z waszej domeny? Google Workspace / Microsoft 365 / SendGrid / Mailgun / Brevo / system księgowy wysyłający faktury / hosting strony. Każdy dostawca ma własny include w SPF. Skonfigurujcie rekord, zostawiając ~all (softfail) na start.

Krok 2 - DKIM. Włączcie u głównego dostawcy poczty (Google Workspace lub Microsoft 365). Wygeneruje klucz, daje wam wartość do dodania do DNS. Zapisanie rekordu zajmuje 5 minut, propagacja 1-24h.

Krok 3 - DMARC w p=none. Dodajcie rekord _dmarc.wasza-domena.pl z v=DMARC1; p=none; rua=mailto:raporty@wasza-domena.pl; ruf=mailto:raporty@wasza-domena.pl; pct=100. To NIE egzekwuje - tylko zbiera raporty.

Krok 4 - Analiza raportów (4-8 tygodni). Czytajcie cotygodniowe XML-e (lub używajcie narzędzia jak dmarcian / Postmark DMARC). Zidentyfikujcie wszystkich legitymnych nadawców. Naprawcie tych, którzy nie przechodzą SPF/DKIM.

Krok 5 - p=quarantine. Gdy 100% legitymnego ruchu przechodzi, przejdźcie na p=quarantine. Sfałszowane wiadomości trafiają do spamu odbiorcy.

Krok 6 - p=reject. Po dodatkowym miesiącu - finalna polityka. Sfałszowane wiadomości są odrzucane przez serwer odbierający, nawet nie docierają do spam.

Cała procedura - 2-3 miesiące. Większość pracy to monitoring i poprawki w pierwszych 8 tygodniach.

Najczęstszy błąd

Skok od razu na p=reject bez fazy raportów. Konsekwencja: pierwszy mail z nowego dostawcy (np. nowy mailing produkcyjny przez SendGrid) jest natychmiast odrzucany. Klient go nie dostaje, wy nie wiecie, że problem występuje, dopóki ktoś nie zadzwoni z pytaniem “dlaczego nie dostałem faktury.”

Cierpliwość 4-8 tygodni w p=none jest tańsza niż jeden klient nie dostający krytycznej wiadomości.