Przejdź do treści
Słownik

SPF

Sender Policy Framework

Także zwany: rekord SPF, SPF record

SPF (Sender Policy Framework) to rekord DNS TXT wskazujący serwery uprawnione do wysyłania poczty z danej domeny. Serwer odbierający weryfikuje IP nadawcy - jeśli nie ma go na liście, wiadomość może trafić do spamu lub zostać odrzucona. SPF bez DKIM i DMARC nie chroni nagłówka From przed spoofingiem.

SPF weryfikuje, że serwer wysyłający jest uprawniony do nadawania maili z danej domeny. Nie chroni treści wiadomości ani nagłówka From widocznego dla odbiorcy - to zadanie DMARC.

Jak to działa

  1. Właściciel domeny dodaje rekord TXT: v=spf1 include:_spf.google.com ~all (przykład dla GSuite).
  2. Serwer odbierający sprawdza rekord SPF dla domeny z Return-Path/MAIL FROM.
  3. Wynik: pass, softfail (tilde ~) lub fail (minus -).
  4. DMARC używa wyniku SPF jako jednego z dwóch warunków uwierzytelniania.

Typowe pułapki

  • Zbyt wiele include - limit 10 zagnieżdżeń DNS lookupów wg RFC 7208. Przekroczenie = permerror.
  • ~all zamiast -all - softfail oznacza wiadomość, ale jej nie blokuje.
  • Brak SPF dla subdomen wysyłających - każda subdomena wysyłająca pocztę potrzebuje własnego rekordu.

SPF sam w sobie nie wystarczy - wdrażajcie razem z DKIM i DMARC.

Ostatnia aktualizacja: 2026-05-28