Defaults.Exposed › Naprawy › Guides
Konfiguracja poczty na nowej domenie: 20-minutowa lista kontrolna SPF, DKIM i DMARC (2026)
Opublikowano 2026-07-08
Dane z 2026-06-29 · metodologia v7. Zagregowane dane ze spisu 261 milionów ocenianych domen. Zobacz jak oceniamy.
Nowa domena potrzebuje czterech rzeczy przed pierwszą pocztą: skanowania bazowego, jednego rekordu SPF z nazwą prawdziwego dostawcy, podpisywania DKIM własną domeną i rekordu DMARC z raportowaniem od pierwszego dnia. Większość domen nigdy do tego nie dochodzi — 46,4% (121 145 609 z 261 086 232 ocenianych domen) w ogóle nie ma SPF, według spisu Defaults.Exposed (z 2026-06-29).
Opublikowanie wszystkiego zajmuje około 20 minut: przeskanuj dla punktu bazowego, dodaj jeden rekord SPF, włącz DKIM własnej domeny u dostawcy, opublikuj DMARC p=none z adresem raportowania, opcjonalnie dodaj MTA-STS, następnie przeskanuj ponownie i zachowaj raport. Co zajmuje dłużej, to czego żadna lista kontrolna nie może przyspieszyć — propagacja DNS i reputacja wysyłkowa — i ten przewodnik jest o obu szczery.
Czy 20 minut naprawdę wystarczy?
Na opublikowanie rekordów, tak — każdy krok poniżej to wpis DNS plus kilka kliknięć w konsoli administracyjnej dostawcy. Dwie rzeczy zajmują dłużej, a udawanie inaczej to jak nowe domeny trafiają do spamu:
- Propagacja. Nowe rekordy zazwyczaj rozwiązują się w minutach, ale resolvery buforują według TTL i świeżo zdelegowana domena może godzinami odpowiadać niespójnie. Weryfikuj przez
dig; nie edytuj panicznie, gdy pamięci podręczne się nadrabiają. - Rozgrzewka. Nowa domena ma zerową reputację wysyłkową, a uwierzytelnianie jest warunkiem wstępnym dla reputacji, a nie jej substytutem. Zacznij od małego, ludzkiego wolumenu i stopniowo zwiększaj przez tygodnie.
Uczciwe twierdzenie: 20 minut kupuje poprawnie opublikowane uwierzytelnianie. Kilka kolejnych tygodni rozsądnego wysyłania kupuje dostarczalność.
20-minutowa lista kontrolna
- Najpierw uruchom bezpłatne skanowanie na defaults.exposed. Przeskanuj nową domenę zanim dotkniesz DNS. Oceniony punkt bazowy „nic nieskonfigurowane” zajmuje sekundy do uchwycenia i sprawia, że raport po ma sens — będziesz chciał parę przed i po (krok 6).
- Opublikuj jeden rekord SPF dla faktycznego dostawcy. Dokładnie jeden rekord TXT zaczynający się
v=spf1, zawierający include dostawcy — na przykładv=spf1 include:_spf.google.com ~alldla Google Workspace, lubinclude:spf.protection.outlook.comdla Microsoft 365; jeśli Twój DNS znajduje się w panelu rejestratora, opis GoDaddy obejmuje niuanse interfejsu. Tylko jeden rekord: dwa rekordyv=spf1to permanentny błąd, który całkowicie unieważnia SPF — stan, w którym utknęło 1 013 416 domen, mniej więcej jedna na 138 spośród domen próbujących SPF (spis z 2026-06-29), zazwyczaj pozostałość po migracji. Nie dodawaj includes „na wszelki wypadek”: SPF ogranicza wyszukiwania DNS do 10, a przynajmniej 797 263 domen unieważniło swój rekord przez przekroczenie tego limitu. I wiedz, co SPF faktycznie sprawdza: odbiorcy oceniają go względem domeny Return-Path (RFC5321.MailFrom) — adresu bounce — nie nagłówka From, który widzą odbiorcy. - Włącz podpisywanie DKIM własną domeną. Twój dostawca i tak podpisuje pocztę; pytanie brzmi, którą domenę nazwa podpis. Do ukończenia tego kroku Google Workspace podpisuje swoim domyślnym
gappssmtp.com, a Microsoft 365onmicrosoft.com— podpisy, które zaliczają DKIM, ale nie wyrównują się z Twoją domeną, więc DMARC nadal nie przechodzi. Wygeneruj klucz w konsoli admina i opublikuj to, co daje Ci dostawca: 2048-bitowy rekord TXT dla Google, dwa CNAME (selector1/selector2) dla Microsoft 365. Jeśli rekord nie pasuje do Twojego panelu DNS, patrz napraw DKIM — długie klucze zniekształcone przez interfejsy to klasyk. - Opublikuj DMARC od pierwszego dnia —
p=nonez adresem raportowania. Jeden rekord TXT w_dmarc.twojadomeno.com:v=DMARC1; p=none; rua=mailto:[email protected]. Bądź jasny co do tego, co to robi:p=nonejeszcze nic nie chroni — to tryb monitorowania. Ale nic nie kosztuje, a zbiorcze raporty obejmują wtedy historię wysyłania domeny od pierwszej wiadomości. Ustalone domeny spędzają tygodnie na raportowaniu, odkrywając nadawców, o których zapomniały; Ty kupujesz tę widoczność za darmo od dnia zerowego. Patrz napraw DMARC dla anatomii rekordu. - Opcjonalne, ale tanie na nowej domenie: MTA-STS i TLS-RPT. MTA-STS mówi serwerom wysyłającym, że Twoja domena wymaga TLS dla poczty przychodzącej (rekord DNS plus mały hostowany plik polityki); TLS-RPT raportuje awarie szyfrowania dostarczania. Na ustalonej domenie wymagają ostrożności; na nowej domenie z jednym dostawcą poczty nie ma nic do zepsucia, a
mode: testingjest zasadniczo bez ryzyka. Ustaw je teraz lub pomiń — ale zdecyduj, nie dryfuj. - Przeskanuj ponownie i zachowaj raport. Uruchom skanowanie ponownie — SPF, DKIM i DMARC powinny wyświetlać zielone. Zachowaj oceniony raport: datowany dowód stanu domeny przy uruchomieniu i dokładnie to, o co zapyta ubezpieczyciel lub kwestionariusz klienta.
Ile domen faktycznie wypełnia tę listę kontrolną?
Bardzo mało — i większość potyka się na pierwszej przeszkodzie. Spośród 261 086 232 domen ocenionych w spisie Defaults.Exposed (z 2026-06-29):
| Kamień milowy listy kontrolnej | Rzeczywistość spisu (z 261 086 232 ocenianych domen, z 2026-06-29) |
|---|---|
| Krok 2 — opublikuj dowolny rekord SPF | 46,4% nigdy tego nie robi: 121 145 609 domen w ogóle nie ma SPF |
| Krok 4+ — DMARC z wymuszającą polityką | 10,59% (27 640 987 domen); 89,41% nie ma wymuszonej polityki |
| Pełna triada — SPF + DKIM + wymuszony DMARC | 3,87% (10 092 481 domen) |
20 minut opisane na tej stronie stawia zupełnie nową domenę przed około 96% internetu pod względem pełnej triady. Model dojrzałości adopcji SPF rozpisuje każdy szczebel tej drabiny.
Jak szybko nowa domena może osiągnąć p=reject?
Tygodnie, nie miesiące — prawdziwa przewaga zaczynania od nowa. Co sprawia, że egzekwowanie DMARC jest powolne na ustabilizowanych domenach, to dziedzictwo: zapomniany łącznik CRM, narzędzie do fakturowania podłączone przez kogoś w 2019, platforma newsletterów, której nikt nie udokumentował. Każde musi zostać znalezione w raportach i naprawione zanim polityka może być zaostrzona — stąd standardowe wdrożenie trwające miesiące.
Nowa domena nie ma starszych nadawców: skonfigurowałeś każde źródło wysyłkowe samodzielnie, w tym tygodniu, a raporty z kroku 4 to potwierdzą. Uruchom p=none przez dwa do czterech tygodni rzeczywistego wysyłania, sprawdź, czy raporty obejmują wszystko, czego faktycznie używasz (skrzynki, faktury, potwierdzenia, formularz kontaktowy strony), następnie przejdź do p=quarantine i dalej do p=reject, gdy będą czyste. Stopniowa mechanika — rampy pct, polityka subdomeny, co obserwować — jest w od p=none do p=reject; na nowej domenie przejdziesz je szybko, do miejsca, do którego dotarło tylko 10,59% ocenianych domen.
A co ze starą domeną, którą zastępujesz?
Jeśli ta nowa domena jest częścią rebrandingu, domena, którą zostawiasz, jest teraz Twoim największym ryzykiem poczty: nadal Twoja, nadal zaufana przez kontrahentów, już niemonitorowana. Nie porzucaj jej — zablokuj ją wyraźnie. To własna krótka praca: ta stara domena z Twojego rebrandingu to drzwi, które zostawiłeś otwarte.
Często zadawane pytania
Czy mogę opublikować te rekordy przed wyborem dostawcy poczty?
DMARC, tak — p=none z rua jest niezależny od dostawcy, więc opublikuj go w dniu rejestracji. SPF potrzebuje include dostawcy; dopóki nie wybierzesz, opublikuj v=spf1 -all (nic nie jest autoryzowane do wysyłania) i zastąp go w kroku 2. To zdecydowanie lepsze niż stan bez rekordu, w którym siedzi 121 145 609 domen (46,4% z 261 086 232 ocenianych, z 2026-06-29).
Czy potrzebuję DKIM, jeśli SPF już przechodzi? Tak. SPF z założenia psuje się przy przekazywaniu i weryfikuje domenę Return-Path, która w przypadku wielu narzędzi nie jest Twoja — wyrównany DKIM to noga, która przeżywa oba przypadki. Tylko 3,87% ocenianych domen wypełnia pełną triadę SPF+DKIM+wymuszony-DMARC (spis z 2026-06-29); DKIM to krok, który większość porzucających pomija. Zacznij od naprawy DKIM, jeśli skanowanie go oznacza.
Czy nowa domena powinna używać ~all czy -all?
Na ustabilizowanej domenie ~all to ostrożny wybór podczas znajdowania zapomnianych nadawców. Nowa domena nie ma żadnych do znalezienia: gdy include dostawcy jest w rekordzie i DKIM podpisuje, -all jest bezpieczny znacznie wcześniej. Chcesz szelek i paska? Najpierw potwierdź przez dwa czyste tygodnie raportów DMARC.
Wszystkie trzy rekordy przechodzą — dlaczego moja poczta nadal trafia do spamu? Ponieważ uwierzytelnianie i reputacja to różne rzeczy: przechodzące rekordy oznaczają, że odbiorcy mogą zweryfikować, że poczta jest Twoja, a nie że Ci ufają. Nowe domeny zdobywają zaufanie przez wysyłanie spójnej, oczekiwanej, niskowolumenowej poczty i stopniowe zwiększanie. Jeśli poczta nie przechodzi sprawdzeń zamiast tylko trafiać do spamu, zacznij od naprawy SPF i pracuj w dół przez wyniki skanowania.
Wyślij właścicielowi raport
Jeśli konfigurujesz tę domenę dla klienta, zamknij pracę dowodem. Ponów bezpłatne skanowanie po kroku 6 i prześlij oceniony raport właścicielowi firmy: SPF, DKIM i DMARC przechodzące w prostym języku, datowane przy uruchomieniu. To artefakt, którego będą potrzebować przy odnowieniu ubezpieczenia cybernetycznego i kolejnym kwestionariuszu bezpieczeństwa dostawcy — i dowodzi, że domena zaczęła życie tak, jak 96% internetu nigdy nie zarządza.
Sprawdź swoją domenę → · Od p=none do p=reject bez utraty legalnej poczty → · Tylko dane zagregowane. Dane przechowywane i przetwarzane w UE.