Defaults.Exposed

Defaults.ExposedNaprawyGuides

Konfiguracja poczty na nowej domenie: 20-minutowa lista kontrolna SPF, DKIM i DMARC (2026)

Opublikowano 2026-07-08

Dane z 2026-06-29 · metodologia v7. Zagregowane dane ze spisu 261 milionów ocenianych domen. Zobacz jak oceniamy.

Nowa domena potrzebuje czterech rzeczy przed pierwszą pocztą: skanowania bazowego, jednego rekordu SPF z nazwą prawdziwego dostawcy, podpisywania DKIM własną domeną i rekordu DMARC z raportowaniem od pierwszego dnia. Większość domen nigdy do tego nie dochodzi — 46,4% (121 145 609 z 261 086 232 ocenianych domen) w ogóle nie ma SPF, według spisu Defaults.Exposed (z 2026-06-29).

Opublikowanie wszystkiego zajmuje około 20 minut: przeskanuj dla punktu bazowego, dodaj jeden rekord SPF, włącz DKIM własnej domeny u dostawcy, opublikuj DMARC p=none z adresem raportowania, opcjonalnie dodaj MTA-STS, następnie przeskanuj ponownie i zachowaj raport. Co zajmuje dłużej, to czego żadna lista kontrolna nie może przyspieszyć — propagacja DNS i reputacja wysyłkowa — i ten przewodnik jest o obu szczery.

Czy 20 minut naprawdę wystarczy?

Na opublikowanie rekordów, tak — każdy krok poniżej to wpis DNS plus kilka kliknięć w konsoli administracyjnej dostawcy. Dwie rzeczy zajmują dłużej, a udawanie inaczej to jak nowe domeny trafiają do spamu:

Uczciwe twierdzenie: 20 minut kupuje poprawnie opublikowane uwierzytelnianie. Kilka kolejnych tygodni rozsądnego wysyłania kupuje dostarczalność.

20-minutowa lista kontrolna

  1. Najpierw uruchom bezpłatne skanowanie na defaults.exposed. Przeskanuj nową domenę zanim dotkniesz DNS. Oceniony punkt bazowy „nic nieskonfigurowane” zajmuje sekundy do uchwycenia i sprawia, że raport po ma sens — będziesz chciał parę przed i po (krok 6).
  2. Opublikuj jeden rekord SPF dla faktycznego dostawcy. Dokładnie jeden rekord TXT zaczynający się v=spf1, zawierający include dostawcy — na przykład v=spf1 include:_spf.google.com ~all dla Google Workspace, lub include:spf.protection.outlook.com dla Microsoft 365; jeśli Twój DNS znajduje się w panelu rejestratora, opis GoDaddy obejmuje niuanse interfejsu. Tylko jeden rekord: dwa rekordy v=spf1 to permanentny błąd, który całkowicie unieważnia SPF — stan, w którym utknęło 1 013 416 domen, mniej więcej jedna na 138 spośród domen próbujących SPF (spis z 2026-06-29), zazwyczaj pozostałość po migracji. Nie dodawaj includes „na wszelki wypadek”: SPF ogranicza wyszukiwania DNS do 10, a przynajmniej 797 263 domen unieważniło swój rekord przez przekroczenie tego limitu. I wiedz, co SPF faktycznie sprawdza: odbiorcy oceniają go względem domeny Return-Path (RFC5321.MailFrom) — adresu bounce — nie nagłówka From, który widzą odbiorcy.
  3. Włącz podpisywanie DKIM własną domeną. Twój dostawca i tak podpisuje pocztę; pytanie brzmi, którą domenę nazwa podpis. Do ukończenia tego kroku Google Workspace podpisuje swoim domyślnym gappssmtp.com, a Microsoft 365 onmicrosoft.com — podpisy, które zaliczają DKIM, ale nie wyrównują się z Twoją domeną, więc DMARC nadal nie przechodzi. Wygeneruj klucz w konsoli admina i opublikuj to, co daje Ci dostawca: 2048-bitowy rekord TXT dla Google, dwa CNAME (selector1/selector2) dla Microsoft 365. Jeśli rekord nie pasuje do Twojego panelu DNS, patrz napraw DKIM — długie klucze zniekształcone przez interfejsy to klasyk.
  4. Opublikuj DMARC od pierwszego dnia — p=none z adresem raportowania. Jeden rekord TXT w _dmarc.twojadomeno.com: v=DMARC1; p=none; rua=mailto:[email protected]. Bądź jasny co do tego, co to robi: p=none jeszcze nic nie chroni — to tryb monitorowania. Ale nic nie kosztuje, a zbiorcze raporty obejmują wtedy historię wysyłania domeny od pierwszej wiadomości. Ustalone domeny spędzają tygodnie na raportowaniu, odkrywając nadawców, o których zapomniały; Ty kupujesz tę widoczność za darmo od dnia zerowego. Patrz napraw DMARC dla anatomii rekordu.
  5. Opcjonalne, ale tanie na nowej domenie: MTA-STS i TLS-RPT. MTA-STS mówi serwerom wysyłającym, że Twoja domena wymaga TLS dla poczty przychodzącej (rekord DNS plus mały hostowany plik polityki); TLS-RPT raportuje awarie szyfrowania dostarczania. Na ustalonej domenie wymagają ostrożności; na nowej domenie z jednym dostawcą poczty nie ma nic do zepsucia, a mode: testing jest zasadniczo bez ryzyka. Ustaw je teraz lub pomiń — ale zdecyduj, nie dryfuj.
  6. Przeskanuj ponownie i zachowaj raport. Uruchom skanowanie ponownie — SPF, DKIM i DMARC powinny wyświetlać zielone. Zachowaj oceniony raport: datowany dowód stanu domeny przy uruchomieniu i dokładnie to, o co zapyta ubezpieczyciel lub kwestionariusz klienta.

Ile domen faktycznie wypełnia tę listę kontrolną?

Bardzo mało — i większość potyka się na pierwszej przeszkodzie. Spośród 261 086 232 domen ocenionych w spisie Defaults.Exposed (z 2026-06-29):

Kamień milowy listy kontrolnejRzeczywistość spisu (z 261 086 232 ocenianych domen, z 2026-06-29)
Krok 2 — opublikuj dowolny rekord SPF46,4% nigdy tego nie robi: 121 145 609 domen w ogóle nie ma SPF
Krok 4+ — DMARC z wymuszającą polityką10,59% (27 640 987 domen); 89,41% nie ma wymuszonej polityki
Pełna triada — SPF + DKIM + wymuszony DMARC3,87% (10 092 481 domen)

20 minut opisane na tej stronie stawia zupełnie nową domenę przed około 96% internetu pod względem pełnej triady. Model dojrzałości adopcji SPF rozpisuje każdy szczebel tej drabiny.

Jak szybko nowa domena może osiągnąć p=reject?

Tygodnie, nie miesiące — prawdziwa przewaga zaczynania od nowa. Co sprawia, że egzekwowanie DMARC jest powolne na ustabilizowanych domenach, to dziedzictwo: zapomniany łącznik CRM, narzędzie do fakturowania podłączone przez kogoś w 2019, platforma newsletterów, której nikt nie udokumentował. Każde musi zostać znalezione w raportach i naprawione zanim polityka może być zaostrzona — stąd standardowe wdrożenie trwające miesiące.

Nowa domena nie ma starszych nadawców: skonfigurowałeś każde źródło wysyłkowe samodzielnie, w tym tygodniu, a raporty z kroku 4 to potwierdzą. Uruchom p=none przez dwa do czterech tygodni rzeczywistego wysyłania, sprawdź, czy raporty obejmują wszystko, czego faktycznie używasz (skrzynki, faktury, potwierdzenia, formularz kontaktowy strony), następnie przejdź do p=quarantine i dalej do p=reject, gdy będą czyste. Stopniowa mechanika — rampy pct, polityka subdomeny, co obserwować — jest w od p=none do p=reject; na nowej domenie przejdziesz je szybko, do miejsca, do którego dotarło tylko 10,59% ocenianych domen.

A co ze starą domeną, którą zastępujesz?

Jeśli ta nowa domena jest częścią rebrandingu, domena, którą zostawiasz, jest teraz Twoim największym ryzykiem poczty: nadal Twoja, nadal zaufana przez kontrahentów, już niemonitorowana. Nie porzucaj jej — zablokuj ją wyraźnie. To własna krótka praca: ta stara domena z Twojego rebrandingu to drzwi, które zostawiłeś otwarte.

Często zadawane pytania

Czy mogę opublikować te rekordy przed wyborem dostawcy poczty? DMARC, tak — p=none z rua jest niezależny od dostawcy, więc opublikuj go w dniu rejestracji. SPF potrzebuje include dostawcy; dopóki nie wybierzesz, opublikuj v=spf1 -all (nic nie jest autoryzowane do wysyłania) i zastąp go w kroku 2. To zdecydowanie lepsze niż stan bez rekordu, w którym siedzi 121 145 609 domen (46,4% z 261 086 232 ocenianych, z 2026-06-29).

Czy potrzebuję DKIM, jeśli SPF już przechodzi? Tak. SPF z założenia psuje się przy przekazywaniu i weryfikuje domenę Return-Path, która w przypadku wielu narzędzi nie jest Twoja — wyrównany DKIM to noga, która przeżywa oba przypadki. Tylko 3,87% ocenianych domen wypełnia pełną triadę SPF+DKIM+wymuszony-DMARC (spis z 2026-06-29); DKIM to krok, który większość porzucających pomija. Zacznij od naprawy DKIM, jeśli skanowanie go oznacza.

Czy nowa domena powinna używać ~all czy -all? Na ustabilizowanej domenie ~all to ostrożny wybór podczas znajdowania zapomnianych nadawców. Nowa domena nie ma żadnych do znalezienia: gdy include dostawcy jest w rekordzie i DKIM podpisuje, -all jest bezpieczny znacznie wcześniej. Chcesz szelek i paska? Najpierw potwierdź przez dwa czyste tygodnie raportów DMARC.

Wszystkie trzy rekordy przechodzą — dlaczego moja poczta nadal trafia do spamu? Ponieważ uwierzytelnianie i reputacja to różne rzeczy: przechodzące rekordy oznaczają, że odbiorcy mogą zweryfikować, że poczta jest Twoja, a nie że Ci ufają. Nowe domeny zdobywają zaufanie przez wysyłanie spójnej, oczekiwanej, niskowolumenowej poczty i stopniowe zwiększanie. Jeśli poczta nie przechodzi sprawdzeń zamiast tylko trafiać do spamu, zacznij od naprawy SPF i pracuj w dół przez wyniki skanowania.

Wyślij właścicielowi raport

Jeśli konfigurujesz tę domenę dla klienta, zamknij pracę dowodem. Ponów bezpłatne skanowanie po kroku 6 i prześlij oceniony raport właścicielowi firmy: SPF, DKIM i DMARC przechodzące w prostym języku, datowane przy uruchomieniu. To artefakt, którego będą potrzebować przy odnowieniu ubezpieczenia cybernetycznego i kolejnym kwestionariuszu bezpieczeństwa dostawcy — i dowodzi, że domena zaczęła życie tak, jak 96% internetu nigdy nie zarządza.

Sprawdź swoją domenę → · Od p=none do p=reject bez utraty legalnej poczty → · Tylko dane zagregowane. Dane przechowywane i przetwarzane w UE.