Defaults.Exposed

Defaults.ExposedNaprawyGuides

Mailchimp, Brevo lub Klaviyo nie przechodzi DMARC? Włącz prawdziwe uwierzytelnianie domeny (2026)

Opublikowano 2026-07-08

Dane z 2026-06-29 · metodologia v7. Zagregowane dane ze spisu 261 milionów ocenianych domen. Zobacz jak oceniamy.

Platformy newsletterów nie przechodzą DMARC, gdy wysyłają „od” Twojej domeny bez uwierzytelniania jako Twoja domena. Naprawą jest uwierzytelnianie własnej domeny platformy — jej CNAME DKIM, plus niestandardowa domena bounce, jeśli jest oferowana. Luka jest normalna: spośród 740 321 domen autoryzujących SendGrid, tylko 18,0% wymusza DMARC, według spisu Defaults.Exposed obejmującego 261 086 232 domen (2026-06-29).

Naprawa to kilka rekordów DNS i dziesięć minut w ustawieniach platformy. Poniżej: dlaczego współdzielone uwierzytelnianie platformy przestało wystarczać w lutym 2024, który przełącznik włączyć w Mailchimp, Brevo, Klaviyo i SendGrid, oraz kroki naprawy po kolei — w tym przeniesienie z adresu From z darmowego serwisu, czego żaden rekord DNS nie uratuje.

Dlaczego e-maile newsletterów nie przechodzą DMARC, gdy platforma mówi, że wszystko jest zweryfikowane?

Ponieważ platforma uwierzytelniła siebie, nie Ciebie. Po wyjęciu z pudełka, ESP wysyła Twoje kampanie z własną domeną bounce w Return-Path i często podpisuje DKIM własną domeną. Odbiorcy oceniają SPF względem domeny Return-Path (RFC5321.MailFrom), nie nagłówka From, więc SPF zalicza czysto… dla domeny platformy.

DMARC nie dba o to, czy SPF lub DKIM przeszło w ogóle. Pyta, czy jedno z nich przeszło dla domeny w Twoim adresie From — to dopasowanie nazywa się wyrównaniem. Zaliczenie SPF ESP jest na jego domenie bounce, nie Twojej; bez DKIM własnej domeny, jego podpis jest na jego domenie, nie Twojej. Nic się nie wyrównuje, więc Twoja domena From nie przechodzi DMARC — podczas gdy pulpit platformy pokazuje zielone znaczniki, bo z jej perspektywy uwierzytelnianie działa. Włączenie uwierzytelniania własnej domeny (DKIM podpisany jako Twoja domena) to cała naprawa. Dla pełnej mechaniki wyrównania, patrz DMARC nie przechodzi, ale SPF i DKIM tak.

Co zmieniło się w lutym 2024?

Google i Yahoo zaczęły egzekwować wymagania masowych nadawców: wyrównane uwierzytelnianie dla domeny From, opublikowana polityka DMARC, wypisanie jednym kliknięciem i limity wskaźnika spamu. Skrót ze współdzieloną infrastrukturą — jedź na uwierzytelnianiu ESP, wysyłaj z czegokolwiek — przestał działać. Dwie konsekwencje dla nadawców newsletterów:

Pełny zestaw wymagań jest w naszym artykule o danych dotyczącym wymagań nadawców Google i Yahoo.

Jak ta funkcja nazywa się w Mailchimp, Brevo, Klaviyo i SendGrid?

Każda platforma ma tę samą funkcję pod inną nazwą. Zawsze produkuje mały zestaw rekordów CNAME dla DNS — tak ją rozpoznajesz, niezależnie od tego, co mówi menu.

PlatformaNazwa funkcji (przybliżona)Co dodajesz do DNSUwagi
MailchimpDomain authenticationCNAME DKIM (k2._domainkey, k3._domainkey)Wyrównanie tylko DKIM — Mailchimp nie używa już include SPF; nie dodawaj go
BrevoAuthenticate your domainZestaw CNAME DKIM + rekord weryfikacyjnyZweryfikuj aktualny zestaw rekordów w dokumentacji Brevo przy konfiguracji
KlaviyoDedicated sending domainCNAME DKIM + subdomena bounce (Return-Path)Dedykowana domena daje też wyrównanie SPF
SendGridDomain authentication (automated security)Zestaw CNAME (DKIM + return-path)Nie potrzeba include SPF — CNAME go obejmują

Dwa wzorce warte odnotowania. Po pierwsze, żadna z tych platform nie chce include: dodanego do Twojego rekordu SPF — nowoczesne uwierzytelnianie ESP jest delegowane przez CNAME, a pozostały include tylko zużywa budżet wyszukiwań DNS. Po drugie, delegacja CNAME to funkcja: platforma rotuje klucze DKIM za delegowanymi nazwami bez ponownego dotykania DNS.

Jak naprawić błędy DMARC platformy newsletterów krok po kroku?

  1. Uruchom bezpłatne skanowanie na defaults.exposed przed dotknięciem DNS. Pokazuje aktualne stany SPF, DKIM i DMARC Twojej domeny, żebyś mógł zobaczyć lukę wyrównania, którą zaraz zamkniesz.
  2. Włącz uwierzytelnianie własnej domeny w platformie (tabela powyżej). Generuje rekordy CNAME specyficzne dla Twojego konta.
  3. Dodaj CNAME do DNS dokładnie tak, jak podano. Klasyczny błąd: panele DNS, które automatycznie dołączają strefę, zamieniając k2._domainkey.twojadomeno.com w k2._domainkey.twojadomeno.com.twojadomeno.com. Wklej tylko część hosta, jeśli Twój panel dołącza domenę. Jeśli platforma później zgłasza „no key for signature”, rekord selektora nie trafił na miejsce — patrz DKIM „no key for signature”.
  4. Ustaw niestandardową domenę bounce (Return-Path), jeśli platforma ją oferuje. Wyrównuje też nogę SPF, dając DMARC dwa sposoby zaliczenia. Tam, gdzie nie jest oferowana (Mailchimp), samo wyrównane DKIM jest pełnym zaliczeniem DMARC — DMARC wymaga tylko jednej wyrównanej nogi.
  5. Przenieś adres From na własną domenę, jeśli nadal jest w darmowym serwisie. [email protected], nie [email protected]. To wymaganie, nie preferencja.
  6. Zweryfikuj w platformie, następnie przeskanuj ponownie. Poczekaj, aż sprawdzenie platformy przejdzie na zielono (DNS może zająć od minut do kilku godzin), wyślij sobie kampanię i potwierdź, że nagłówki pokazują DKIM podpisany przez Twoją domenę. Następnie przejdź przez wszystko inne zaznaczone na stronie naprawy DMARC — jeśli Twoja domena w ogóle nie ma rekordu DMARC, to następne dziesięć minut.

Ile nadawców newsletterów ma to właściwie skonfigurowane?

Spis odczytuje to ze strony DNS: dla każdej platformy, ile domen ją autoryzuje — i ile z nich chroni domenę wysyłającą, według spisu Defaults.Exposed obejmującego 261 086 232 domen (2026-06-29).

Platforma (cel SPF)Domeny ją autoryzująceWymuszone DMARC
SendGrid (sendgrid.net)740 32118,0%
Mailgun (mailgun.org)1 306 69235,9%
Amazon SES (amazonses.com)551 44641,9%

Dane z 2026-06-29 spisu. „Wymuszone DMARC” = autoryzująca domena publikuje p=quarantine lub p=reject.

Nawet na szczycie tabeli, większość nadawców na profesjonalnych platformach pozostawia domenę niechronioną: 41,9% z 551 446 domen autoryzujących Amazon SES wymusza DMARC, 35,9% z 1 306 692 Mailguna — i tylko 18,0% z 740 321 SendGrid. Infrastruktura jest profesjonalna; ochrona domeny przeważnie nie. Pełna liga dostawców — w tym hosty skrzynek — jest w który dostawca poczty ma najsilniejsze SPF.

Często zadawane pytania

Czy muszę dodać Mailchimp do rekordu SPF? Nie — i nie rób tego. Mailchimp używa wyrównania tylko DKIM przez CNAME k2/k3 i nie publikuje już include SPF dla klientów. Stary include:servers.mcsv.net nic nie robi dla DMARC i marnuje budżet wyszukiwań DNS; wyrównaną nogą tu jest DKIM.

Czy uwierzytelnianie domeny wyciągnie moje newslettery ze spamu? Usuwa największą przyczynę — niewyrównaną pocztę na domenie z polityką DMARC — i jest twardym wymaganiem zasad Google/Yahoo. Nie naprawi problemów z jakością listy: wysokie wskaźniki skarg i brakujące wypisanie jednym kliknięciem utrzymują pocztę w spamie nawet gdy uwierzytelnianie jest perfekcyjne. Napraw uwierzytelnianie najpierw; to część z definitywną odpowiedzią.

Czy mogę nadal wysyłać kampanie z adresu @gmail.com? Nie. Dostawcy darmowych serwisów publikują ścisłe polityki DMARC właśnie po to, żeby nikt inny nie mógł wysyłać jako oni, a Twój ESP nigdy nie może wyrównać się z gmail.com. Od lutego 2024 ta poczta jest odrzucana lub trafia do Śmieci na dużą skalę. Adres From na własnej domenie to jedyna droga.

Włączyłem uwierzytelnianie domeny — dlaczego DMARC nadal nie przechodzi? Zazwyczaj jedna z trzech rzeczy: CNAME zostały zniekształcone przez panel DNS dołączający strefy (krok 3), domena From kampanii nie pasuje do domeny, którą uwierzytelniłeś, lub inne źródło wysyłkowe nie przechodzi obok newslettera. We wszystkich 261 086 232 domenach w spisie 2026-06-29, tylko 10,59% w ogóle wymusza DMARC — jeśli Twoja domena tak, jesteś blisko; przeskanuj ponownie i odczytaj, która noga jest niewyrównana.

Czy to dotyczy małych list, poniżej 5 000 e-maili dziennie? Najsurowsze progi są formalnie dla nadawców masowych, ale odbiorcy stosują podstawy uwierzytelniania wobec wszystkich, a ESP teraz wymagają uwierzytelniania domeny niezależnie od wolumenu. Traktuj to jako obowiązkowe: to kilka rekordów DNS i zapobiega psowaniu kampanii w dniu, gdy lista urośnie.

Wyślij właścicielowi raport

Jeśli naprawiasz to dla klienta — lub posiadasz newsletter, ale nie DNS — dokończ pracę dowodem. Ponów bezpłatne skanowanie po wylądowaniu CNAME i prześlij oceniony raport właścicielowi firmy: prosty język, datowany, wyrównanie DMARC naprawione. To artefakt, który odpowiada na odnowienie ubezpieczenia cybernetycznego i kolejny kwestionariusz bezpieczeństwa klienta — udokumentowane przed i po, nie „kliknąłem kilka przycisków w Mailchimp”.

Sprawdź swoją domenę → · DMARC nie przechodzi, ale SPF i DKIM tak → · Napraw DMARC → · Napraw DKIM → · Jak oceniamy → · Tylko dane zagregowane. Dane przechowywane i przetwarzane w UE.