Defaults.Exposed › Naprawy › SPF (Sender Policy Framework)

Jak naprawić SPF (Sender Policy Framework)

SPF to wpis w ustawieniach Twojej domeny, który wskazuje, które usługi pocztowe mają prawo wysyłać e-maile w imieniu Twojej firmy. Bez niego każdy na świecie może wysłać wiadomość wyglądającą jak Twoja — a Twoja prawdziwa poczta częściej trafia klientom do spamu.

W skrócie dla Twojej firmy: Każdy może wysyłać e-maile podszywające się pod Twoją firmę — do Twoich klientów, pracowników i dostawców — faktury, prośby o zmianę numeru konta, cokolwiek. W tym samym czasie Twoje prawdziwe oferty i faktury częściej lądują w koszu, więc transakcje po cichu utykają.

Ile może Cię to kosztować

• Oszust wysyła Twojemu klientowi fakturę «od Ciebie» z własnym numerem konta i dostaje przelew. Dowiadujesz się o tym tygodnie później, gdy klient pyta, gdzie jest towar — i to Twoja reputacja, a być może i odpowiedzialność, są zagrożone.
• Twoje oferty, faktury i odpowiedzi po cichu lądują w folderach spamu klientów, bo duzi dostawcy nie potrafią potwierdzić, że naprawdę pochodzą od Ciebie. Transakcje gasną, a Ty nigdy nie poznajesz przyczyny.
• Oszust podszywa się pod właściciela lub osobę od finansów i pisze do pracowników z prośbą o pilny przelew albo karty podarunkowe — wiadomość naprawdę wygląda, jakby wyszła z Twojej domeny, więc ktoś płaci.
• Dział IT lub bezpieczeństwa większego potencjalnego klienta sprawdza Twoją domenę, nie widzi żadnej ochrony nadawcy i albo Cię odrzuca, albo każe to naprawić przed podpisaniem umowy — co kosztuje Cię kontrakt albo tygodnie opóźnienia.
• Myślisz, że jesteś chroniony, bo wpis SPF istnieje — ale ustawiony jest na «miękkie odrzucenie» bez niczego, co by go egzekwowało, albo po cichu jest zepsuty, więc sfałszowana poczta i tak przechodzi.

Dlaczego to ma znaczenie. Sfałszowanie adresu nadawcy w e-mailu jest banalnie proste i nic atakującego nie kosztuje. SPF to najtańszy i najszybszy sposób, by utrudnić podszywanie się pod Twoją domenę i utrzymać Twoją prawdziwą pocztę z dala od spamu. Google i Yahoo aktywnie wyrzucają do kosza lub odrzucają pocztę z domen, które nie są uwierzytelnione, więc nie jest to już opcjonalne — to minimum, by Twoje e-maile w ogóle dochodziły.

W skrócie

W tej chwili, dopóki nie masz poprawnie skonfigurowanego SPF, każdy na świecie może wysłać e-mail, który wygląda, jakby pochodził z Twojej firmy. Może wysłać Twoim klientom fałszywe faktury, Twoim pracownikom fałszywe prośby o przelew, a Twoim dostawcom wiadomości udające, że to Ty — i będą wyglądać autentycznie, bo nic w Twojej domenie nie mówi inaczej.

SPF (Sender Policy Framework) to rozwiązanie. To pojedyncza linia tekstu w ustawieniach Twojej domeny, która wymienia usługi pocztowe faktycznie uprawnione do wysyłania w Twoim imieniu. Dostawcy poczty odbierającej — Gmail, Outlook, wszyscy — sprawdzają tę listę, zanim zdecydują, czy wiadomość jest prawdziwa. Brak listy albo słaba lista oznacza, że nie mają się na czym oprzeć.

Ta strona obejmuje dwie rzeczy, które obie muszą być poprawne: czy wpis SPF w ogóle istnieje oraz czy jest ustawiony wystarczająco rygorystycznie, by faktycznie spełniał swoje zadanie.

Ile może Cię to kosztować

Oto codzienne, realne sposoby, w jakie brakujący lub słaby wpis SPF zamienia się w utracone pieniądze i zaufanie. Nigdy nie podajemy nazwy prawdziwej firmy — to wzorce, które widzimy w danych.

• Przekierowana faktura. Przestępca wysyła jednemu z Twoich klientów e-mail, który wygląda dokładnie jak od Ciebie, z dołączoną realistyczną fakturą zawierającą jego własne konto bankowe. Twój klient ją opłaca. Pierwsze, co słyszysz, to ponaglenie z pytaniem, gdzie jest zamówienie. Teraz masz wściekłego klienta, pieniądze, które trafiły do przestępcy, i trudną rozmowę o tym, kto poniesie stratę.
• Oszustwo «na prezesa/finanse». Ktoś pisze do Twojej księgowości «od» właściciela: „Drobna przysługa — możesz przepchnąć ten przelew przed końcem dnia?” Ponieważ wiadomość naprawdę wygląda, jakby pochodziła z Twojej domeny, nie wzbudza niczyich podejrzeń. Pieniądze opuszczają firmę.
• Cichy podatek od dostarczalności. Twoje oferty i faktury zaczynają lądować w folderach spamu klientów, bo Gmail i Yahoo nie potrafią potwierdzić, że naprawdę pochodzą od Ciebie. Nie dostajesz odbicia, nie dostajesz błędu — transakcje po prostu cichną. Tracisz biznes i nawet nie widzisz, jak to się dzieje.
• Utracony kontrakt. Dział zakupów lub bezpieczeństwa większego klienta przeprowadza podstawową kontrolę Twojej domeny w ramach wdrożenia. Nie widzi uwierzytelnienia nadawcy i oznacza Cię jako ryzyko. W najlepszym razie naprawiasz to w pośpiechu pod presją terminu; w najgorszym wybierają konkurenta, który kontrolę przeszedł.
• Fala zatruwania marki. Twoja domena zostaje użyta w kampanii phishingowej wymierzonej w opinię publiczną. Ludzie, którzy się sparzyli, nie ufają już każdemu e-mailowi z Twoją nazwą — więc nawet Twoje prawdziwe oferty i odnowienia są ignorowane lub zgłaszane.

Wątek wspólny dla wszystkich: atakujący nie wydaje nic, a Twoja firma ponosi koszt i winę.

Czym to właściwie jest

Gdy przychodzi e-mail, serwer odbierający chce wiedzieć jedno: czy to naprawdę od tego, za kogo się podaje? SPF odpowiada na część tego pytania.

Publikujesz krótką linię tekstu w ustawieniach DNS swojej domeny — „wpis TXT” — która wymienia usługi pocztowe uprawnione do wysyłania w Twoim imieniu. Coś takiego:

v=spf1 include:_spf.google.com include:sendgrid.net -all

W prostych słowach czyta się to tak: „Prawdziwa poczta od nas przychodzi z serwerów Google i serwerów SendGrid — odrzuć wszystko inne, co podaje się za nas”.

Dwie części, które liczą się dla Twojej oceny:

1. Czy wpis istnieje? To kluczowa kwestia (waży najwięcej spośród wszystkich pojedynczych kontroli poczty). Brak wpisu oznacza, że odbiorcy nie mają listy do sprawdzenia, więc podszywanie się jest całkowicie otwarte. Jest tu też subtelny tryb awarii: jeśli Twoja domena ma dwa lub więcej wpisów SPF, reguły mówią, że wszystkie są nieważne — więc faktycznie nie masz SPF w ogóle, choć wygląda, że masz.

2. Czy polityka jest wystarczająco rygorystyczna? Wpis może istnieć, a mimo to być bezzębny. Zakończenie — mechanizm „all” — to instrukcja dla odbiorców:

   • -all (twarde odrzucenie) — odrzuć wszystko spoza listy. Najsilniejsze. Pełna punktacja.
   • ~all (miękkie odrzucenie) + DMARC ustawiony na reject — współczesna zalecana konfiguracja. Ochrona równoważna twardemu odrzuceniu, bez ryzyka odbijania prawowitej przekazywanej poczty. Pełna punktacja.
   • ~all + DMARC ustawiony na quarantine — akceptowalne, nieco słabsze; przejdź na reject, by uzyskać pełną ochronę.
   • samo ~all (bez egzekwowania DMARC) — słabe. Mówi: „prawdopodobnie fałszywka, i tak doręcz”. Sfałszowana poczta nadal przechodzi. To pułapka, w którą wpada wiele firm sądząc, że są chronione.
   • ?all (neutralne) — nie daje żadnej ochrony.
   • +all — wręcz niebezpieczne: mówi światu, że każdy może wysyłać w Twoim imieniu. Nigdy tego nie używaj.

Jest jeszcze jedna niewidoczna awaria: SPF podczas oceny może wywołać maksymalnie 10 odpytań DNS. Nagromadź zbyt wiele wpisów include:, a wpis przekroczy ten limit, w którym to momencie odbiorcy uznają całość za zepsutą — i wracasz do braku ochrony. To częsty, cichy problem firm korzystających z wielu narzędzi marketingowych i SaaS.

Jak wygląda „dobrze”: dokładnie jeden wpis SPF, wymieniający każdą usługę, która prawowicie wysyła w Twoim imieniu, kończący się na -all (lub ~all w parze z DMARC na p=reject) i pozostający komfortowo poniżej limitu 10 odpytań.

Jak to naprawić (za darmo, ~10 minut)

Przekaż tę sekcję osobie zarządzającej Twoją domeną lub stroną — i zaznacz, że naprawa jest darmowa. To zmiana ustawienia DNS, a nie produkt do kupienia. My pobieramy opłatę jedynie za monitorowanie, że ustawienie pozostaje poprawne w czasie, a nie za wykonanie zmiany.

Krok 1 — Wypisz każdą usługę, która wysyła e-maile w Twoim imieniu. To część, którą ludzie robią źle. Spisz je wszystkie: dostawcę skrzynki (Google Workspace, Microsoft 365 itd.), a także każde narzędzie do newslettera, CRM, helpdesk, platformę e-commerce, aplikację do fakturowania/księgowości i system rezerwacji. Jeśli jakaś usługa wysyła pocztę z Twoją nazwą, a o niej zapomnisz, SPF zablokuje jej pocztę po zaostrzeniu polityki.

Krok 2 — Opublikuj jeden wpis TXT przy domenie głównej. Połącz linie „include” wszystkich nadawców w jeden wpis. Wedle popularnej platformy:

• Google Workspace: include:_spf.google.com
• Microsoft 365: include:spf.protection.outlook.com
• SendGrid: include:sendgrid.net
• Mailchimp: include:servers.mcsv.net
• Zoho: include:zoho.eu (lub domena odpowiednia dla regionu)

Połączony wpis wygląda tak:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:sendgrid.net -all

Gdzie go dodać, wedle dostawcy:

• Cloudflare: DNS → Records → Add record → Typ TXT, Name @, Content = wartość powyżej.
• Microsoft 365 / panel Google: publikują dokładny ciąg include do użycia w swoim kreatorze konfiguracji; skopiuj go do wpisu TXT u swojego dostawcy DNS.
• GoDaddy / większość hostingów: DNS management → Add → TXT, Host/Name @, Value = wpis.

Krok 3 — Zacznij bezpiecznie, potem egzekwuj. Dopóki potwierdzasz, że lista nadawców jest kompletna, publikuj z ~all (miękkie odrzucenie), aby nic prawowitego nie zostało przypadkiem zablokowane. Gdy potwierdzisz, że cała Twoja prawdziwa poczta nadal płynie, zaostrz do -all (twarde odrzucenie) — albo, lepiej, zostaw ~all i dodaj politykę DMARC p=reject, co jest zalecaną współczesną parą.

Krok 4 — Upewnij się, że masz dokładnie JEDEN wpis. Jeśli stary wpis SPF już istnieje, edytuj go, zamiast dodawać drugi. Dwa wpisy v=spf1 znoszą się nawzajem i zostawiają Cię bez ochrony.

Krok 5 — Pilnuj liczby odpytań. Przy wielu nadawcach możesz przekroczyć limit 10 odpytań. Jeśli tak się stanie, skonsoliduj — niektórzy dostawcy oferują „spłaszczanie SPF” (SPF flattening), albo usuń nadawców, których już nie używasz.

Krok 6 — Sprawdź ponownie swoją domenę, by potwierdzić, że teraz przechodzi kontrolę — z obecnym wpisem i rygorystyczną polityką.

Częste błędy

• Dwa wpisy SPF. Najczęstsza cicha awaria. Dodanie nowego wpisu zamiast edycji istniejącego unieważnia oba. Musi być dokładnie jeden.
• Zatrzymanie się na ~all z przekonaniem, że to koniec. Miękkie odrzucenie bez DMARC za nim to słaby środek — wygląda na skonfigurowane, a ledwo Cię chroni. Albo przejdź na -all, albo połącz ~all z DMARC p=reject.
• Zapomnienie o nadawcy. Zaostrzenie do -all przed wypisaniem aplikacji do fakturowania, CRM-u czy narzędzia do newslettera zacznie blokować Twoją własną prawowitą pocztę. Najpierw wypisz wszystko.
• Przekroczenie limitu 10 odpytań. Każdy include: może prowadzić do kolejnych odpytań. Zbyt wiele i wpis traktowany jest jako zepsuty. Trzymaj go szczupło.
• Użycie +all. To wprost upoważnia cały internet do wysyłania w Twoim imieniu. Jest gorsze niż brak wpisu. Nigdy tego nie publikuj.

Gdzie to się wpisuje

SPF to fundament, ale jedna z trzech warstw. DKIM dodaje kryptograficzny podpis dowodzący, że wiadomości nie zmieniono, a DMARC to instrukcja, która łączy SPF i DKIM oraz mówi odbiorcom, co właściwie zrobić z pocztą, która nie przejdzie kontroli — w tym blokowanie podszywania się pod widoczną nazwę nadawcy, którą widzą Twoi klienci. Najpierw ustaw poprawnie SPF (to najszybsza wygrana i waży najwięcej), potem dodaj DKIM i DMARC, by w pełni zamknąć drzwi. Wszystkie trzy naprawy są darmowe.

Skonfiguruj to u swojego dostawcy

Krok po kroku dla popularnych dostawców:

• Skonfiguruj SPF u dostawcy GoDaddy
• Skonfiguruj SPF u dostawcy Namecheap
• Skonfiguruj SPF u dostawcy Cloudflare
• Skonfiguruj SPF u dostawcy Google Workspace
• Skonfiguruj SPF u dostawcy Microsoft 365
• Skonfiguruj SPF u dostawcy Squarespace
• Skonfiguruj SPF u dostawcy Wix
• Skonfiguruj SPF u dostawcy AWS Route 53
• Skonfiguruj SPF u dostawcy Hostinger
• Skonfiguruj SPF u dostawcy Porkbun
• Skonfiguruj SPF u dostawcy IONOS
• Skonfiguruj SPF u dostawcy Bluehost

Najczęstsze pytania