Kontakt

DKIM 2026: jak skonfigurować rekord DNS i przestać lądować w spamie

Praktyczna instrukcja konfiguracji DKIM dla poczty firmowej. Generacja kluczy w Google Workspace, Microsoft 365 i polskich hostingach (cyber_folks, home.pl, OVH). Tryby DMARC, debug, narzędzia.

Mam taką historię z 2023 roku. Klient pisze: „mail do klientów wraca, idzie w spam, faktury się gubią.” Sprawdzam pierwsze, co mi się nasuwa: jakieś filtry, blacklist, content. Wszystko czysto. Patrzę w nagłówki maila wysłanego z ich domeny do mojego Gmaila. Authentication-Results pokazuje dkim=none. Aha. Domena nie ma DKIM, Gmail traktuje ich maile jako podejrzane, połowa ląduje w „Promocje” albo „Spam”. Trzy godziny pracy z technicznymi i problem zniknął. Nie zmieniliśmy treści, nie zmieniliśmy serwera, dodaliśmy jedną linijkę do DNS.

DKIM jest dziś nieoczywistym standardem. W 2024 Gmail i Yahoo wprowadziły nowe wymagania dla bulk senderów (5000 plus maili dziennie): bez SPF, DKIM i DMARC twoja firma staje się niewidoczna w głównej skrzynce. W 2026 to dotyczy też mniejszych nadawców, bo bramki spam dotrenowały na sygnałach autentyczności.

Co to jest DKIM i dlaczego ma znaczenie

DKIM (DomainKeys Identified Mail) to mechanizm kryptograficznego podpisywania maili. Twój serwer pocztowy podpisuje każdy wysyłany mail kluczem prywatnym, który tylko on zna. Serwer odbierający (Gmail, Outlook, Onet) sprawdza podpis kluczem publicznym, który publikujesz w DNS swojej domeny. Jeśli podpis pasuje, mail jest autentyczny. Jeśli nie pasuje (bo ktoś próbował podszyć się pod twoją domenę), mail trafia do spamu albo jest odrzucony.

DKIM jest jednym z trzech filarów email authentication (obok SPF i DMARC). Każdy z nich rozwiązuje inny problem:

Mechanizm Pełna nazwa Co robi Typ rekordu DNS
SPF Sender Policy Framework Lista IP/serwerów uprawnionych do wysyłki z domeny TXT
DKIM DomainKeys Identified Mail Kryptograficzny podpis każdego maila TXT
DMARC Domain-based Message Authentication Polityka co robić z mailami, które nie przeszły SPF lub DKIM TXT

Bez tej trójki twoje maile są jak podpisane długopisem, ale bez stempla, bez papieru firmowego, bez koperty z adresem zwrotnym. Czasem dotrą, ale odbiorca nie ma sposobu, żeby zweryfikować, że są od ciebie. Z tą trójką maile mają stempel notarialny, kurier sprawdza tożsamość, koperta ma logo firmy. Decyzja Gmaila „inbox czy spam” jest oczywista.

Jak działa DKIM od strony technicznej

Cały proces dzieje się w 4 krokach, w ciągu milisekund od wysłania maila:

  1. Generacja klucza: w panelu dostawcy poczty (Google Workspace, Microsoft 365, hosting) tworzysz parę kluczy: prywatny (zostaje na serwerze) i publiczny (kopiujesz do DNS).
  2. Publikacja klucza publicznego w DNS: dodajesz rekord TXT typu selektor._domainkey.twojadomena.pl z wartością klucza publicznego. Selektor to dowolna nazwa (np. google dla Workspace, selector1 dla M365), pozwala mieć kilka kluczy dla różnych usług.
  3. Podpisywanie wysyłanych maili: serwer wysyłający bierze headers maila i body, oblicza hash, podpisuje kluczem prywatnym, dodaje wynik jako nagłówek DKIM-Signature do maila.
  4. Weryfikacja po stronie odbiorcy: serwer odbierający widzi nagłówek DKIM-Signature, czyta selektor i domenę, pobiera klucz publiczny z DNS, weryfikuje podpis. Wynik (pass/fail) trafia do nagłówka Authentication-Results.

Cały proces jest niewidoczny dla odbiorcy, ale algorytm Gmail/Outlook śledzi wyniki agregowane (DMARC reports) i buduje reputację domeny. Domena z konsekwentnym dkim=pass jest traktowana jak zaufana, domena z miesiącami dkim=fail jest traktowana jak spam, niezależnie od treści maila.

Generacja DKIM w Google Workspace

Najczęstszy use case dla polskich firm: poczta firmowa w Google Workspace (najpopularniejsze rozwiązanie B2B w PL 2026). Konfiguracja DKIM trwa 15 minut.

  1. Zaloguj się do Google Admin Console (admin.google.com) jako administrator domeny.
  2. Przejdź do Aplikacje → Google Workspace → Gmail → Uwierzytelnianie poczty e-mail.
  3. Wybierz swoją domenę z listy. Jeśli masz wiele domen, każda wymaga osobnej konfiguracji.
  4. Kliknij Wygeneruj nowy rekord. Wybierz długość klucza 2048-bit (zalecane od 2024, 1024-bit jest deprecated). Selektor zostaw domyślny google albo nadaj własny (np. g2026).
  5. Skopiuj wartość rekordu TXT (długi string zaczynający się od v=DKIM1; k=rsa; p=...).
  6. Zaloguj się do panelu DNS twojej domeny (Cloudflare, OVH, home.pl, cyber_folks). Dodaj rekord TXT z nazwą google._domainkey i wartością z poprzedniego kroku.
  7. Wróć do Google Admin Console, poczekaj 5 do 15 minut na propagację DNS, kliknij Rozpocznij uwierzytelnianie.
  8. Status zmieni się z Nie autoryzowany na Uwierzytelnianie email rozpoczęte. Od tego momentu wszystkie maile z @twojadomena.pl będą podpisywane przez DKIM.

Test: wyślij mail z @twojadomena.pl do swojego Gmaila prywatnego, otwórz mail, kliknij trzy kropki obok adresu nadawcy, wybierz „Pokaż oryginał”. W nagłówku Authentication-Results powinno być dkim=pass header.i=@twojadomena.pl.

Generacja DKIM w Microsoft 365

Microsoft 365 (dawniej Office 365) ma podobny proces, ale rozłożony na 4 rekordy DNS: 2 dla DKIM (selektory selector1 i selector2 dla rotacji kluczy) plus klasyczny SPF.

  1. Zaloguj się do Microsoft 365 Defender Portal (security.microsoft.com).
  2. Przejdź do Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM.
  3. Wybierz swoją domenę. Microsoft pokaże dwa rekordy CNAME do dodania: selector1._domainkey i selector2._domainkey, oba wskazujące na onmicrosoft.com.
  4. Dodaj te dwa rekordy w panelu DNS twojej domeny. Microsoft używa CNAME zamiast TXT, bo rotuje klucze samoczynnie po stronie usługi, ty zachowujesz tylko stały wskaźnik.
  5. Po dodaniu rekordów wróć do Defender Portal, włącz toggle Sign messages with DKIM signatures. Status zmieni się na Enabled.
  6. Microsoft automatycznie rotuje klucze co kilka miesięcy, bez potrzeby twojej interwencji.

Trzeba też dodać rekord SPF: v=spf1 include:spf.protection.outlook.com -all. Bez SPF DKIM sam nie wystarczy dla pełnej walidacji DMARC.

Generacja DKIM w polskich hostingach (cyber_folks, home.pl, OVH)

Polscy klienci często używają poczty na własnej domenie obsługiwanej przez hostingodawcę. Generacja DKIM jest dostępna w większości paneli.

cyber_folks: panel cPanel → Email Deliverability (DKIM, SPF, DMARC) → wybierz domenę → DKIM kliknij Install Suggested. Hosting wygeneruje klucz i automatycznie doda do strefy DNS, jeśli domena jest u nich. Dla zewnętrznych domen pokaże wartość TXT do skopiowania.

home.pl: panel cPanel albo H1 panel → Poczta → Konfiguracja antyspamowa → SPF i DKIM. Wybierz domenę, kliknij Generuj nowy klucz DKIM 2048-bit. Hosting doda automatycznie do strefy DNS home.pl.

OVH: panel klienta → Email → Twoja domena → Konfiguracja DKIM. Wybierz selektor (zwykle ovh), wygeneruj klucz, dodaj wartość TXT do strefy DNS. Dla strefy DNS u OVH konfiguracja jest jednoklickiem przez ovh-shortcut.

Zenbox, Mydevil, SeoHost mają podobne kreatory w swoich panelach. Konfiguracja zajmuje kilka minut, jeśli hostujesz pocztę u tego samego dostawcy co domenę.

DKIM dla narzędzi marketingowych (MailerLite, GetResponse, Klaviyo, SendGrid)

Jeśli wysyłasz newsletter przez platformę email marketingową (zobacz nasze porównanie platform email marketing 2026), też trzeba dodać osobny DKIM dla tej platformy, żeby maile masowe były podpisane twoją domeną (nie domeną platformy).

Każda z 4 głównych platform (GetResponse, MailerLite, Klaviyo, Brevo) podczas onboardingu pokazuje wizard z 2 do 3 rekordami DNS do dodania (DKIM plus SPF include plus opcjonalnie CNAME dla tracking). Wartości są dłuższe niż dla zwykłej poczty firmowej (klucz 2048-bit), ale dodanie do DNS jest mechanicznie takie samo.

Krytyczne: każdy serwis wysyłający z twojej domeny potrzebuje swojego DKIM. Jeśli używasz Google Workspace dla poczty firmowej, Klaviyo dla newslettera i SendGrid dla transactional, masz 3 osobne DKIM (3 osobne selektory) w DNS. Wszystkie współistnieją bez problemu, każdy dla swojej kategorii maili.

Dodanie SPF i DMARC obok DKIM

DKIM sam wystarczy dla podstawowej weryfikacji, ale pełną dźwignię dostajesz dopiero z SPF i DMARC. Te trzy razem stanowią złoty standard email authentication w 2026.

SPF to rekord TXT na poziomie głównej domeny (nie subdomenie jak DKIM). Wartość to lista IP/include dla serwerów uprawnionych do wysyłki:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com include:mail.getresponse.com ~all

Każdy dostawca dodaje swój include do twojego rekordu SPF. Krytyczne: jeden SPF na domenę. Jeśli masz 2 rekordy SPF, oba są nieważne. Trzeba je scalić w jeden z wieloma include. Drugi limit: maksymalnie 10 DNS lookupów per SPF, w tym 8 lookupów na include (każdy include zwykle 1 lookup, czasem więcej). Przekroczenie limitu daje błąd permerror u odbiorcy.

DMARC to rekord TXT na _dmarc.twojadomena.pl. Wartość opisuje politykę: co zrobić z mailami, które nie przeszły ani SPF, ani DKIM. Zaczynamy zawsze od p=none (obserwacja, brak akcji), po 2 do 4 tygodniach monitoringu przechodzimy na p=quarantine (do spamu), docelowo p=reject (odrzucenie).

v=DMARC1; p=none; rua=mailto:dmarc-reports@twojadomena.pl; ruf=mailto:dmarc-reports@twojadomena.pl; sp=none; aspf=r; adkim=r

Adres rua= dostaje codzienne raporty agregowane (statystyki maili z twojej domeny, ile przeszło SPF/DKIM, ile failowało, z których IP). To kluczowe do debugowania problemów deliverability. Polskie firmy często używają darmowych narzędzi typu Postmark DMARC Digests albo dmarcian (płatny, ale niezastąpiony dla profesjonalnej analizy).

Tryby DMARC: jak przejść z none przez quarantine do reject

Najgorszy scenariusz wdrożenia DMARC: ustawienie od razu p=reject bez sprawdzenia, czy wszystkie legitne wysyłki przechodzą SPF/DKIM. Efekt: maile z faktur Allegro do twoich klientów lecą do spamu, bo Allegro wysyła w twoim imieniu z innego IP bez SPF/DKIM. Klient nie dostaje faktury, ty masz problem z UOKiK.

Bezpieczna ścieżka: 4 tygodnie w trybie none, 4 tygodnie quarantine, potem reject.

  1. Tydzień 1 do 4 (p=none): zbieraj raporty DMARC. Sprawdzaj, które usługi wysyłają z twojej domeny (Google Workspace, M365, GetResponse, Klaviyo, billing, transactional, zewnętrzne narzędzia HR/CRM). Każdy z nich powinien przechodzić SPF lub DKIM. Identyfikuj brakujące konfiguracje.
  2. Tydzień 5 do 8 (p=quarantine): maile failujące SPF i DKIM trafiają do spamu (nie do reject). Klienci mogą zwrócić uwagę, jeśli legitne maile lądują w spamie. Reaguj na zgłoszenia, dopinaj konfigurację.
  3. Tydzień 9 plus (p=reject): pełna ochrona, maile failujące autoryzację są odrzucane. Twoja domena nie jest już używana do spoofingu, Gmail/Outlook traktują cię jak zaufaną.
⚠️

Częsty błąd: firma kupuje sklep e-commerce, dodaje system fakturowy, narzędzie do recovery koszyków, dostawcę kurierów (każdy wysyła mail w imieniu sklepu), i włącza DMARC reject bez sprawdzenia, czy wszystkie 5 narzędzi ma SPF/DKIM. Efekt: faktury i powiadomienia o przesyłce idą do spamu, klienci dzwonią z reklamacjami, sprzedaż spada. Zawsze 4 tygodnie obserwacji przed reject.

Debug i sprawdzanie DKIM

Cztery narzędzia, które używam co tydzień przy diagnozie problemów z deliverability:

Mail Tester (mail-tester.com): wysyłasz mail na podany adres, dostajesz raport ze score 0/10 i listą problemów. Pokazuje SPF, DKIM, DMARC, blacklisty, problemy z treścią. Najprostsze narzędzie dla nietechnicznych, darmowy do 3 testów dziennie.

MXToolbox SuperTool: pełen suite do diagnostyki DNS i poczty. Sprawdza SPF (z lookupami), DKIM (po selektorze), DMARC, MX, blacklisty. Pokazuje też raporty z propagacją DNS u różnych dostawców (Google, Cloudflare, Quad9). Darmowe podstawowe funkcje, premium do raportów cyklicznych.

Google Admin Toolbox CheckMX: oficjalne narzędzie Google’a do sprawdzania konfiguracji MX i email auth. Jeśli używasz Google Workspace, ich własny tester jest najbardziej miarodajny.

dig/nslookup w terminalu: najbardziej fundamentalne. Sprawdzasz rekord po selektorze:

dig TXT selector1._domainkey.twojadomena.pl
nslookup -type=TXT selector1._domainkey.twojadomena.pl

Wynik powinien zawierać v=DKIM1; k=rsa; p=.... Jeśli pusty, rekord nie istnieje albo propagacja DNS jeszcze nie zakończona (czekaj 24 do 48 godzin po dodaniu).

Częste błędy konfiguracji DKIM

1. Rekord skrócony przez panel DNS. Niektóre panele DNS (zwłaszcza tańsze hostingi) skracają długie wartości TXT do 255 znaków. Klucz DKIM 2048-bit ma około 300 znaków, więc trzeba go podzielić na 2 stringi w jednym rekordzie TXT (z cudzysłowami). Sprawdź instrukcję dostawcy.

2. Dwa rekordy SPF zamiast jednego. Klasyk. Firma dodaje SPF dla Google Workspace, potem dodaje osobny SPF dla GetResponse. Obie są nieważne. Trzeba scalić w jeden: v=spf1 include:_spf.google.com include:mail.getresponse.com ~all.

3. DMARC reject bez 4-tygodniowej obserwacji. Maile transactional zaczynają iść do spamu, zanim się zorientujesz. Zawsze p=none na początek, potem stopniowo.

4. Klucz 1024-bit zamiast 2048-bit. Stare instrukcje sugerują 1024-bit, ale Gmail od 2024 traktuje to jako słaby klucz. Wszystkie nowe konfiguracje powinny być 2048-bit.

5. Brak DKIM dla narzędzia transactional. Firma ma DKIM dla Workspace, nie ma dla SendGrida (który wysyła faktury). Połowa maili przechodzi, połowa nie. Każda usługa wysyłająca w twoim imieniu wymaga swojego DKIM.

BIMI: następny krok po DKIM/DMARC

BIMI (Brand Indicators for Message Identification) to standard z 2021 roku, który pozwala wyświetlać logo firmy obok nazwy nadawcy w Gmail, Apple Mail, Yahoo. Wymaga: DKIM (pass), DMARC (p=quarantine lub reject), zweryfikowanego logo (VMC – Verified Mark Certificate, koszt 1500 do 3000 USD/rok od DigiCert albo Entrust).

Dla większości polskich firm BIMI jest overkill, ale dla brandów konsumenckich (sklepy z dużą bazą, banki, media) zwiększa rozpoznawalność w skrzynce i lekko podnosi open rate. Wymaga jednak działającego DMARC reject na poziomie domeny, więc dorzucasz BIMI dopiero po pełnej konfiguracji email auth. Pełen kontekst o samych protokołach poczty znajdziesz w naszym tekście o SMTP, IMAP i POP3.

Wymagania Gmail i Yahoo 2024 dla bulk senderów

Od lutego 2024 Gmail i Yahoo zaostrzyły wymagania dla firm wysyłających 5000 plus maili dziennie do ich użytkowników. Trzy nowe obowiązki:

1. Pełna trójca SPF + DKIM + DMARC. Wszystkie trzy muszą być skonfigurowane, DMARC minimum p=none z monitoringiem.

2. One-click unsubscribe (RFC 8058). Nagłówek List-Unsubscribe z linkiem mailto i POST URL. Klient odpisuje przez jeden klik, bez przekierowania na stronę. Wszystkie platformy email marketingowe robią to natywnie, ale firmy wysyłające custom potrzebują implementacji.

3. Spam complaint rate poniżej 0,3 procent. Mierzone przez Google Postmaster Tools. Powyżej 0,3 procent (3 zgłoszenia spam na 1000 wysłanych) Gmail zaczyna throttlować, powyżej 0,5 procent blokuje. Krytyczne: jakość listy ważniejsza niż liczba kontaktów. Czyszczenie listy ze starych nieaktywnych subskrybentów raz na pół roku.

Dla małych nadawców (do 5000 maili dziennie do Gmail/Yahoo) wymagania są mniej rygorystyczne, ale DKIM jest mocno zalecany. Bez niego deliverability spada o 20 do 40 procent w porównaniu do firmy z pełną trójcą.

Najczęściej zadawane pytania

Czy DKIM jest obowiązkowy w 2026?

Formalnie nie ma obowiązku prawnego, ale praktycznie tak. Od 2024 Gmail i Yahoo wymagają DKIM dla bulk senderów (5000 plus maili dziennie). Bez DKIM twoje maile lądują w spam u 40 plus procent odbiorców Gmail/Outlook. Dla firmy wysyłającej faktury, newsletter albo komunikację z klientami brak DKIM oznacza utratę przychodu.

Dla małych nadawców (sklepy z 100 maili dziennie) DKIM nie jest jeszcze wymagany, ale staje się standardem. Konfiguracja zajmuje 30 minut, nie ma sensu odkładać.

Czy mogę mieć kilka DKIM dla jednej domeny?

Tak, każdy dostawca poczty/usługa wysyłająca w twoim imieniu wymaga osobnego DKIM z własnym selektorem. Typowa firma ma 3 do 5 DKIM: dla poczty firmowej (Google/M365), dla newslettera (GetResponse/Klaviyo), dla transactional (SendGrid/Postmark), opcjonalnie dla CRM i innych narzędzi.

Wszystkie współistnieją w DNS bez konfliktu, bo każdy ma inny selektor (np. google._domainkey, klaviyo._domainkey, sendgrid._domainkey).

Jak długo trwa propagacja DKIM w DNS?

Typowo 5 minut do 24 godzin, czasem do 48 godzin. Zależy od TTL rekordu i polityki cache dostawcy DNS. Cloudflare propaguje praktycznie natychmiast (kilka sekund), home.pl i niektóre starsze panele potrzebują kilku godzin.

Po dodaniu rekordu możesz sprawdzić propagację narzędziem dig TXT selektor._domainkey.twojadomena.pl w terminalu albo przez MXToolbox SuperTool. Jeśli po 24 godzinach DNS nadal nie pokazuje rekordu, sprawdź czy nie zrobiłeś literówki w nazwie selektora.

Co znaczy dkim=none w nagłówku maila?

To znaczy, że twoja domena nie ma skonfigurowanego DKIM. Serwer odbierający (Gmail, Outlook) nie znalazł rekordu klucza publicznego w DNS, więc nie może zweryfikować podpisu. Mail jest traktowany jak niepodpisany, co obniża reputację domeny i zwiększa szansę na lądowanie w spamie.

Inne stany: dkim=pass (sukces, mail podpisany poprawnie), dkim=fail (podpis był, ale nie zgadzał się z kluczem publicznym), dkim=temperror (chwilowy problem z DNS, próba ponowiona automatycznie). Cel: zawsze pass dla wszystkich legitnych nadawców.

Czy DKIM chroni przed spoofingiem mojej domeny?

Bezpośrednio nie, ale DKIM plus DMARC tak. Sam DKIM tylko podpisuje twoje maile. DMARC z polityką p=reject mówi serwerom odbiorczym: „odrzuć każdy mail z mojej domeny, który nie ma poprawnego DKIM lub SPF”. To skutecznie chroni przed phishingiem podszywającym się pod twoją domenę.

Bez DMARC sami spamerzy mogą wysyłać maile z @twojadomena.pl, a Gmail nie ma sygnału, że to fake. Z DMARC reject od razu lecą do kosza.

Czy mogę używać DKIM z darmową pocztą Gmail/Outlook?

Nie, DKIM dotyczy własnej domeny (firma@twojadomena.pl), nie darmowych adresów typu firma@gmail.com. Gmail i Outlook same podpisują wszystkie maile wysyłane z ich domen swoim DKIM (gmail.com, outlook.com). Dla osoby fizycznej używającej darmowego konta nic nie musisz robić.

DKIM jest potrzebny tylko wtedy, gdy używasz własnej domeny do poczty (Google Workspace z @twojadomena.pl, Microsoft 365, własny serwer pocztowy, hosting z pocztą).

Jakie są darmowe narzędzia do monitoringu DMARC?

Postmark DMARC Digests (postmarkapp.com/dmarc) jest najpopularniejszy darmowy. Konfigurujesz adres rua= w rekordzie DMARC na ich endpoint, dostajesz tygodniowy raport po polsku/angielsku z agregowanymi danymi: który dostawca wysyłał z twojej domeny, ile maili, ile pass, ile fail.

Płatne alternatywy: dmarcian (od 25 USD/mc), Valimail (od 100 USD/mc), EasyDMARC (od 50 USD/mc). Premium dają głębszą analizę, alerts, integracje z SIEM. Dla małej firmy darmowy Postmark wystarczy na zawsze.

Czy mogę rotować klucz DKIM?

Tak, zalecane co 6 do 12 miesięcy. Microsoft 365 robi to automatycznie (dwa selektory, selector1 i selector2, rotują naprzemiennie). Google Workspace wymaga ręcznej rotacji w Admin Console (wygenerowanie nowego klucza, zmiana selektora w DNS, dezaktywacja starego).

Dla większości firm rotacja raz w roku jest wystarczająca. Jeśli podejrzewasz, że klucz prywatny mógł wyciec (np. wyciek z serwera, kompromitacja admin account), rotuj natychmiast.

Picture of Tomasz Zieliński
Tomasz Zieliński

Tomasz zajmuje się tematyką SEO, sztucznej inteligencji i automatyzacji pracy w marketingu internetowym. W swoich artykułach analizuje zmiany w algorytmach wyszukiwarek, rozwój narzędzi AI oraz nowe sposoby tworzenia i optymalizacji treści. Interesuje go przede wszystkim to, jak technologia wpływa na codzienną pracę specjalistów SEO, marketerów i twórców internetowych.

Facebook
Twitter
LinkedIn
Pinterest

Najnowsze Wpisy

Śledź nas
Facebook Twitter Youtube Instagram Pinterest
Gotowi na Przyszłość
Podobne Wpisy