Dlaczego poczta firmowa trafia do spamu? SPF, DKIM i DMARC w praktyce

Poczta firmowa może wyglądać na poprawnie działającą. Skrzynka się otwiera, wiadomości wychodzą, formularz kontaktowy wysyła zgłoszenia, a klient pocztowy nie pokazuje żadnego błędu.

Problem zaczyna się wtedy, gdy odbiorcy mówią:

  • “wiadomość trafiła do spamu”,
  • “nie dostałem maila”,
  • “Gmail pokazuje ostrzeżenie”,
  • “maile z formularza nie dochodzą”,
  • “do jednych osób dochodzi, do innych nie”.

W takiej sytuacji łatwo uznać, że winna jest treść wiadomości albo sam program pocztowy. Czasem faktycznie tak jest, ale bardzo często problem leży głębiej: w konfiguracji domeny, DNS, SPF, DKIM, DMARC albo w tym, że różne usługi wysyłają pocztę w imieniu tej samej domeny.

I właśnie dlatego problem z pocztą bywa mylący. Wiadomość może zostać wysłana poprawnie technicznie, ale nadal zostać oceniona przez serwer odbiorcy jako podejrzana.

Dostarczenie wiadomości to nie tylko kliknięcie “wyślij”

Gdy wysyłasz maila z firmowej domeny, serwer odbiorcy próbuje odpowiedzieć sobie na kilka pytań:

  • czy ten serwer ma prawo wysyłać pocztę dla tej domeny?
  • czy wiadomość została podpisana przez domenę nadawcy?
  • czy domena ma politykę mówiącą, co robić z podejrzanymi wiadomościami?
  • czy domena albo adres IP mają dobrą reputację?
  • czy treść wiadomości nie wygląda jak spam albo phishing?

SPF, DKIM i DMARC pomagają odpowiedzieć głównie na pierwsze trzy pytania.

Nie są one gwarancją, że każda wiadomość trafi do głównej skrzynki odbiorczej. Dostarczalność zależy też od reputacji, treści wiadomości, historii wysyłki i zachowania odbiorców. Ale bez poprawnej konfiguracji SPF, DKIM i DMARC startujesz z dużo gorszej pozycji.

SPF, czyli kto może wysyłać pocztę dla domeny

SPF to rekord DNS, który mówi, jakie serwery mogą wysyłać pocztę w imieniu danej domeny.

Przykładowo, jeśli korzystasz z poczty u dostawcy hostingu, newslettera w zewnętrznej usłudze i formularza kontaktowego na stronie, to każda z tych usług może próbować wysyłać wiadomości jako Twoja domena.

I tu zaczynają się problemy.

Częste błędy przy SPF:

  • domena nie ma rekordu SPF,
  • domena ma kilka rekordów SPF zamiast jednego,
  • rekord SPF zawiera tylko jedną usługę, a inne legalne źródła wysyłki są pominięte,
  • rekord jest złożony metodą kopiuj-wklej z kilku poradników,
  • konfiguracja kończy się zbyt luźną regułą, która pozwala wysyłać pocztę niemal każdemu.

W praktyce SPF trzeba złożyć świadomie. Jeden rekord powinien uwzględniać wszystkie miejsca, z których naprawdę wysyłasz pocztę.

Jeżeli wysyłasz maile z hostingu, systemu fakturowego, CRM-a, sklepu internetowego i formularza na stronie, to nie wystarczy ustawić SPF tylko dla skrzynki pocztowej.

DKIM, czyli podpis wiadomości

DKIM działa inaczej niż SPF. Zamiast mówić, które serwery mogą wysyłać pocztę, DKIM podpisuje wiadomość kryptograficznie.

W uproszczeniu:

  • serwer wysyłający dodaje do wiadomości podpis,
  • klucz publiczny jest opublikowany w DNS,
  • serwer odbiorcy sprawdza, czy podpis pasuje.

Dzięki temu odbiorca może ocenić, czy wiadomość faktycznie została podpisana przez domenę, która deklaruje wysyłkę.

Typowe problemy z DKIM:

  • DKIM nie jest włączony u dostawcy poczty,
  • rekord DNS z kluczem DKIM nie został dodany,
  • użyto złego selectora,
  • rekord został ucięty albo źle wklejony do panelu DNS,
  • domena wysyła pocztę przez kilka usług, ale DKIM działa tylko dla jednej z nich.

DKIM jest szczególnie ważny wtedy, gdy wiadomość przechodzi przez pośrednie systemy. SPF może nie przejść w niektórych scenariuszach przekazywania poczty, a poprawny DKIM nadal może pomóc potwierdzić autentyczność wiadomości.

DMARC, czyli co zrobić, gdy coś się nie zgadza

DMARC korzysta z informacji SPF i DKIM, ale dodaje do tego politykę domeny.

Mówi serwerom odbiorczym mniej więcej:

  • co zrobić, jeśli wiadomość nie przejdzie weryfikacji,
  • czy tylko obserwować problem,
  • czy oznaczać wiadomości jako podejrzane,
  • czy odrzucać wiadomości podszywające się pod domenę,
  • gdzie wysyłać raporty.

Na początku często rozsądne jest ustawienie DMARC w trybie obserwacji. Dzięki temu można zobaczyć, kto faktycznie wysyła pocztę z domeny, zanim zaostrzy się politykę.

Zbyt szybkie ustawienie ostrej polityki DMARC może skończyć się tym, że legalne wiadomości przestaną dochodzić. Zwłaszcza jeśli wcześniej nie sprawdzono wszystkich systemów wysyłających pocztę.

Jeden dostawca poczty to jeszcze nie cała historia

W małych firmach często wydaje się, że poczta to tylko skrzynka u jednego dostawcy. W praktyce wiadomości mogą wychodzić z wielu miejsc.

Przykłady:

  • skrzynka firmowa u dostawcy hostingu,
  • formularz kontaktowy na stronie,
  • sklep internetowy,
  • system fakturowy,
  • CRM,
  • narzędzie do newsletterów,
  • automatyczne powiadomienia z aplikacji,
  • zewnętrzny helpdesk,
  • serwer VPS, który wysyła alerty albo raporty.

Każda z tych usług może wymagać osobnej konfiguracji SPF albo DKIM. Jeżeli jedna z nich nie jest uwzględniona, część wiadomości może trafiać do spamu, mimo że zwykła poczta działa poprawnie.

To tłumaczy sytuację, w której maile wysyłane ręcznie dochodzą, ale wiadomości z formularza kontaktowego już nie. Albo odwrotnie: newsletter działa, ale odpowiedzi z firmowej skrzynki wpadają do spamu.

Czego nie robić na ślepo

Przy problemach z pocztą kuszą szybkie poprawki. Niestety można nimi łatwo pogorszyć sytuację.

Nie warto:

  • dodawać drugiego rekordu SPF, bo “jedna usługa kazała dodać swój”,
  • kopiować gotowego SPF z losowego poradnika,
  • ustawiać ostrego DMARC bez sprawdzenia, kto wysyła pocztę z domeny,
  • ignorować DKIM, bo “SPF już jest”,
  • zakładać, że skoro poczta wychodzi, to konfiguracja jest poprawna,
  • testować tylko wysyłkę na własną skrzynkę.

Szczególnie częsty błąd to kilka rekordów SPF dla jednej domeny. SPF powinien być jeden. Jeżeli różne usługi wymagają dopisania swoich mechanizmów, trzeba je połączyć w jeden poprawny rekord.

Jak wygląda praktyczna diagnoza

Przy takim problemie nie zaczynałbym od zgadywania. Lepiej zebrać fakty.

Sprawdziłbym przede wszystkim:

  • rekordy DNS domeny,
  • czy istnieje poprawny SPF,
  • czy DKIM jest włączony i czy klucz jest widoczny w DNS,
  • czy domena ma DMARC,
  • jakie usługi wysyłają pocztę w imieniu domeny,
  • nagłówki przykładowej wiadomości, która trafiła do spamu,
  • czy problem dotyczy wszystkich odbiorców, czy tylko wybranych,
  • czy problem dotyczy zwykłej skrzynki, formularza, newslettera czy aplikacji.

Nagłówki wiadomości są bardzo pomocne, bo pokazują, co wydarzyło się po drodze. Można w nich zobaczyć wyniki SPF, DKIM i DMARC oraz serwery, przez które przeszła wiadomość.

Bez tego łatwo naprawiać nie ten element, który faktycznie powoduje problem.

Przykładowy scenariusz

Załóżmy, że firma ma domenę example.pl.

Poczta działa u dostawcy hostingu. Do tego strona internetowa wysyła wiadomości z formularza kontaktowego, a faktury wychodzą z osobnego systemu.

W DNS ustawiono SPF tylko dla hostingu. Zwykłe wiadomości wysyłane ze skrzynki firmowej przechodzą poprawnie. Ale formularz kontaktowy i system fakturowy wysyłają pocztę z innych serwerów, których SPF nie obejmuje.

Efekt:

  • część wiadomości wygląda poprawnie,
  • część wiadomości trafia do spamu,
  • właściciel domeny ma wrażenie, że problem jest losowy.

To nie musi być losowe. To może być konsekwencja tego, że różne źródła wysyłki mają różną konfigurację.

SPF, DKIM i DMARC nie są magią

Warto też jasno powiedzieć, czego te mechanizmy nie robią.

SPF, DKIM i DMARC nie sprawią automatycznie, że każda wiadomość trafi do głównej skrzynki. Nie naprawią złej reputacji po masowej wysyłce. Nie pomogą, jeśli treść wiadomości wygląda podejrzanie. Nie zastąpią sensownej konfiguracji serwera pocztowego.

Ale są podstawą.

Jeżeli domena firmowa nie ma poprawnie ustawionych mechanizmów uwierzytelniania poczty, to serwery odbiorców mają mniej powodów, żeby jej ufać.

Podsumowanie

Jeżeli poczta firmowa trafia do spamu, nie warto zaczynać od przypadkowych zmian.

Najpierw trzeba ustalić:

  • skąd dokładnie wychodzą wiadomości,
  • które wiadomości mają problem,
  • jakie wyniki dają SPF, DKIM i DMARC,
  • czy DNS jest spójny z realnym sposobem wysyłki,
  • czy domena i serwery mają sensowną reputację.

Dopiero potem warto poprawiać rekordy i testować efekt.

Jeśli Twoja poczta firmowa trafia do spamu albo wiadomości z formularza kontaktowego nie dochodzą, mogę sprawdzić konfigurację domeny, DNS, SPF, DKIM i DMARC oraz wskazać, co wymaga poprawy.

Zakres takiej pomocy opisałem na stronie usługi Poczta firmowa, DNS i dostarczalność.