Jak sprawdzić SPF, DKIM i DMARC — porównanie checkerów
Sam fakt, że rekordy SPF, DKIM i DMARC zostały opublikowane w DNS, nie znaczy jeszcze, że działają poprawnie — literówka w składni, brakujący selektor DKIM albo dwa konkurujące rekordy SPF potrafią zniweczyć całą konfigurację po cichu, bez żadnego komunikatu błędu. Dmarc checker i podobne narzędzia pozwalają to zweryfikować przed wysłaniem pierwszego maila kampanii, zamiast dowiadywać się o problemie po tym, jak trafi do spamu u kilkunastu decydentów.
- Checker SPF/DKIM/DMARC to szybki test składni i propagacji rekordów w DNS, nie gwarancja samej dostarczalności
- MXToolbox sprawdza się jako pierwszy, ogólny test techniczny domeny, dmarcian i Proofpoint dają głębszą analizę raportów DMARC w czasie
- Wynik pass w checkerze to warunek konieczny przed kampanią, ale nie zastępuje testu na realnej skrzynce Gmail i Outlook
- Najczęstszy błąd wykrywany przez checkery to dwa osobne rekordy SPF na jednej domenie zamiast jednego połączonego wpisu
- Regularne sprawdzanie DMARC ma sens nie tylko przed startem kampanii, ale też cyklicznie — konfiguracja poddostawców poczty potrafi się zmieniać
Po co w ogóle testować rekordy przed kampanią
Błąd w konfiguracji SPF, DKIM czy DMARC rzadko daje jakikolwiek widoczny sygnał w momencie publikacji rekordu — DNS przyjmie nawet składniowo niepoprawny wpis bez ostrzeżenia. Problem ujawnia się dopiero wtedy, gdy maile zaczynają masowo lądować w spamie albo w ogóle nie docierają, a w adresowanym cold mailingu B2B każdy taki mail to utracony kontakt z konkretnym decydentem, nie statystyczny ułamek procenta.
Checker DNS-owy pozwala złapać ten błąd zanim wyjdzie pierwszy mail kampanii. To test kilkuminutowy, który warto zrobić przy każdej nowej domenie wysyłkowej, po każdej zmianie w konfiguracji poczty firmowej oraz cyklicznie, bo dostawcy poczty i narzędzia trzecie potrafią z czasem zmieniać własne rekordy SPF, na których opiera się include w domenie firmy.
W agencyjnej pracy nad wieloma kontami klientów ten nawyk jest szczególnie istotny — łatwo założyć, że skoro domena klienta działała poprawnie miesiąc temu, działa tak nadal, a tymczasem ktoś po stronie klienta mógł w międzyczasie dodać nowego dostawcę poczty transakcyjnej bez informowania zespołu odpowiedzialnego za kampanię.
Czego szuka dobry checker SPF, DKIM i DMARC
Dobre narzędzie do testowania sprawdza trzy warstwy naraz: czy rekord w ogóle istnieje w DNS, czy jego składnia jest poprawna zgodnie ze standardem, oraz czy nie ma konfliktów, takich jak dwa rekordy SPF na tej samej domenie. Dla DMARC dochodzi czwarta warstwa — analiza raportów zbiorczych (rua), które pokazują realne wyniki weryfikacji na przestrzeni czasu, a nie tylko stan samego rekordu w danym momencie.
Część narzędzi ogranicza się do prostego sprawdzenia obecności i składni rekordu — to wystarcza jako szybki test przed kampanią. Inne, bardziej rozbudowane, agregują i wizualizują dane z raportów DMARC przez tygodnie czy miesiące, co przydaje się przy stopniowym podnoszeniu polityki z p=none do p=reject na domenie z większym ruchem pocztowym.
Porównanie popularnych narzędzi
MXToolbox to jedno z najczęściej używanych narzędzi ogólnego przeznaczenia do diagnostyki DNS i poczty — oprócz osobnych testów SPF, DKIM i DMARC ma też sprawdzenie rekordów MX, blacklist i podstawowej konfiguracji domeny w jednym miejscu. To dobry pierwszy przystanek, kiedy trzeba szybko zweryfikować, czy domena w ogóle ma poprawnie opublikowane rekordy, bez zakładania konta czy podpinania skrzynki.
Dmarcian specjalizuje się wąsko w DMARC — oprócz jednorazowego testu rekordu oferuje odbiór i wizualizację raportów zbiorczych w czasie, co pomaga zobaczyć, które serwery wysyłają pocztę w imieniu domeny i czy przechodzą weryfikację, zanim podniesie się politykę do trybu blokującego.
Proofpoint, jako dostawca rozwiązań bezpieczeństwa poczty dla firm, udostępnia też własny dmarc checker jako narzędzie wejściowe do szerszej oferty — sprawdza podstawowe poprawności rekordu i bywa wybierany przez zespoły, które już korzystają z innych usług tego dostawcy w organizacji.
Google i Microsoft mają też własne, wbudowane narzędzia diagnostyczne w panelach administracyjnych Workspace i Microsoft 365, które pokazują status weryfikacji domeny bezpośrednio przy konfiguracji poczty — wygodne, bo nie trzeba wychodzić poza panel, ale mniej elastyczne niż dedykowane narzędzia zewnętrzne przy bardziej złożonych konfiguracjach z wieloma dostawcami wysyłki.
- MXToolbox — szybki, ogólny test SPF/DKIM/DMARC/MX w jednym miejscu, dobry punkt startowy
- dmarcian — specjalizacja w DMARC, wizualizacja raportów zbiorczych w czasie
- Proofpoint — dmarc checker jako wejście do szerszej oferty bezpieczeństwa poczty dla firm
- Panele Google Workspace / Microsoft 365 — wbudowana diagnostyka bez wychodzenia z panelu administracyjnego
Jak czytać wynik testu — co jest krytyczne, co kosmetyczne
Wynik pass przy wszystkich trzech mechanizmach to sygnał, że można iść dalej. Fail przy SPF zwykle oznacza, że brakuje include dla jednego z serwerów faktycznie wysyłających pocztę — na przykład narzędzia do cold mailingu dodanego już po pierwszej konfiguracji domeny. Fail przy DKIM najczęściej wynika z niepoprawnie skopiowanego selektora albo z braku ręcznej aktywacji podpisu w panelu dostawcy poczty.
Ostrzeżenia o typie „miękkim” — na przykład informacja, że rekord SPF jest bliski limitu dziesięciu przeszukiwań DNS — nie blokują wysyłki od razu, ale warto je naprawić zanim staną się realnym problemem, zwłaszcza jeśli w przyszłości planowane jest dodanie kolejnych narzędzi wysyłkowych do tego samego rekordu.
Podział orientacyjny z praktyki weryfikacji domen przed kampaniami adresowanego B2B — dokładne proporcje zależą od tego, ile dostawców wysyłki obsługuje dana domena.
Który checker wybrać przy jakiej skali działania
Dla jednoosobowego zespołu albo małej agencji obsługującej kilka domen wysyłkowych, ogólny checker w rodzaju MXToolbox zwykle wystarcza w zupełności — test zajmuje chwilę, nie wymaga zakładania konta ani podpinania niczego na stałe do domeny. To rozwiązanie odpowiednie do jednorazowej kontroli przed każdą nową kampanią.
Zespół obsługujący kilkanaście domen wysyłkowych jednocześnie, z różnymi dostawcami poczty i narzędziami cold mailingowymi dla różnych klientów, zyskuje więcej na narzędziu, które trwale odbiera i archiwizuje raporty DMARC — łatwiej wtedy zauważyć, że na jednej z domen pojawił się nowy, nieautoryzowany serwer wysyłkowy, zanim stanie się to problemem przy podniesieniu polityki do trybu blokującego.
Checker to nie wszystko: test na realnej skrzynce
Nawet idealny wynik pass we wszystkich checkerach nie gwarantuje, że mail trafi do inbox — checker weryfikuje poprawność techniczną rekordów, nie ocenia treści wiadomości ani reputacji domeny budowanej w czasie. Dlatego przed startem kampanii warto uzupełnić test DNS o wysłanie realnej wiadomości na własne konto Gmail i Outlook i sprawdzenie, gdzie faktycznie wyląduje — w głównej skrzynce, w zakładce ofertowej czy w spamie.
Ten dwuetapowy test — najpierw checker DNS, potem realna wysyłka testowa — łapie różne kategorie problemów. Checker znajdzie błąd w rekordzie, zanim jeszcze cokolwiek wyślesz. Test na żywej skrzynce pokaże, jak na tę samą domenę reaguje już nie sama specyfikacja, ale konkretny algorytm filtrowania danego dostawcy poczty.
Zespół Kasi przed startem kampanii do działów zakupów firm budowlanych sprawdził domenę w MXToolbox — wynik pass na wszystkich trzech rekordach. Dopiero test na koncie Gmail pokazał, że mail trafia do zakładki Oferty, bo treść miała zbyt dużo linków w stopce. Poprawka treści, nie rekordów DNS, rozwiązała problem.
Checklist przed startem kampanii cold mailingowej
Poniższa kolejność łączy oba etapy weryfikacji w jeden proces, który warto powtarzać przy każdej nowej domenie wysyłkowej i cyklicznie na domenach już używanych w kampaniach.
- Sprawdź SPF, DKIM, DMARC w jednym z ogólnych narzędzi jak MXToolbox
- Jeśli domena ma duży ruch pocztowy, dodatkowo podepnij raporty DMARC do dmarcian lub podobnego narzędzia analitycznego
- Napraw wszystkie wyniki fail zanim przejdziesz dalej — nie tylko ostrzeżenia
- Wyślij testowy mail na Gmail i Outlook, sprawdź nagłówki i miejsce lądowania wiadomości
- Powtórz test po każdej zmianie dostawcy wysyłki albo dodaniu nowego narzędzia do domeny
- Ustaw cykliczne, np. miesięczne przypomnienie o ponownej weryfikacji rekordów
Najczęściej zadawane pytania
Czym różni się dmarc checker od pełnej analizy raportów DMARC?
Dmarc checker sprawdza jednorazowo, czy rekord istnieje i ma poprawną składnię. Analiza raportów, jak w dmarcian, pokazuje dane zbierane w czasie z adresu rua — które serwery faktycznie wysyłają pocztę w imieniu domeny i czy przechodzą weryfikację, co jest potrzebne przed podniesieniem polityki do trybu blokującego.
Czy MXToolbox wystarczy jako jedyne narzędzie do weryfikacji?
Do szybkiego testu przed kampanią na mniejszej domenie zwykle tak. Przy większym ruchu pocztowym i kilku dostawcach wysyłki warto uzupełnić go o narzędzie specjalizujące się w analizie raportów DMARC w czasie, bo pojedynczy test punktowy nie pokazuje trendów ani nowych, nieautoryzowanych serwerów pojawiających się później.
Dlaczego checker pokazuje pass, a mail i tak trafia do spamu?
Checker weryfikuje wyłącznie poprawność techniczną rekordów DNS, nie ocenia treści wiadomości ani reputacji domeny budowanej w czasie wysyłki. Poprawne SPF, DKIM i DMARC to warunek konieczny dostarczalności, ale nie jedyny — treść przypominająca masową reklamę albo zbyt duży wolumen na nowej domenie też obniżają szansę trafienia do inbox.
Jak często warto sprawdzać rekordy SPF, DKIM i DMARC?
Przy każdej nowej domenie wysyłkowej, po każdej zmianie dostawcy poczty czy dodaniu nowego narzędzia do wysyłki, a poza tym warto ustawić cykliczną, na przykład miesięczną kontrolę — konfiguracja poddostawców i limity SPF potrafią się zmieniać niezależnie od działań samej firmy.
Czy Proofpoint dmarc checker różni się czymś istotnym od darmowych narzędzi?
Podstawowy test poprawności rekordu działa podobnie jak w innych checkerach — różnica pojawia się głównie wtedy, gdy firma korzysta już z szerszej oferty bezpieczeństwa poczty tego dostawcy i chce mieć wszystkie narzędzia diagnostyczne w jednym ekosystemie zamiast rozproszonych po kilku serwisach.
Chcesz zastosować to w swoim outreachu?
Pokażemy, jak to działa na Twoim segmencie i produkcie — przed startem prac.
Porozmawiajmy