Dostarczalność e-mail w 2025: SPF, DKIM, DMARC, BIMI i ustawienia serwera na hostingu współdzielonym, VPS i dedyku

Jeśli maile z ofertą, potwierdzeniami zamówień czy newsletterem lądują w spamie, problem nie zawsze leży w „złym serwerze” albo „złym kliencie poczty”. Dostarczalność to zestaw kilku prostych, ale koniecznych elementów: poprawne DNS (SPF, DKIM, DMARC), reputacja IP i domeny, zgodność z wymaganiami nadawców (Gmail, Microsoft), oraz higiena listy. Ten przewodnik — po ludzku i bez żargonu — pokazuje, jak przejść przez konfigurację na trzech typach hostingu i jak utrzymać dobre wyniki w 2025 roku.

Co naprawdę decyduje o tym, czy mail trafi do Inboxa

Tożsamość techniczna: rekord SPF, podpis DKIM, polityka DMARC (najlepiej z raportami).
Reputacja: historia IP i domeny (skargi, hard bounce, spamtrapy, tempo wysyłki).
Zgodność: nagłówki „List-Unsubscribe”, TLS, poprawny PTR/reverse DNS i HELO, polityki nadawców (limity, formaty).
Treść i zachowanie odbiorców: jasny temat, brak „krzyczących” wzorców spamu, realne zaangażowanie (otwarcia, kliknięcia, odpowiedzi).

SPF, DKIM, DMARC — skrócony przewodnik bez żargonu

SPF mówi „z jakich serwerów wolno wysyłać maile w imieniu domeny”. To rekord TXT w DNS. Jeśli masz kilka źródeł wysyłki (np. hosting + system newsletterów), wszystkie muszą być w SPF.

TXT @  v=spf1 include:_spf.twoj-hosting.pl include:spf.newsletter-saas.com ~all

DKIM to podpis cyfrowy dopinany do każdego maila. Klucz publiczny trzymasz w DNS, prywatny siedzi na serwerze wysyłającym. Dzięki DKIM odbiorca wie, że treść nie została podmieniona po drodze.

DMARC łączy SPF i DKIM i mówi, co robić z mailami, które „nie przejdą” (raportuj, kwarantanna, odrzuć). Daje też raporty (agregaty dzienne), które pomogą wykryć podszycia lub błędy.

TXT _dmarc  v=DMARC1; p=quarantine; rua=mailto:dmarc-rua@twojadomena.pl; adkim=r; aspf=r; pct=100

Wskazówka: zaczynaj od p=none (zbierasz raporty), potem przejdź na quarantine, a docelowo na reject, gdy wszystko jest poprawnie skonfigurowane.

BIMI po ludzku

BIMI pozwala pokazać w skrzynkach odbiorczych znak marki przy wiadomości. Wymaga: DMARC co najmniej „quarantine”, najlepiej „reject”, poprawnego SPF/DKIM i pliku logotypu w formacie SVG Tiny. W wielu skrzynkach komercyjnych warto dołożyć certyfikat VMC (to wydatek, ale podnosi wiarygodność).

Hosting współdzielony vs VPS vs dedyk — co możesz, a czego nie

Współdzielony: zwykle nie zmienisz PTR (reverse DNS) i nie masz własnego IP — reputacja zależy od operatora. Możesz jednak w pełni ogarnąć SPF, DKIM (często jednym kliknięciem w panelu), DMARC i BIMI. Dobre na początek i małe wolumeny.

VPS/dedyk: masz kontrolę nad PTR (ustaw, by pasował do hosta HELO, np. mail.twojadomena.pl) i nad kolejką maili, tempem wysyłki, retry. To lepsze dla stabilnej wysyłki transakcyjnej i większych newsletterów — o ile zadbasz o konfigurację i monitoring.

Krok po kroku: minimalna konfiguracja w 1 dzień

1. SPF: zbierz wszystkie źródła wysyłki (hosting, CRM, newsletter, system faktur). Zbuduj jeden rekord SPF. Uważaj na limit 10 lookupów.

2. DKIM: włącz w panelu hostingu (lub MTA na VPS), w DNS dodaj klucz publiczny pod selektorem (np. default._domainkey).

3. DMARC: dodaj rekord z p=none i adresem do raportów rua. Po tygodniu przejdź na „quarantine”, a docelowo „reject”.

4. PTR i HELO: na VPS/dedyku ustaw reverse DNS zgodny z nazwą hosta i FQDN używanym w HELO/EHLO.

5. TLS: upewnij się, że serwer SMTP ma ważny certyfikat i wymusza TLS przy połączeniach, gdy to możliwe. Rozważ MTA-STS i TLS-RPT.

6. Nagłówki wygody: dodaj „List-Unsubscribe” (mailto i/lub link), popraw „From:” i „Reply-To:”.

Reputacja: jak nie zniszczyć jej pierwszą wysyłką

Rozgrzewanie (warm-up): startuj małym wolumenem i rób progresję (np. 200 → 500 → 1000/dobę). Mieszaj odbiorców najbardziej zaangażowanych z nowymi.

Higiena listy: double opt-in, automatyczne usuwanie twardych odbić (hard bounce), szybka reakcja na skargi. Nie kupuj baz.

Treść: stała stopka z danymi nadawcy, czytelne CTA, brak „krzykliwych” wzorców. Unikaj ciężkich załączników — hostuj pliki.

Transakcyjne vs marketingowe — trzymać oddzielnie

Potwierdzenia zamówień, reset hasła czy faktury nie powinny cierpieć przez gorszą reputację newslettera. Jeśli to możliwe, wysyłaj transakcyjne z innej subdomeny (np. mail.twojadomena.pl) i innego IP niż marketingowe (np. news.twojadomena.pl). DMARC i BIMI ustaw osobno dla każdej.

Najczęstsze problemy i szybkie naprawy

• W SPF przekroczony limit lookupów: scal wpisy, używaj include rozsądnie, usuwaj nieużywane usługi.
• DKIM „fail” dla jednego nadawcy: zły selektor w DNS, pomylona domena lub brak synchronizacji po zmianie klucza.
• DMARC „alignment fail”: domena w „From:” nie zgadza się z domeną SPF/DKIM; ustaw aspf/adkim=r (relaxed) albo ujednolić nadawców.
• PTR „nie pasuje”: na VPS ustaw reverse DNS na mail.twojadomena.pl i używaj tego samego FQDN w HELO/EHLO.
• Skoki do spamu po kampanii: za duży wolumen na zimnym IP/domenie; cofnij tempo, podnieś zaangażowanie, sprzątnij listę.

MTA-STS, TLS-RPT i ARC — warto znać

MTA-STS wymusza szyfrowanie między serwerami. TLS-RPT daje raporty o problemach z TLS. ARC pomaga zachować wiarygodność podpisu przez pośredników (np. listy dyskusyjne), więc mniej maili traci alignment DMARC w forwardingu.

Plan na 14 dni: zera do „reject”

Dzień 1–2: inwentaryzacja źródeł wysyłki, ustawienie SPF/DKIM, DMARC na p=none, List-Unsubscribe.
Dzień 3–5: porządek na liście (double opt-in, usunięcie hard bounce), start małych wolumenów, monitorowanie raportów DMARC.
Dzień 6–8: poprawki alignmentu, ustawienie PTR/HELO (VPS), włączenie TLS-RPT, testy treści i tempa.
Dzień 9–11: DMARC na quarantine, dodanie BIMI (SVG, opcjonalnie VMC), separacja transakcyjne/marketingowe (subdomeny).
Dzień 12–14: DMARC na reject (jeśli raporty czyste), stały monitoring i przegląd co tydzień.

FAQ na koniec

Czy muszę kupować certyfikat VMC do BIMI? Nie zawsze. BIMI bez VMC zadziała w części skrzynek, ale VMC zwiększa szanse na wyświetlenie logo i wygląda bardziej „oficjalnie”.

Czy na współdzielonym hostingu mam szanse na dobrą dostarczalność? Tak, przy małych i średnich wolumenach — jeśli ogarniesz SPF/DKIM/DMARC i dbasz o listę. Przy dużych wolumenach rozważ VPS z własnym IP.

Jak szybko „naprawić” reputację po serii skarg? Przerwa w wysyłce, sprzątnięcie listy, powrót z małym wolumenem do najbardziej zaangażowanych, lepszy onboarding subskrybentów i jasne oczekiwania co do częstotliwości.

Podsumowanie

Dobra dostarczalność nie wymaga czarów: wystarczy poprawna tożsamość (SPF, DKIM, DMARC), porządek w DNS (PTR/HELO), szyfrowanie, czytelna rezygnacja z subskrypcji i higiena listy. Na współdzielonym hostingu da się to ustawić w kilka godzin, a na VPS/dedyku masz dodatkowo kontrolę nad IP i reverse DNS. Gdy dołożysz konsekwentne „rozgrzewanie”, przewidywalne tempo i dobrą treść — skrzynka odbiorcza przestaje być loterią.

Źródła

https://www.rfc-editor.org/rfc/rfc7208 — SPF: RFC 7208 (mechanizm walidacji nadawcy)

https://www.rfc-editor.org/rfc/rfc6376 — DKIM: RFC 6376 (podpisy domenowe)

https://www.rfc-editor.org/rfc/rfc7489 — DMARC: RFC 7489 (polityka i raporty)

https://bimigroup.org/ — BIMI Group: wymagania BIMI i VMC

https://support.google.com/a/answer/10583557 — Gmail sender guidelines (wymagania nadawców)

https://learn.microsoft.com/microsoft-365/security/office-365-security/anti-spam-message-headers — Microsoft: nagłówki i wymagania antyspamowe

https://www.rfc-editor.org/rfc/rfc8461 — MTA-STS: RFC 8461 (wymuszanie TLS między MTA)

https://www.rfc-editor.org/rfc/rfc8460 — TLS-RPT: RFC 8460 (raportowanie problemów TLS)

https://www.rfc-editor.org/rfc/rfc8617 — ARC: RFC 8617 (Authenticated Received Chain)