Wysłałeś newsletter do 800 klientów, a połowa nigdy go nie zobaczyła. Druga połowa kliknęła i otworzyła — ale tych, co wylądowali w folderze Spam, nie ma jak odzyskać. Najgorsze, że przyczyna nie leży po stronie treści, copywritera ani timingu wysyłki, tylko trzech rekordów DNS, które ktoś powinien był ustawić dwa lata temu.
Od 1 lutego 2024 roku Google i Yahoo, a od 5 maja 2025 również Microsoft Outlook, podniosły wymagania techniczne dla każdego, kto wysyła maile masowo. Większość właścicieli małych firm w Polsce w ogóle nie wie, że te zmiany ich dotyczą — bo komunikaty szły po angielsku, na blogach branżowych, między release’ami AI. Pokazujemy, dlaczego maile Twojej firmy mogą trafiać do spamu nawet bez Twojej winy, jak to naprawić i co dodatkowo zmieniło polskie Prawo Komunikacji Elektronicznej z listopada 2024.
1. Dlaczego maile z polskiej domeny trafiają do spamu — co się zmieniło od 2024
Klasyczna sytuacja: kupujesz domenę u dostawcy hostingu, dostajesz skrzynkę typu [email protected] i wysyłasz z niej maile do klientów. Działało to przez piętnaście lat. W 2024 przestało.
Powód: trzy największe platformy mailowe na świecie — Gmail (Google), Yahoo Mail i Outlook (Microsoft) — wprowadziły jednocześnie wymóg, żeby każda domena wysyłająca więcej niż 5 000 maili dziennie miała poprawnie skonfigurowane trzy mechanizmy uwierzytelniania: SPF, DKIM i DMARC. Dla Google i Yahoo zmiana weszła 1 lutego 2024. Microsoft dołączył 5 maja 2025, zaczynając od kierowania niezgodnych maili do folderu Junk, a następnie odrzucając je całkowicie z błędem 550 5.7.515 Access denied.
Próg 5 000 wiadomości dziennie brzmi jak coś, co dotyczy korporacji. Ale w praktyce dotyka MŚP w dwóch sytuacjach:
- Wysyłasz newsletter do bazy 2 000+ subskrybentów — jeden mailing przekracza próg w jednym dniu.
- Korzystasz z platformy typu Mailchimp, Brevo, Mailerlite, GetResponse — Twoje maile lecą z ich infrastruktury, ale jeśli domena nadawcy jest Twoja, część odpowiedzialności za uwierzytelnianie nadal jest po Twojej stronie.
Co więcej, nawet jeśli wysyłasz mniej niż 5 000 dziennie, brak SPF/DKIM/DMARC oznacza, że Twoje maile są coraz bardziej podejrzane dla filtrów antyspamowych. Próg 5 000 to twardy wymóg blokady — niżej trafiasz po prostu do folderu „Oferty” albo wprost do spamu, bez żadnego komunikatu.
Ostrzeżenie: nawet pojedynczy mail z domeny bez DMARC może zostać odrzucony, jeśli odbiorca ma włączone surowsze filtry firmowe (np. korporacja klienta). Nie chodzi już tylko o newslettery — dotyczy też faktur i ofert wysyłanych z firmowej skrzynki.
2. SPF, DKIM, DMARC — co to znaczy bez żargonu
Trzy akronimy, które brzmią identycznie. Każdy odpowiada za co innego. Tłumacząc na codzienne analogie:
SPF (Sender Policy Framework) — lista dostawców
SPF to wpis w DNS Twojej domeny, który mówi: „Maile w imieniu twoja-firma.pl mogą wysyłać te konkretne serwery i nikt więcej”. Jeśli mailing leci przez Mailchimp i adres Mailchimpa nie znajduje się w SPF, odbiorca uznaje to za podejrzane.
To jak lista upoważnionych przewoźników, którą zostawiasz portierowi w biurowcu. Gdy przyjeżdża kurier nieznajomy, portier go nie wpuszcza, niezależnie od tego, czy faktycznie wiezie Twoją paczkę.
DKIM (DomainKeys Identified Mail) — pieczęć cyfrowa
DKIM to podpis kryptograficzny dołączony do każdego wysyłanego maila. Odbiorca może go zweryfikować i sprawdzić, że treść nie została zmodyfikowana po drodze. Klucz publiczny do weryfikacji jest opublikowany w DNS Twojej domeny.
Analogia: list polecony z pieczęcią lakową. Jeśli pieczęć jest naruszona — odbiorca wie, że ktoś otwierał kopertę po drodze.
DMARC (Domain-based Message Authentication, Reporting and Conformance) — instrukcja, co robić z fałszywkami
DMARC to wpis DNS, który mówi serwerom odbiorczym, co robić z mailem, jeśli nie przejdzie weryfikacji SPF ani DKIM. Polityka może być jedną z trzech:
p=none— „dostarcz mail i poinformuj mnie raportem” (tryb monitorowania)p=quarantine— „włóż do spamu” (tryb pośredni)p=reject— „odrzuć całkowicie” (tryb produkcyjny, najbardziej bezpieczny dla marki)
DMARC dodatkowo wymaga alignment — czyli żeby domena widoczna w nagłówku From: (ta, którą widzi odbiorca) zgadzała się z domeną z SPF lub DKIM. Bez tego nawet poprawnie podpisany mail nie przechodzi DMARC.
Microsoft wprost ujmuje to w swojej dokumentacji: co najmniej
p=nonei alignment z SPF lub DKIM — preferowane oba. Identycznie wymagają Google i Yahoo.
Spam rate — wskaźnik, który możesz przekroczyć i nie zauważyć
Wszystkie trzy platformy ustaliły próg 0,3% spam rate jako maksimum bezpieczne. Google rekomenduje dążyć poniżej 0,1%. Spam rate to procent odbiorców, którzy ręcznie oznaczyli Twojego maila jako spam (kliknęli „Zgłoś spam”), liczony od liczby maili dostarczonych do skrzynki, nie wysłanych.
Konkret: jeśli wysyłasz newsletter do 1 000 osób, dostarcza się 950, i tylko 3 osoby kliknęły „spam”, jesteś już na 0,32% — powyżej progu. Trzy osoby z tysiąca. Tyle wystarczy, żeby kolejne mailingi zaczęły lądować w spamie u wszystkich odbiorców.
3. Pięć kroków wdrożenia — od zera do compliance
Większość konfiguracji robi się raz, w panelu DNS Twojej domeny. Jeśli nie wiesz, gdzie jest panel DNS — to ten sam panel, w którym ustawiałeś adres serwera dla strony. Dostęp ma firma, która sprzedała Ci domenę (OVH, nazwa.pl, home.pl, Cloudflare itd.).
1. Sprawdź stan obecny
Zanim cokolwiek dodasz, sprawdź, co już masz. Wpisz w Google MXToolbox SuperTool albo EasyDMARC checker, wpisz swoją domenę, kliknij „Test all”. W ciągu sekundy zobaczysz, czy masz SPF, DKIM, DMARC i czy są poprawne.
Rozwiązanie: jeśli któregokolwiek brakuje albo jest błąd — wracaj tu po kolei. Jeśli wszystkie trzy mają zielone fajki, sprawdź dwie rzeczy: czy SPF zawiera wszystkich Twoich nadawców (Mailchimp, Brevo, system fakturowy, CRM) i czy DMARC ma p= ustawione na coś sensownego (nie samo none po dwóch latach).
2. Ustaw SPF — jeden wpis TXT
W panelu DNS dodaj wpis typu TXT w korzeniu domeny (host: @ lub puste pole). Zawartość:
v=spf1 include:_spf.google.com include:spf.mailchimp.com -allLista include: zawiera dostawców, którzy wysyłają w Twoim imieniu. Każdy dostawca daje swój include: w panelu konfiguracji domeny — Google Workspace daje _spf.google.com, Mailchimp daje spf.mailchimp.com, własny serwer SMTP wymaga podania IP (ip4:1.2.3.4).
Rozwiązanie: nigdy więcej niż 10 wpisów include: w jednym SPF — to twardy limit DNS. Jeśli masz więcej dostawców, zlecaj wysyłkę z subdomen (marketing.twoja-firma.pl).
3. Ustaw DKIM — klucz od każdego dostawcy osobno
DKIM ustawia się osobno dla każdego dostawcy wysyłki. Mailchimp ma swój generator klucza w panelu („Authenticate Domain”), Google Workspace w Admin Console („Apps → Google Workspace → Gmail → Authenticate email”), Brevo w „Senders & IP”. Każdy z nich wygeneruje Ci jedną lub dwie linie do dodania w DNS jako wpisy TXT.
Rozwiązanie: nie pomijaj DKIM dla Google Workspace, nawet jeśli wysyłasz głównie ręczne maile. Google włącza domyślnie tylko podstawowy SPF — DKIM trzeba włączyć ręcznie w Admin Console.
4. Ustaw DMARC — zacznij od p=none, monitoruj 30 dni
Pierwszy DMARC powinien być w trybie monitorowania, żeby zobaczyć, co się dzieje, zanim zaczniesz blokować. Dodaj wpis TXT na hoście _dmarc.twoja-firma.pl:
v=DMARC1; p=none; rua=mailto:[email protected]; pct=100Atrybut rua to adres, na który dostawcy odbiorcze wysyłają codzienny raport JSON z listą maili, które przeszły lub nie przeszły uwierzytelniania. Po 2–4 tygodniach raportów wiesz, kto wysyła w Twoim imieniu i czy wszystkich obejmuje SPF/DKIM. Wtedy można podnieść politykę.
Rozwiązanie: raporty DMARC są w JSON-ie i trudno je czytać ręcznie. Bezpłatne plany ma kilka narzędzi (Postmark DMARC monitoring, Valimail, EasyDMARC, dmarcian) — wystarczy do MŚP. Po 30 dniach monitorowania przełącz na p=quarantine, po kolejnych 30 — p=reject.
5. Włącz one-click unsubscribe i monitoruj Postmaster Tools
Dla maili marketingowych Google i Yahoo wymagają one-click unsubscribe — czyli linku, który po jednym kliknięciu wypisuje odbiorcę z bazy bez prowadzenia go na stronę logowania. Technicznie to nagłówki List-Unsubscribe i List-Unsubscribe-Post zgodne z RFC 8058.
Jeśli używasz Mailchimp, Brevo, Mailerlite albo GetResponse — one-click unsubscribe jest włączony domyślnie, ale tylko jeśli poprawnie skonfigurowałeś domenę nadawczą w panelu (DKIM, SPF). Jeśli wysyłasz z własnego SMTP, musisz dodać te nagłówki samodzielnie.
Rozwiązanie: zarejestruj domenę w Google Postmaster Tools (postmaster.google.com) i Microsoft SNDS (sendersupport.olc.protection.outlook.com). To bezpłatne narzędzia pokazujące Twój spam rate w czasie rzeczywistym. Jeśli zauważysz, że któryś mailing wystrzelił spam rate powyżej 0,3% — wstrzymaj kolejny i zbadaj listę (prawdopodobnie kupowane adresy albo stara baza bez czyszczenia).
4. PKE i RODO — co musi zawierać Twoja zgoda na newsletter w 2026
Strona techniczna to jedno. Polskie prawo to drugie. Od 10 listopada 2024 r. obowiązuje Prawo Komunikacji Elektronicznej (ustawa z dnia 12 lipca 2024 r., Dz.U. 2024 poz. 1221), które zastąpiło stary art. 172 Prawa telekomunikacyjnego i art. 10 ustawy o świadczeniu usług drogą elektroniczną.
To była fundamentalna zmiana: do listopada 2024 firmy operowały na dwóch oddzielnych podstawach prawnych dla marketingu mailowego (jedna z UoŚUDE dla zgody na komunikację handlową, druga z Prawa telekomunikacyjnego dla samego kanału). Po PKE wszystko siedzi w jednym przepisie — art. 398 PKE.
Co dokładnie wymaga art. 398 PKE
Używanie urządzeń telekomunikacyjnych (czyli telefonu, e-maila, SMS, komunikatora) do marketingu bezpośredniego wymaga uprzedniej zgody abonenta lub użytkownika końcowego. Art. 400 PKE doprecyzowuje: do uzyskania zgody stosuje się odpowiednio przepisy o ochronie danych osobowych — czyli zgoda musi spełniać kryteria RODO.
Cztery cechy zgody z RODO, których nie wolno pominąć:
- Dobrowolność — brak nacisku, brak warunkowania usługi zgodą marketingową, brak pre-checked checkboxów.
- Konkretność — zgoda dotyczy konkretnego kanału (e-mail), konkretnego nadawcy i konkretnego celu („newsletter o ofertach produktów X, Y, Z”).
- Świadomość — odbiorca wie, na co się zgadza, kto jest administratorem, jak wycofać zgodę.
- Jednoznaczność — zgoda wyrażona aktywnym działaniem (kliknięcie checkboxa, „double opt-in” przez kliknięcie linku w mailu potwierdzającym).
Co zmienia się w praktyce dla MŚP
Stare zgody nie tracą ważności automatycznie, ale tylko jeśli zostały zebrane z zachowaniem powyższych czterech kryteriów RODO. Jeśli w 2019 roku dodałeś do CRM-a adresy z formularza kontaktowego i tam była fraza „wyrażam zgodę na otrzymywanie wszelkich informacji od firmy X” — to nie jest konkretna zgoda i nie spełnia PKE. Trzeba ją odnowić.
Sankcje PKE samodzielnie nie precyzuje, ale ponieważ dotyczy danych osobowych — stosowane są sankcje z RODO: do 20 mln EUR lub 4% rocznego globalnego obrotu, w zależności od tego, która kwota jest wyższa.
Tematykę zgód w marketingu cyfrowym i jak je technicznie egzekwować w Google Ads opisujemy szczegółowo w innym poście — zob. Consent Mode v2 dla MŚP.
Praktyczna lista kontrolna PKE dla mailingu
- Formularz zapisu na newsletter ma osobny, niezaznaczony checkbox „Zgadzam się otrzymywać informacje handlowe od [Twoja firma] na podany adres e-mail”.
- Po zapisie wysyłasz mail potwierdzający (double opt-in) z linkiem do kliknięcia — to dowód dobrowolności i jednoznaczności.
- W każdej wysyłce jest link do wypisania się — działający bez logowania.
- Trzymasz dziennik zgód: data, źródło (formularz, której wersji), wersję klauzuli, IP/identyfikator zgody.
- Klauzula informacyjna RODO (kto jest administratorem, jakie prawa ma osoba, kontakt do IOD) jest przed checkboxem lub bezpośrednio pod nim.
5. Jak my to robimy w Monaltro
W Monaltro każdą nową integrację mailową dla klienta zaczynamy od audytu rekordów DNS. Pierwszy mailing wychodzi dopiero wtedy, gdy SPF, DKIM i DMARC są zielone w MXToolbox, a DMARC jest w trybie p=none z aktywnym raportowaniem do skrzynki, do której mamy dostęp.
Drugim etapem jest mapowanie wszystkich źródeł wysyłki dla danej domeny — bo zaskakująco często okazuje się, że klient wysyła maile z czterech różnych miejsc i nikt o tym nie pamiętał. Skrzynka Google Workspace, Mailchimp do newslettera, system fakturowy (np. wFirma), CRM (np. HubSpot) — każdy z nich wymaga osobnego DKIM i bycia w SPF. Pominięcie jednego psuje całość, bo niezgodne maile wpadają jako spoof.
Po dwóch–trzech tygodniach analizujemy raporty DMARC. Jeśli raport pokazuje, że 100% maili z domeny jest poprawnie uwierzytelnione, podnosimy politykę do p=quarantine. Po kolejnym miesiącu — do p=reject. Dopiero w tym momencie domena jest realnie chroniona przed podszywaniem (spoofing), które jest najczęstszą drogą ataków phishingowych na klientów MŚP.
Konfiguracja samych rekordów DNS to mała część pracy — większy nakład idzie na utrzymanie: monitorowanie spam rate, regularne czyszczenie bazy z nieaktywnych adresów (bouncerów), edukowanie zespołu, żeby nie używał skrzynki firmowej do prywatnych zapisów. Te codzienne nawyki bardziej decydują o deliverability niż jednorazowa konfiguracja.
Bezpieczeństwo domeny i poprawne ustawienie DNS to też część szerszej higieny strony firmowej — opisujemy ją w Bezpieczeństwo strony firmowej MŚP — minimum konfiguracji.
Podsumowanie
Email marketing w 2026 to dwie warstwy: techniczna (SPF + DKIM + DMARC + spam rate) wymagana przez Google, Yahoo i Microsoft, oraz prawna (PKE art. 398 + RODO) wymagana przez polskie prawo. Pierwsza decyduje, czy mail w ogóle dojdzie. Druga — czy nie skończysz z karą.
Najczęstszy błąd MŚP to założenie, że ten temat dotyczy tylko firm wysyłających newslettery — w praktyce dotyka każdej domeny, z której wychodzą jakiekolwiek maile transakcyjne, ofertowe albo fakturowe. Klient z dużej korporacji prędzej czy później ma filtr, który odrzuci niezgodne maile, niezależnie od ich treści.
Wskazówka: pierwszy krok to nie konfiguracja, tylko diagnoza. Wpisz swoją domenę w darmowym checkerze (MXToolbox, EasyDMARC) i zobacz, co masz dziś. Większość MŚP, które robią ten test, odkrywa brak DMARC i SPF, który zawiera tylko jednego dostawcę zamiast trzech używanych. Naprawienie tego zajmuje godzinę w panelu DNS. Jeśli chcesz, żeby ktoś przeprowadził audyt i konfigurację razem z monitorowaniem DMARC przez pierwsze trzy miesiące — chętnie pomożemy.