DMARC záznam pro doménu: generátor, ukázka a test krok za krokem
Bez DMARC záznamu si nikdo nemůže ověřit, jestli e-mail z vaší domény opravdu poslala vaše firma, nebo ho jen podvrhl útočník. Pro B2B firmu, která rozjíždí cold outreach, to znamená riziko, že Gmail nebo Microsoft 365 začnou poštu z domény hromadně odmítat nebo házet do spamu. Tento návod ukazuje, co je DMARC záznam, jak ho vytvořit přes generátor a jak ho otestovat, než na doméně spustíte první kampaň.
- DMARC záznam navazuje na SPF a DKIM a určuje, co se stane s e-mailem, který jim neprojde
- Nejbezpečnější start je politika p=none s aktivním reportováním, ne rovnou p=reject
- DMARC záznam se publikuje jako TXT záznam v DNS na hostname _dmarc.doména
- Před ostrou kampaní ověřte záznam přes dig i online dmarc tester, ne jen v generátoru
- Zpřísňování politiky bez sledování agregovaných reportů je nejčastější příčina propadu doručitelnosti
Co je DMARC záznam a proč ho firma při cold e-mailingu potřebuje
DMARC (Domain-based Message Authentication, Reporting and Conformance) je DNS záznam, který mailserverům příjemce říká, jak naložit s poštou z vaší domény, pokud neprojde kontrolou SPF nebo DKIM. Jinak řečeno, co je DMARC záznam se dá shrnout jednou větou: je to instrukce plus reportovací kanál nad autentizací, kterou už máte nastavenou přes SPF a DKIM.
Bez DMARC záznamu má doména sice SPF a DKIM, ale nikdo nekontroluje, jestli se shodují s doménou v hlavičce From. Útočník tak může poslat phishing, který formálně SPF projde (odešle ho z vlastního serveru se svým SPF), ale hlavičku From podvrhne na vaši doménu. DMARC tuto mezeru zavírá požadavkem na alignment, tedy shodu domény v ověřovaných záznamech s doménou, kterou příjemce vidí v poště.
Pro firmu, která teprve rozjíždí B2B cold kampaně, je DMARC záznam signál důvěryhodnosti navíc. Gmail a Microsoft 365 v posledních letech výrazně zpřísnily požadavky na odesílatele s vyšším objemem pošty a DMARC je jedna z podmínek, kterou hlídají jako první.
Jak vytvořit DMARC záznam krok za krokem
Než sáhnete po generátoru, ověřte, že doména už má funkční SPF a DKIM — DMARC bez nich nemá co vyhodnocovat. Pak stačí pět kroků.
Bezplatný dmarc generator (najdete ho třeba u dodavatelů jako EasyDMARC, MXToolbox nebo přímo v administraci DNS u Wedosu a dalších českých hostingů) vám z pár voleb — politika, adresa pro reporty, procento pokrytí — poskládá hotový řádek. Výsledek je potřeba jen zkopírovat do DNS.
- Zkontrolujte, že SPF (TXT v=spf1) a DKIM (selektor._domainkey) jsou aktivní a e-maily podepisují
- Zvolte politiku: p=none pro start, p=quarantine jako mezikrok, p=reject jako cíl
- Nastavte rua adresu, kam budou chodit agregované reporty od Gmailu, Seznamu a dalších
- Vyplňte generátor a zkontrolujte vygenerovaný dmarc record ještě před publikací
- Vložte záznam jako TXT na hostname _dmarc.vasedomena.cz s hodnotou TTL kolem 3600 s
Typický dmarc record example pro start vypadá takto: v=DMARC1; p=none; rua=mailto:dmarc-reports@novotny-trading.cz; pct=100; fo=1 — politika p=none nic neodmítá, jen sbírá data o tom, jak pošta z domény prochází, což je přesně to, co potřebujete zjistit před spuštěním první cold kampaně.
Politiky p=none, p=quarantine a p=reject — jak postupovat
DMARC záznam nemá jen jedno nastavení na celou dobu. Standardní postup je začít u p=none, dva až čtyři týdny sledovat agregované reporty, opravit všechny zdroje pošty, které selhávají, a teprve pak přejít na quarantine a nakonec reject.
Přeskočení rovnou na p=reject je nejčastější důvod, proč firmám najednou přestanou chodit odpovědi na fakturační notifikace nebo newslettery poslané přes marketingový nástroj, na který se při nastavování zapomnělo.
Hodnoty jsou orientační harmonogram z praxe rozjezdu cílených B2B kampaní, ne pevná norma.
Jak DMARC záznam otestovat
Generátor záznam vytvoří, ale nezaručí, že je správně publikovaný a čitelný. Ověření dělejte ve dvou krocích — technickém a reálném.
Technicky stačí příkaz dig TXT _dmarc.vasedomena.cz +short v terminálu, který ukáže, co DNS skutečně vrací. Reálně pak pomůže libovolný dmarc tester online — zadáte doménu a nástroj kromě syntaxe zkontroluje i to, jestli SPF a DKIM na doménu skutečně navazují (alignment).
- dig TXT _dmarc.doména +short — ověří, že DNS záznam existuje a je čitelný
- dmarc tester online (např. dmarcian, MXToolbox) — zkontroluje syntaxi i alignment
- Testovací e-mail na schránku typu Gmail — v hlavičkách zkontrolujte Authentication-Results
- První agregovaný report (obvykle do 24–48 hodin) — potvrdí, které servery jménem domény skutečně posílají poštu
Nejčastější chyby při nastavování DMARC
Většina problémů s DMARC nevzniká v samotném záznamu, ale v tom, co k němu chybí nebo co se opomene.
- Chybějící alignment — DKIM je podepsaný jinou doménou než ta v hlavičce From
- Zapomenutá adresa rua, takže firma nevidí žádné reporty a zpřísňuje politiku naslepo
- Skok rovnou na p=reject bez týdnů sledování agregovaných dat
- Přesměrování e-mailů (forwarding) na jiné schránky, které rozbíjí SPF a bez správného DKIM shodí i DMARC
- Dva DMARC záznamy na stejné doméně omylem — DNS pak vrací neplatnou hodnotu a příjemci ji ignorují
- Zapomenuté třetí strany — fakturační systém nebo ESP, které posílají jménem domény, ale nejsou zahrnuté v SPF ani nemají vlastní DKIM
Jak k DMARC přistupuje LDM při rozjezdu B2B cold kampaní
Při rozjezdu cíleného cold e-mailingu LDM doporučuje samostatnou odesílací subdoménu (např. outreach.vasedomena.cz), aby případné problémy s reputací nikdy nezasáhly hlavní firemní doménu a e-maily kolegů z fakturace či podpory.
DMARC na této subdoméně startuje na p=none, první dva týdny se posílá jen malý denní objem s důrazem na personalizaci a relevanci, a teprve po kontrole reportů a stabilním umístění do inboxu se politika postupně zpřísňuje. Cílem není zablokovat co nejvíc pošty, ale mít doménu, kterou mailboxy providerů berou jako legitimní firemní odesílatele, ne jako hromadný zdroj.
Čísla jsou orientační rozmezí z praxe cílených B2B kampaní, ne garance pro konkrétní doménu.
Časté dotazy
Co je DMARC záznam ve zkratce?
Je to TXT záznam v DNS, který mailserverům říká, jak naložit s poštou z vaší domény, pokud neprojde SPF nebo DKIM, a kam posílat reporty o tom, kdo jménem domény odesílá poštu.
Je DMARC záznam povinný?
Zákon ho nevyžaduje, ale Gmail a Microsoft 365 ho u odesílatelů s vyšším objemem pošty fakticky vynucují — bez něj hrozí horší doručitelnost nebo odmítnutí pošty.
Jak dlouho mám čekat mezi p=none a p=reject?
Obvykle dva až čtyři týdny na p=none, kdy sbíráte reporty, další dva až čtyři týdny na p=quarantine s postupně rostoucím pct, a teprve pak přechod na p=reject.
Můžu použít volně dostupný dmarc generator?
Ano, generátor jen skládá syntaxi záznamu z voleb, které zadáte, žádná citlivá data neposílá nikam navíc. Výsledek si ale vždy ověřte přes dig nebo dmarc tester online, než ho publikujete.
Co se stane, když e-mail projde forwardingem?
Forwarding často rozbíjí SPF, protože se mění odesílající server. DKIM podpis by měl zůstat platný, pokud forwarder text nemění — DMARC pak projde díky alignmentu na DKIM straně.
Stačí mít jen DMARC bez SPF a DKIM?
Ne, DMARC vyhodnocuje výsledky SPF a DKIM a bez nich nemá co porovnávat. Nejdřív musí fungovat SPF a DKIM, DMARC je až třetí vrstva nad nimi.
Chcete to použít ve svém outreachu?
Ukážeme vám, jak to funguje na vašem segmentu a produktu — ještě před zahájením spolupráce.
Promluvme si