Live Direct Marketing
ÚvodBlogDoručitelnost

SPF, DKIM a DMARC pro Google Workspace a Office 365: návod před spuštěním cold e-mailu

12. července 2026 · 9 min čtení · Průvodce: Doručitelnost

Než odešlete první cold e-mail konkrétnímu nákupčímu nebo jednateli, doména musí mít v pořádku tři technické záznamy – SPF, DKIM a DMARC. Bez nich Gmail i Outlook zprávu buď rovnou zahodí, nebo ji pošlou do spamu, a to i při naprosto legitimním, personalizovaném oslovení v malém objemu. Tento návod ukazuje, jak nastavení SPF, DKIM a DMARC v Google Workspace i Office 365 zvládnout krok za krokem, včetně chyb, které doručitelnost nejčastěji podráží.

Ve zkratce
  • SPF, DKIM a DMARC jsou tři samostatné, na sobě závislé vrstvy autentizace, které Gmail i Outlook kontrolují u každé příchozí zprávy.
  • Google i Microsoft od roku 2024 vyžadují u odesílatelů platnou autentizaci – bez ní hrozí odmítnutí zprávy nebo trvalé zařazení do spamu.
  • Samotné nastavení záznamů zabere řádově hodiny, ale bezpečný přechod DMARC z p=none na p=reject by měl trvat několik týdnů.
  • Nejčastější chybou není chybějící záznam, ale duplicitní SPF nebo DMARC ponechaný natrvalo v režimu pouze monitorování.
  • LDM před spuštěním každé kampaně automaticky ověřuje stav SPF, DKIM i DMARC u odesílací domény klienta.

Proč jsou SPF, DKIM a DMARC podmínkou pro cílený B2B cold e-mail

SPF, DKIM a DMARC dohromady odpovídají na jednoduchou otázku: skutečně tuto zprávu odeslala doména, za kterou se vydává, nebo ji jen někdo napodobil? Cold email do B2B segmentu posílá záměrně malý denní objem konkrétním lidem ve firmách, takže technicky vypadá úplně jinak než hromadný spam – ale autentizační kontroly to nerozlišují. Kontrolují se u každé zprávy stejně, ať jde o newsletter pro sto tisíc adres, nebo o pět personalizovaných e-mailů týdně.

Nastavení SPF, DKIM a DMARC v Google Workspace i Office 365 je proto první krok, který musí proběhnout dřív, než kampaň vůbec začne. Bez něj hrozí nejen to, že jednotlivé zprávy skončí ve spamu, ale že se poškodí reputace celé domény – včetně běžné firemní korespondence, faktur a odpovědí zákazníkům, které přes stejnou doménu chodí denně.

Jak nastavit SPF v Google Workspace a Office 365 krok za krokem

SPF (Sender Policy Framework) je TXT záznam v DNS, který vyjmenovává servery oprávněné odesílat poštu za danou doménu. Přijímající server porovná IP adresu odesílatele s tímto seznamem – pokud neodpovídá, kontrola SPF selže.

V Google Workspace se záznam vytváří v administrátorské konzoli přes Apps → Google Workspace → Gmail → Ověřování e-mailů, kde Google vygeneruje přesnou hodnotu pro TXT záznam. V Office 365 je ekvivalentní krok v Microsoft 365 Defenderu nebo přímo v DNS u registrátora domény.

Příklad

Typický kombinovaný SPF záznam pro firmu novakstroj.cz, která posílá poštu z Google Workspace a zároveň přes platformu pro cold outreach, vypadá takto: v.=spf1 include:_spf.google.com include:_spf.ldm.cz ~all – jeden řádek, jeden záznam, žádná duplicita.

DKIM: aktivace a rotace klíčů v Gmailu a Outlooku

DKIM (DomainKeys Identified Mail) podepisuje odchozí zprávu privátním klíčem a přijímající server ověří podpis pomocí veřejného klíče publikovaného v DNS. Na rozdíl od SPF DKIM přežije i přeposílání zprávy, protože podpis je součástí hlavičky, ne závislý na IP adrese.

V Google Workspace se DKIM aktivuje v administrátorské konzoli v sekci Ověřování e-mailů volbou Generovat nový záznam – Google vytvoří selektor a veřejný klíč, který se vloží jako TXT záznam do DNS, a aktivace se potvrdí tlačítkem Spustit ověřování. V Microsoft 365 admin centru je postup obdobný přes Exchange Online → Ochrana pošty → DKIM, kde se zapínají dva CNAME záznamy pro každou vlastní doménu.

Klíče DKIM se doporučuje rotovat jednou za 6–12 měsíců – Google Workspace i Microsoft 365 umožňují mít připravený druhý selektor a přepnout na něj bez výpadku doručování.

DMARC: od monitorování k vynucení politiky

DMARC (Domain-based Message Authentication, Reporting and Conformance) sám o sobě nic nepodepisuje – říká přijímajícímu serveru, co dělat se zprávou, která neprojde zarovnáním SPF nebo DKIM s doménou v hlavičce From, a kam posílat reporty o výsledcích.

Bezpečná cesta je postupná: začít s p=none, který jen sbírá reporty a nic neblokuje, po 2–4 týdnech sledování bez chyb přejít na p=quarantine (podezřelé zprávy do spamu) a nakonec na p=reject, kdy se nezarovnané zprávy zahazují úplně. Přeskočení rovnou na reject bez fáze monitorování je nejčastější příčinou výpadku legitimní pošty, včetně cold e-mailů odeslaných z vlastní domény přes cizí nástroj.

Příklad

Základní DMARC záznam ve fázi monitorování: v.=DMARC1; p=none; rua=mailto:dmarc-reports@novakstroj.cz. Po ověření, že všechny legitimní zdroje procházejí, se přepne na v.=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-reports@novakstroj.cz.

Jak autentizace ovlivňuje reply rate v cíleném B2B outreachi

Autentizace neovlivňuje jen to, jestli zpráva dorazí – ovlivňuje i to, jestli si ji adresát vůbec všimne, protože zprávy padající do promoční záložky nebo spamu prakticky nikdo neotevírá. U kampaní, kde je SPF, DKIM i DMARC nastaveno správně a doména má zahřátou historii odesílání, se healthy reply rate u cíleného B2B cold e-mailu pohybuje mezi 3–8 %. U domén bez plné autentizace tato hodnota často padá pod 1 %, i když samotný text a personalizace zprávy jsou stejné.

Nejčastější chyby při nastavení SPF, DKIM a DMARC

Většina problémů s doručitelností nevzniká z chybějících záznamů, ale ze špatně udržovaných.

Checklist před spuštěním kampaně – jak to řeší LDM

Před spuštěním jakékoliv cílené B2B kampaně LDM ověřuje stav domény klienta automaticky, ne jen na základě tvrzení, že „SPF a DKIM jsou nastavené“. Kontroluje se platnost a jedinečnost SPF záznamu, aktivní DKIM podpis pro konkrétní odesílací subdoménu a existence DMARC záznamu s odpovídající politikou. Teprve po této kontrole se doména zapojí do zahřívacího procesu a následně do samotné kampaně.

Časté dotazy

Jak dlouho trvá, než se změny SPF, DKIM a DMARC projeví?

Propagace DNS obvykle trvá od několika minut do 24 hodin, u některých registrátorů až 48 hodin. Před spuštěním kampaně je vhodné počkat na potvrzené ověření v administrátorské konzoli, ne jen na uplynutí času.

Můžu mít DKIM aktivní v Google Workspace i Office 365 pro stejnou doménu?

Ano, pokud doména posílá poštu z více zdrojů, každý zdroj používá vlastní selektor a vlastní DKIM klíč. Google i Microsoft generují unikátní selektory, takže se navzájem nepřepisují.

Co je DMARC alignment a proč selhává, i když je SPF nastavené správně?

Alignment znamená, že doména v hlavičce From se musí shodovat (přesně nebo na úrovni organizační domény) s doménou, kterou ověřilo SPF nebo DKIM. Selhává typicky tehdy, když třetí nástroj posílá poštu jménem klienta, ale technicky ji podepisuje vlastní doménou.

Musím mít DMARC na p=reject, abych mohl posílat cold e-maily?

Není to nutná podmínka, ale doporučená cílová hodnota. Bezpečnější je postupný přechod přes p=none a p=quarantine, aby se předešlo blokaci legitimní pošty způsobené neodhalenou chybou v konfiguraci.

Jak zjistím, že SPF, DKIM a DMARC v Google Workspace nebo Office 365 fungují správně?

Nejrychlejší je poslat testovací zprávu přes nástroj typu mail-tester a zkontrolovat hlavičky odchozí pošty, kde jsou vidět výsledky spf=pass, dkim=pass a dmarc=pass. Doplňkově pomáhá Google Postmaster Tools a pravidelné čtení DMARC agregovaných reportů.

Ovlivňuje autentizace i běžnou firemní poštu, nebo jen cold e-maily?

Ovlivňuje celou doménu, protože reputaci si přijímající servery vedou na úrovni domény, ne jednotlivé kampaně. Špatně nastavený DMARC tak může poškodit doručitelnost faktur a odpovědí zákazníkům stejně jako cold outreach.

Důležité: nejde o hromadnou rozesílku ani spam. Pracujeme cíleně: každá zpráva je adresována konkrétnímu zástupci konkrétní firmy z legitimního obchodního důvodu, je odesílána v malých denních objemech a je personalizovaná pro příjemce. Každý e-mail uvádí odesílatele a obsahuje odhlášení jedním kliknutím; odhlášení a stop-listy platí pro všechny další kampaně bez výjimky.

Chcete to použít ve svém outreachu?

Ukážeme vám, jak to funguje na vašem segmentu a produktu — ještě před zahájením spolupráce.

Promluvme si