SPF, DKIM a DMARC pro Google Workspace a Office 365: návod před spuštěním cold e-mailu
Než odešlete první cold e-mail konkrétnímu nákupčímu nebo jednateli, doména musí mít v pořádku tři technické záznamy – SPF, DKIM a DMARC. Bez nich Gmail i Outlook zprávu buď rovnou zahodí, nebo ji pošlou do spamu, a to i při naprosto legitimním, personalizovaném oslovení v malém objemu. Tento návod ukazuje, jak nastavení SPF, DKIM a DMARC v Google Workspace i Office 365 zvládnout krok za krokem, včetně chyb, které doručitelnost nejčastěji podráží.
- SPF, DKIM a DMARC jsou tři samostatné, na sobě závislé vrstvy autentizace, které Gmail i Outlook kontrolují u každé příchozí zprávy.
- Google i Microsoft od roku 2024 vyžadují u odesílatelů platnou autentizaci – bez ní hrozí odmítnutí zprávy nebo trvalé zařazení do spamu.
- Samotné nastavení záznamů zabere řádově hodiny, ale bezpečný přechod DMARC z p=none na p=reject by měl trvat několik týdnů.
- Nejčastější chybou není chybějící záznam, ale duplicitní SPF nebo DMARC ponechaný natrvalo v režimu pouze monitorování.
- LDM před spuštěním každé kampaně automaticky ověřuje stav SPF, DKIM i DMARC u odesílací domény klienta.
Proč jsou SPF, DKIM a DMARC podmínkou pro cílený B2B cold e-mail
SPF, DKIM a DMARC dohromady odpovídají na jednoduchou otázku: skutečně tuto zprávu odeslala doména, za kterou se vydává, nebo ji jen někdo napodobil? Cold email do B2B segmentu posílá záměrně malý denní objem konkrétním lidem ve firmách, takže technicky vypadá úplně jinak než hromadný spam – ale autentizační kontroly to nerozlišují. Kontrolují se u každé zprávy stejně, ať jde o newsletter pro sto tisíc adres, nebo o pět personalizovaných e-mailů týdně.
Nastavení SPF, DKIM a DMARC v Google Workspace i Office 365 je proto první krok, který musí proběhnout dřív, než kampaň vůbec začne. Bez něj hrozí nejen to, že jednotlivé zprávy skončí ve spamu, ale že se poškodí reputace celé domény – včetně běžné firemní korespondence, faktur a odpovědí zákazníkům, které přes stejnou doménu chodí denně.
Jak nastavit SPF v Google Workspace a Office 365 krok za krokem
SPF (Sender Policy Framework) je TXT záznam v DNS, který vyjmenovává servery oprávněné odesílat poštu za danou doménu. Přijímající server porovná IP adresu odesílatele s tímto seznamem – pokud neodpovídá, kontrola SPF selže.
V Google Workspace se záznam vytváří v administrátorské konzoli přes Apps → Google Workspace → Gmail → Ověřování e-mailů, kde Google vygeneruje přesnou hodnotu pro TXT záznam. V Office 365 je ekvivalentní krok v Microsoft 365 Defenderu nebo přímo v DNS u registrátora domény.
- V DNS správci domény vytvořte TXT záznam pro kořenovou doménu (typicky @ nebo přímo název domény).
- Pro Google Workspace použijte hodnotu v.=spf1 include:_spf.google.com ~all.
- Pro Office 365 použijte hodnotu v.=spf1 include:spf.protection.outlook.com -all.
- Pokud doména posílá poštu z více zdrojů (CRM, fakturační systém, LDM), všechny include direktivy patří do jednoho SPF záznamu – doména smí mít pouze jeden.
- Ověřte propagaci nástrojem typu dig TXT nebo online SPF checkerem, obvykle stačí do 24 hodin.
Typický kombinovaný SPF záznam pro firmu novakstroj.cz, která posílá poštu z Google Workspace a zároveň přes platformu pro cold outreach, vypadá takto: v.=spf1 include:_spf.google.com include:_spf.ldm.cz ~all – jeden řádek, jeden záznam, žádná duplicita.
DKIM: aktivace a rotace klíčů v Gmailu a Outlooku
DKIM (DomainKeys Identified Mail) podepisuje odchozí zprávu privátním klíčem a přijímající server ověří podpis pomocí veřejného klíče publikovaného v DNS. Na rozdíl od SPF DKIM přežije i přeposílání zprávy, protože podpis je součástí hlavičky, ne závislý na IP adrese.
V Google Workspace se DKIM aktivuje v administrátorské konzoli v sekci Ověřování e-mailů volbou Generovat nový záznam – Google vytvoří selektor a veřejný klíč, který se vloží jako TXT záznam do DNS, a aktivace se potvrdí tlačítkem Spustit ověřování. V Microsoft 365 admin centru je postup obdobný přes Exchange Online → Ochrana pošty → DKIM, kde se zapínají dva CNAME záznamy pro každou vlastní doménu.
Klíče DKIM se doporučuje rotovat jednou za 6–12 měsíců – Google Workspace i Microsoft 365 umožňují mít připravený druhý selektor a přepnout na něj bez výpadku doručování.
DMARC: od monitorování k vynucení politiky
DMARC (Domain-based Message Authentication, Reporting and Conformance) sám o sobě nic nepodepisuje – říká přijímajícímu serveru, co dělat se zprávou, která neprojde zarovnáním SPF nebo DKIM s doménou v hlavičce From, a kam posílat reporty o výsledcích.
Bezpečná cesta je postupná: začít s p=none, který jen sbírá reporty a nic neblokuje, po 2–4 týdnech sledování bez chyb přejít na p=quarantine (podezřelé zprávy do spamu) a nakonec na p=reject, kdy se nezarovnané zprávy zahazují úplně. Přeskočení rovnou na reject bez fáze monitorování je nejčastější příčinou výpadku legitimní pošty, včetně cold e-mailů odeslaných z vlastní domény přes cizí nástroj.
Čísla jsou orientační, vycházejí z praxe cílených B2B kampaní, ne z formální studie.
Základní DMARC záznam ve fázi monitorování: v.=DMARC1; p=none; rua=mailto:dmarc-reports@novakstroj.cz. Po ověření, že všechny legitimní zdroje procházejí, se přepne na v.=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-reports@novakstroj.cz.
Jak autentizace ovlivňuje reply rate v cíleném B2B outreachi
Autentizace neovlivňuje jen to, jestli zpráva dorazí – ovlivňuje i to, jestli si ji adresát vůbec všimne, protože zprávy padající do promoční záložky nebo spamu prakticky nikdo neotevírá. U kampaní, kde je SPF, DKIM i DMARC nastaveno správně a doména má zahřátou historii odesílání, se healthy reply rate u cíleného B2B cold e-mailu pohybuje mezi 3–8 %. U domén bez plné autentizace tato hodnota často padá pod 1 %, i když samotný text a personalizace zprávy jsou stejné.
Rozmezí odpovídají zkušenosti z cílených B2B kampaní LDM, ne laboratornímu měření.
Nejčastější chyby při nastavení SPF, DKIM a DMARC
Většina problémů s doručitelností nevzniká z chybějících záznamů, ale ze špatně udržovaných.
- Dva SPF záznamy na jedné doméně místo jednoho kombinovaného – přijímající servery takový stav často vyhodnotí jako neplatný.
- SPF řetězec s příliš mnoha include direktivami, který překročí limit 10 DNS vyhledávání a celá kontrola selže.
- DMARC ponechaný trvale na p=none – reporty se sbírají, ale zprávy útočníků procházejí stejně jako ty legitimní.
- DKIM aktivovaný pouze pro primární doménu, zatímco cold e-maily se posílají ze subdomény bez vlastního klíče.
- Zapomenutá aktualizace SPF a DKIM po přidání nového nástroje (CRM, fakturační systém, platforma pro cold outreach).
Checklist před spuštěním kampaně – jak to řeší LDM
Před spuštěním jakékoliv cílené B2B kampaně LDM ověřuje stav domény klienta automaticky, ne jen na základě tvrzení, že „SPF a DKIM jsou nastavené“. Kontroluje se platnost a jedinečnost SPF záznamu, aktivní DKIM podpis pro konkrétní odesílací subdoménu a existence DMARC záznamu s odpovídající politikou. Teprve po této kontrole se doména zapojí do zahřívacího procesu a následně do samotné kampaně.
- Jeden platný SPF záznam zahrnující všechny odesílací zdroje.
- Aktivní DKIM s podpisem viditelným v hlavičkách odchozích zpráv.
- DMARC záznam alespoň v režimu p=quarantine, ideálně s reporty směřovanými na sledovanou schránku.
- Samostatná odesílací subdoména oddělená od hlavní firemní domény.
- Postupný zahřívací plán před prvním plošným spuštěním kampaně.
Časté dotazy
Jak dlouho trvá, než se změny SPF, DKIM a DMARC projeví?
Propagace DNS obvykle trvá od několika minut do 24 hodin, u některých registrátorů až 48 hodin. Před spuštěním kampaně je vhodné počkat na potvrzené ověření v administrátorské konzoli, ne jen na uplynutí času.
Můžu mít DKIM aktivní v Google Workspace i Office 365 pro stejnou doménu?
Ano, pokud doména posílá poštu z více zdrojů, každý zdroj používá vlastní selektor a vlastní DKIM klíč. Google i Microsoft generují unikátní selektory, takže se navzájem nepřepisují.
Co je DMARC alignment a proč selhává, i když je SPF nastavené správně?
Alignment znamená, že doména v hlavičce From se musí shodovat (přesně nebo na úrovni organizační domény) s doménou, kterou ověřilo SPF nebo DKIM. Selhává typicky tehdy, když třetí nástroj posílá poštu jménem klienta, ale technicky ji podepisuje vlastní doménou.
Musím mít DMARC na p=reject, abych mohl posílat cold e-maily?
Není to nutná podmínka, ale doporučená cílová hodnota. Bezpečnější je postupný přechod přes p=none a p=quarantine, aby se předešlo blokaci legitimní pošty způsobené neodhalenou chybou v konfiguraci.
Jak zjistím, že SPF, DKIM a DMARC v Google Workspace nebo Office 365 fungují správně?
Nejrychlejší je poslat testovací zprávu přes nástroj typu mail-tester a zkontrolovat hlavičky odchozí pošty, kde jsou vidět výsledky spf=pass, dkim=pass a dmarc=pass. Doplňkově pomáhá Google Postmaster Tools a pravidelné čtení DMARC agregovaných reportů.
Ovlivňuje autentizace i běžnou firemní poštu, nebo jen cold e-maily?
Ovlivňuje celou doménu, protože reputaci si přijímající servery vedou na úrovni domény, ne jednotlivé kampaně. Špatně nastavený DMARC tak může poškodit doručitelnost faktur a odpovědí zákazníkům stejně jako cold outreach.
Chcete to použít ve svém outreachu?
Ukážeme vám, jak to funguje na vašem segmentu a produktu — ještě před zahájením spolupráce.
Promluvme si