Jak otestovat SPF, DKIM a DMARC dřív, než spustíte cold outreach
Než odešlete první cold email na konkrétní kontakty ve firmách, poštovní servery si nejdřív ověří, jestli je vaše doména důvěryhodná — a dělají to přes SPF, DKIM a DMARC. Chybějící nebo špatně napsaný DNS záznam znamená, že i naprosto legitimní obchodní nabídka skončí ve spamu nebo se vůbec nedoručí. Tento návod ukazuje, jak si spf dkim dmarc test udělat sami, na co se u každého záznamu zaměřit a jaké chyby vidíme nejčastěji u domén, které se teprve rozjíždí s cíleným outreachem.
- SPF, DKIM a DMARC nejsou volitelné doplňky — bez nich Gmail, Microsoft 365 i Seznam.cz cold email typicky odsunou do spamu nebo ho rovnou odmítnou
- Test se dělá ve třech krocích: syntaxe SPF, platnost DKIM podpisu pro konkrétní selektor, a shoda domény v DMARC alignmentu
- DMARC se zavádí postupně (p=none → quarantine → reject), ne skokem — jinak riskujete, že si zablokujete vlastní legitimní poštu
- Nejčastější chyba není chybějící záznam, ale duplicitní SPF nebo DKIM navázaný jen na hlavní doménu, zatímco outreach jde z subdomény
- Kontrolu je potřeba opakovat po každé změně poskytovatele pošty, ESP nebo CRM napojeného na odesílání
Proč DNS záznamy rozhodují o tom, kam e-mail dorazí
Cold email v B2B stojí a padá na tom, že adresát nabídku vůbec uvidí. Poštovní servery ale dnes vyhodnocují nejen obsah zprávy, ale primárně to, jestli doména, ze které mail přišel, umí prokázat, že má právo tuto poštu odesílat. To dělají přes tři mechanismy — SPF ověřuje, které servery smí za doménu odesílat, DKIM potvrzuje kryptografickým podpisem, že zpráva cestou nebyla pozměněna, a DMARC říká, co se má stát, když SPF nebo DKIM selžou.
Pro cíleného odesílatele, který posílá desítky až stovky personalizovaných zpráv denně na konkrétní kontakty, je správné nastavení DNS záznamů základní hygiena, ne trik na obcházení filtrů. Jde o to vypadat jako to, čím skutečně jste — legitimní firma, která komunikuje z vlastní domény.
Jak provést spf dkim dmarc test krok za krokem
Ruční kontrolu zvládnete přes příkaz dig nebo nslookup na TXT záznamy domény, ale rychlejší je použít online spf dkim dmarc record checker, který vám rovnou ukáže syntaktické chyby a nevalidní hodnoty. Kombinace obou přístupů — manuální dig a automatizovaný nástroj — dá nejspolehlivější obrázek.
- Ověřte SPF záznam: musí existovat právě jeden TXT záznam začínající v=spf1 a nesmí obsahovat víc než deset DNS vyhledávání (include, a, mx, ptr) — nad tento limit SPF selže bez ohledu na obsah
- Zkontrolujte DKIM selektor: doména musí mít TXT záznam ve tvaru selektor._domainkey.vasedomena.cz s platným veřejným klíčem, který odpovídá klíči nastavenému u odesílající platformy
- Ověřte DMARC politiku: TXT záznam _dmarc.vasedomena.cz musí obsahovat platnou hodnotu p= (none, quarantine nebo reject) a adresu pro agregované reporty rua=
- Projděte MX záznamy přes mx spf dkim dmarc checker, aby souhlasilo, že doména skutečně přijímá i odesílá poštu tak, jak SPF a DMARC deklarují
- Otestujte reálným odesláním na testovací schránku (Gmail, Outlook) a zkontrolujte hlavičky Authentication-Results — tam uvidíte, jestli SPF, DKIM i DMARC prošly jako pass
DKIM: na co se zaměřit při kontrole podpisu
DKIM se nejčastěji láme na dvou místech. Za prvé — selektor musí přesně odpovídat tomu, co používá vaše odesílací platforma nebo CRM; pokud změníte poskytovatele a nezaktualizujete DNS, staré podpisy budou selhávat tiše, bez varování. Za druhé — pokud odesíláte z subdomény vyhrazené pro cold outreach (což u cílených kampaní doporučujeme kvůli oddělení reputace od hlavní firemní pošty), musí mít DKIM nastavený i tato subdoména, ne jen kořenová doména.
Doporučená délka klíče je 2048 bitů; kratší 1024bitové klíče už řada poskytovatelů považuje za slabé a některé filtry jim dávají nižší důvěru. Klíč je vhodné rotovat jednou za šest až dvanáct měsíců.
Jak autentizace ovlivňuje doručitelnost — reálná čísla z B2B kampaní
Rozdíl mezi doménou bez autentizace a doménou se správně nastaveným SPF, DKIM i DMARC je v praxi cílených B2B kampaní citelný už v prvních dnech odesílání. Nejde jen o to, jestli e-mail skončí ve spamu — bez DKIM a DMARC mají i legitimní zprávy tendenci mizet bez doručenky, protože poskytovatel je potichu zahodí.
Čísla jsou orientační, z praxe cílených B2B kampaní na doménách po řádném warmupu.
Nejčastější chyby při nastavení a testování
Většina problémů, které vidíme u domén před spuštěním outreachu, se opakuje. Stojí za to je projít ještě před prvním odesláním, ne až po prvním propadu doručitelnosti.
- Dva SPF záznamy na jedné doméně místo jednoho sloučeného — DNS specifikace povoluje jen jeden, druhý zápis SPF rovnou zneplatní
- SPF přesahující deset DNS vyhledávání kvůli nahromaděným include direktivám od starých marketingových nástrojů
- DKIM nastavený jen pro hlavní doménu, zatímco cold outreach běží ze subdomény typu mail.vasedomena.cz
- Rovnou nastavené p=reject u DMARC bez předchozího monitoringu — legitimní pošta z jiných systémů (fakturace, helpdesk) může spadnout mimo alignment a začne se odmítat
- Zapomenutá kontrola po migraci na nový ESP nebo CRM — DKIM klíč se změní, ale DNS záznam zůstane starý
- Testování jen přes jeden nástroj — různé spf dkim dmarc check tool služby mají odlišnou citlivost na drobné syntaktické chyby, proto je dobré ověřit výsledek dvěma nezávislými zdroji
Bezpečný přechod na přísnější DMARC politiku
DMARC se nezavádí skokem na reject. Rozumný postup je začít na p=none, sledovat agregované reporty dva až čtyři týdny, opravit všechny zdroje pošty, které v alignmentu selhávají, a teprve pak politiku postupně zpřísňovat.
Čísla jsou orientační, z praxe cílených B2B kampaní; skutečná rychlost přechodu závisí na počtu odesílacích zdrojů dané domény.
Jak kontrolu DNS záznamů děláme v LDM
Před spuštěním jakékoli cílené kampaně v LDM projedeme doménu klienta stejným postupem, jaký popisujeme výše — kombinací manuálního dig dotazu a alespoň dvou nezávislých nástrojů typu domain spf dkim dmarc checker, abychom zachytili i drobné syntaktické chyby, které jeden nástroj přehlédne. Pro odesílání vždy doporučujeme vyhrazenou subdomému oddělenou od hlavní firemní pošty (např. outreach.vasefirma.cz místo vasefirma.cz), protože chrání reputaci hlavní domény a zjednodušuje rollback, pokud by se něco pokazilo.
Firma jako Novák Consulting s.r.o., která teprve rozjíždí cílený outreach, by tak měla mít samostatně nastavené SPF, DKIM i DMARC pro subdoménu obchod.novak-consulting.cz, s p=none na první dva týdny a přechodem na quarantine až po ověření, že všechny legitimní zdroje procházejí alignmentem.
- SPF: jeden záznam, do deseti DNS vyhledávání, obsahuje mechanismus odesílací platformy
- DKIM: platný veřejný klíč min. 2048 bitů, selektor odpovídá aktivní platformě
- DMARC: existuje politika p=, nastavená adresa pro rua reporty, postupné zpřísňování
- MX záznamy odpovídají deklarovanému nastavení SPF a DMARC
- Testovací odeslání do Gmailu a Outlooku potvrzuje pass ve všech třech mechanismech
Časté dotazy
Jak často mám spf dkim dmarc test opakovat?
Před spuštěním nové kampaně vždy, a dál po každé změně ESP, CRM nebo přidání nové odesílací subdomény. Doporučujeme i pravidelnou kontrolu jednou za čtvrt roku, protože DNS záznamy se s časem hromadí a přestávají odpovídat realitě.
Stačí mít jen SPF, nebo potřebuji i DKIM a DMARC?
Samotné SPF dnes u velkých poskytovatelů schránek na spolehlivé doručení nestačí. DKIM potvrzuje integritu zprávy a DMARC říká, co se stane, když ani jeden z mechanismů neprojde — bez DMARC navíc nedostáváte reporty, takže o problémech s SPF nebo DKIM ani nevíte.
Co dělat, když spf dkim dmarc record checker hlásí chybu 'too many DNS lookups'?
Projděte include direktivy v SPF a odstraňte ty, které patří k nástrojům, jež už nepoužíváte. Pokud potřebujete zachovat víc zdrojů, zvažte sloučení do jednoho SPF subrecordu (tzv. SPF flattening), ale dělejte to opatrně a záznam po každé úpravě znovu otestujte.
Musím mít DMARC rovnou nastavený na p=reject?
Ne, a nedoporučujeme to. Začněte na p=none, sledujte agregované reporty, opravte všechny legitimní zdroje pošty, které v alignmentu selhávají, a teprve pak přejděte na quarantine a nakonec reject.
Ovlivňuje MX záznam výsledek spf dkim dmarc test?
MX záznam přímo neovlivňuje výsledek SPF, DKIM ani DMARC, ale nesoulad mezi MX a autentizačními záznamy bývá signálem špatně spravované domény. Mx spf dkim dmarc checker vám ukáže, jestli doména přijímá poštu na serverech, které odpovídají deklarovanému nastavení.
Můžu použít stejné DNS nastavení pro hlavní doménu i pro cold outreach subdoménu?
Technicky ano, ale nedoporučujeme to. Vyhrazená subdoména se samostatným SPF, DKIM a DMARC izoluje reputaci outreach provozu od hlavní firemní pošty, takže případný propad doručitelnosti neohrozí faktury ani interní komunikaci.
Chcete to použít ve svém outreachu?
Ukážeme vám, jak to funguje na vašem segmentu a produktu — ještě před zahájením spolupráce.
Promluvme si