Πώς φτιάχνετε ένα DMARC record που πραγματικά προστατεύει το domain σας
Αν στέλνετε cold email σε συγκεκριμένα πρόσωπα εταιρειών, ένα λάθος διαμορφωμένο DMARC record μπορεί να ρίξει τα emails σας στα spam ή, χειρότερα, να επιτρέψει σε άλλους να στείλουν μηνύματα ως εσείς. Αυτός ο οδηγός εξηγεί πώς γράφετε ένα σωστό DMARC record, πώς το ελέγχετε με ένα dmarc record checker και πώς προχωράτε σταδιακά σε αυστηρότερη πολιτική χωρίς να χάσετε νόμιμα emails.
- Το DMARC record είναι ένα TXT record στο _dmarc subdomain, όχι κάτι ξεχωριστό από SPF/DKIM
- Ξεκινάτε πάντα με p=none για παρακολούθηση, ποτέ κατευθείαν με reject
- Ένας καλός dmarc record checker σας δείχνει αν το alignment SPF/DKIM περνάει πραγματικά
- Η μετάβαση σε quarantine και reject πρέπει να βασίζεται σε δεδομένα από reports, όχι σε εικασία
- Για B2B cold outreach, ένα σωστό DMARC είναι προϋπόθεση για να φτάνετε στο inbox, όχι πολυτέλεια
Γιατί χρειάζεστε DMARC records πριν στείλετε cold email
Το DMARC (Domain-based Message Authentication, Reporting and Conformance) είναι το record που λέει στους mail servers των παραληπτών τι να κάνουν όταν ένα email υποστηρίζεται ότι είναι από το domain σας αλλά αποτυγχάνει στους ελέγχους SPF ή DKIM. Χωρίς αυτό, μεγάλοι πάροχοι όπως Gmail και Microsoft βασίζονται σε δικές τους εικασίες — και συνήθως η εικασία είναι συντηρητική, δηλαδή spam folder.
Στο targeted B2B outreach το πρόβλημα είναι πιο έντονο απ' ό,τι στο marketing bulk mail: στέλνετε λίγα emails την ημέρα σε συγκεκριμένα άτομα, αλλά αν το domain σας δεν έχει καθαρό ιστορικό authentication, ακόμη και ένα εξατομικευμένο μήνυμα σε σωστό παραλήπτη μπορεί να μη φτάσει ποτέ. Δεν μιλάμε για το πώς θα «ξεγελάσετε» ένα filter — μιλάμε για το πώς αποδεικνύετε ότι είστε πραγματικά εσείς.
Πώς γράφετε ένα σωστό DMARC record βήμα-βήμα
Το DMARC record είναι ένα TXT DNS record στο host _dmarc.το-domain-σας.gr. Η βασική δομή περιλαμβάνει την έκδοση, την πολιτική, τη διεύθυνση αναφορών και προαιρετικά ποσοστό εφαρμογής.
Πριν γράψετε το record, βεβαιωθείτε ότι έχετε ήδη ενεργά SPF και DKIM — το DMARC δεν αντικαθιστά κανένα από τα δύο, απλώς ορίζει τι γίνεται όταν αποτυγχάνουν.
- v=DMARC1 — υποχρεωτικό, δηλώνει την έκδοση του προτύπου
- p=none — αρχική πολιτική, μόνο παρακολούθηση χωρίς απόρριψη μηνυμάτων
- rua=mailto:dmarc-reports@το-domain-σας.gr — πού στέλνονται τα συγκεντρωτικά reports
- ruf=mailto:dmarc-forensics@το-domain-σας.gr — προαιρετικά, αναλυτικά reports ανά μήνυμα
- pct=100 — ποσοστό μηνυμάτων που εφαρμόζεται η πολιτική (ξεκινάτε στο 100 με p=none, μειώνετε προσωρινά αν δοκιμάζετε αυστηρότερη πολιτική)
- adkim=s / aspf=s — αυστηρό (strict) ή χαλαρό (relaxed) alignment για DKIM και SPF
Ένα τυπικό αρχικό record μοιάζει ως εξής: v=DMARC1; p=none; rua=mailto:dmarc-reports@epicheirisi.gr; pct=100; fo=1 — αυτό απλώς καταγράφει ποιος στέλνει emails ως το domain σας, χωρίς να μπλοκάρει τίποτα, ώστε να δείτε πρώτα τι πραγματικά συμβαίνει.
Έλεγχος με dmarc record checker και dmarc lookup tool
Αφού δημοσιεύσετε το record, ο έλεγχος είναι απαραίτητος πριν προχωρήσετε σε πιο αυστηρή πολιτική. Ένα dmarc record checker ή dmarc lookup tool σας δείχνει αν το DNS record είναι σωστά διαμορφωμένο συντακτικά και αν είναι ορατό από το εξωτερικό δίκτυο — κάτι που δεν είναι πάντα προφανές από το πάνελ διαχείρισης DNS του domain σας.
Ένα καλό spf dkim dmarc record checker ελέγχει και τα τρία records μαζί, γιατί το πρόβλημα συχνά δεν είναι στο DMARC record καθαυτό αλλά στο πώς ευθυγραμμίζεται (aligns) το domain του SPF ή του DKIM signature με το domain στο header From. Εργαλεία όπως το dmarc lookup mxtoolbox είναι δημοφιλή γιατί δείχνουν ξεκάθαρα το αποτέλεσμα alignment, όχι μόνο αν το record υπάρχει.
Αν χρησιμοποιείτε κάποιο dmarc creator tool για να χτίσετε το record οπτικά αντί να το γράψετε με το χέρι, ελέγξτε πάντα το αποτέλεσμα ξανά με ανεξάρτητο dmarc lookup tool πριν το δημοσιεύσετε — μερικά generators βάζουν λάθος syntax στο ruf ή ξεχνούν το ερωτηματικό στο τέλος κάθε παραμέτρου.
Από p=none σε quarantine και reject: πότε και πώς
Η μετάβαση σε αυστηρότερη πολιτική πρέπει να γίνεται σταδιακά, βασισμένη στα aggregate reports που λαμβάνετε στο rua διεύθυνση. Δεν προχωράτε σε reject επειδή περάσαν κάποιες μέρες — προχωράτε όταν τα reports δείχνουν σταθερά ότι το νόμιμο traffic περνάει authentication.
τα διαστήματα είναι ενδεικτικά, από πρακτική targeted B2B campaigns — προσαρμόζονται ανάλογα με τον όγκο και την πολυπλοκότητα των αποστολέων του domain
Αν η εταιρεία σας στέλνει emails μόνο μέσω ενός βασικού SMTP και ενός εργαλείου cold outreach, η διαδικασία είναι σχετικά απλή. Αν όμως έχετε και newsletter platform, και CRM notifications, και transactional emails από τρίτο πάροχο, κάθε ένας πρέπει να περάσει SPF ή DKIM alignment πριν προχωρήσετε σε reject — αλλιώς θα μπλοκάρετε δικά σας νόμιμα μηνύματα.
Συνηθισμένα λάθη στη δημιουργία DMARC record
Τα περισσότερα προβλήματα δεν είναι στο ίδιο το DMARC record αλλά στην προετοιμασία πριν από αυτό.
- Δημοσίευση p=reject απευθείας, χωρίς περίοδο παρακολούθησης με p=none
- Λάθος subdomain — το record πρέπει να είναι στο _dmarc, όχι στο root domain
- Πολλαπλά DMARC records στο ίδιο domain (π.χ. από διαφορετικό πάροχο email security) — μόνο ένα επιτρέπεται
- Αγνόηση subdomains: χωρίς sp= tag, ένα ξεχασμένο subdomain μπορεί να μείνει απροστάτευτο ή να εφαρμοστεί λάθος πολιτική
- Μη έλεγχος alignment mode (adkim/aspf) — το strict alignment απαιτεί ακριβή αντιστοιχία domain, όχι απλώς κοινό οργανισμό
- Μη παρακολούθηση των aggregate reports μετά τη δημοσίευση — το record χωρίς ανάλυση reports είναι άχρηστο
Πώς το χειρίζεται η LDM στις καμπάνιες B2B
Στην LDM, πριν ξεκινήσει οποιαδήποτε targeted B2B καμπάνια, ελέγχουμε πρώτα την κατάσταση authentication του domain αποστολής — SPF, DKIM και DMARC records μαζί, με τα ίδια εργαλεία lookup που θα χρησιμοποιούσε ένας διαχειριστής DNS. Δεν προτείνουμε ποτέ να παρακάμψει κανείς αυτόν τον έλεγχο για να «κερδίσει χρόνο», γιατί η ζημιά σε deliverability από λάθος DMARC διαρκεί βδομάδες να διορθωθεί.
Για πελάτες που ξεκινούν από το μηδέν, προτείνουμε ξεχωριστό subdomain αποστολής (π.χ. mail.εταιρεία.gr) με δικό του DMARC record, ώστε τυχόν πρόβλημα στην αρχική φάση warm-up να μην επηρεάσει το κύριο domain επικοινωνίας της εταιρείας. Αυτό είναι ιδιαίτερα σημαντικό όταν το κύριο domain χρησιμοποιείται και για εσωτερική αλληλογραφία με πελάτες, τιμολόγια ή νομικά έγγραφα — εκεί ένα λάθος reject θα ήταν πολύ πιο ακριβό από μια αργή αρχή σε cold outreach.
Συχνές ερωτήσεις
Ποια είναι η διαφορά μεταξύ SPF, DKIM και DMARC;
Το SPF λέει ποιοι mail servers επιτρέπεται να στέλνουν για λογαριασμό του domain σας. Το DKIM προσθέτει ψηφιακή υπογραφή στο μήνυμα που αποδεικνύει ότι δεν αλλοιώθηκε. Το DMARC ορίζει τι κάνει ο παραλήπτης όταν ένα από τα δύο αποτυγχάνει, και σας στέλνει reports για να παρακολουθείτε την κατάσταση.
Χρειάζομαι πάντα ξεχωριστό dmarc record checker ή αρκεί το generic DNS lookup;
Ένα generic DNS lookup δείχνει μόνο αν το TXT record υπάρχει. Ένα αφιερωμένο dmarc record checker ή dmarc lookup tool ελέγχει επιπλέον το συντακτικό, το alignment με SPF/DKIM και σας προειδοποιεί για συνηθισμένα λάθη πριν αυτά προκαλέσουν πρόβλημα deliverability.
Μπορώ να χρησιμοποιήσω dmarc creator tool αντί να γράψω το record χειροκίνητα;
Ναι, ένα dmarc creator tool βοηθάει να αποφύγετε λάθη syntax, αλλά πάντα επαληθεύστε το αποτέλεσμα με ανεξάρτητο lookup πριν το δημοσιεύσετε στο DNS του domain σας.
Πόσο καιρό πρέπει να μείνω σε p=none πριν προχωρήσω σε quarantine;
Δεν υπάρχει σταθερός αριθμός ημερών — η απόφαση βασίζεται στα aggregate reports. Συνήθως χρειάζονται τουλάχιστον δύο με τέσσερις εβδομάδες δεδομένων ώστε να δείτε σταθερό μοτίβο πριν αυξήσετε την αυστηρότητα.
Τι γίνεται αν χρησιμοποιώ πολλαπλούς παρόχους email (π.χ. cold outreach tool και newsletter platform) στο ίδιο domain;
Κάθε πάροχος πρέπει να έχει σωστό SPF include ή δικό του DKIM selector που να ευθυγραμμίζεται με το domain σας. Ελέγξτε το κάθε ένα ξεχωριστά με spf dkim dmarc record checker πριν προχωρήσετε σε reject, αλλιώς θα μπλοκάρετε νόμιμα μηνύματα από έναν από αυτούς.
Το DMARC καταπολεμά το spam που στέλνω εγώ ή με προστατεύει από άλλους;
Το DMARC δεν κάνει τα δικά σας μηνύματα λιγότερο spam-like από μόνο του — προστατεύει το domain σας από το να το χρησιμοποιούν άλλοι (phishing, spoofing) και βοηθάει τους mail servers να εμπιστεύονται τα πραγματικά σας μηνύματα, κάτι κρίσιμο για targeted B2B outreach όπου η φήμη του domain μετράει περισσότερο από τον όγκο.
Θέλετε να το εφαρμόσετε στο δικό σας outreach;
Σας δείχνουμε πώς λειτουργεί στο δικό σας τμήμα αγοράς και προϊόν — πριν ξεκινήσει η δουλειά.
Ας μιλήσουμε