Live Direct Marketing
PočetnaBlogIsporučivost

SPF, DKIM i DMARC objašnjeni: DNS zapisi koje treba postaviti prije prvog cold emaila

12. srpnja 2026. · 9 min čitanja · Vodič: Isporučivost

Prije nego što se piše prvi red teksta za cold email kampanju, domena mora proći tehničku provjeru koju Gmail i Outlook rade automatski i nemilosrdno. SPF, DKIM i DMARC nisu opcionalni dodaci nego minimalni preduvjet da poruka uopće stigne u primary inbox, a ne u spam ili — gore — da se odbije na SMTP razini. Ovaj vodič objašnjava svaki protokol zasebno, s konkretnim DNS zapisima i redoslijedom postavljanja za Google Workspace i druge providere.

Ukratko
  • SPF, DKIM i DMARC su tri odvojena DNS zapisa koja zajedno dokazuju da je pošiljatelj legitiman
  • Bez sva tri zapisa Gmail od veljače 2024. jednostavno odbija poštu ako se šalje više od pragova za bulk pošiljatelje
  • DMARC treba krenuti s policy=none radi praćenja, a tek nakon 2-3 tjedna prijeći na quarantine
  • Za B2B cold email na vlastitoj domeni preporučuje se posebna poddomena za slanje, odvojena od glavne korporativne domene
  • Besplatni spf dkim dmarc checker alati (MXToolbox, dmarcian) pokazuju grešku za par minuta

Zašto je autentifikacija preduvjet za bilo kakav targetirani B2B email

Kad prodajni tim šalje deset do pedeset personaliziranih emailova dnevno konkretnim osobama u konkretnim tvrtkama, čini se da se radi o maloj, bezopasnoj količini pošte. No mail serveri primatelja — Google, Microsoft, korporativni Exchange sustavi — ne gledaju samo volumen. Gledaju je li domena pošiljatelja kriptografski potvrdila da poruka doista dolazi odatle odakle tvrdi da dolazi.

SPF, DKIM i DMARC su tri odvojena DNS zapisa koji zajedno čine tu potvrdu. Svaki rješava drugi dio problema: SPF kaže koji su serveri ovlašteni slati u ime domene, DKIM digitalnim potpisom dokazuje da sadržaj poruke nije mijenjan u prolazu, a DMARC govori primatelju što učiniti ako se SPF ili DKIM ne poklapaju te šalje izvještaje vlasniku domene.

Bez ovoga, čak i savršeno napisan, ručno personaliziran email ima veliku šansu završiti u spamu jer mail server jednostavno ne može dokazati da nije lažiran (spoofed). Za B2B agencije i tvrtke koje grade vlastiti sales pipeline preko cold outreacha, ovo je prvi tehnički korak, prije bilo kakvog copywritinga.

SPF: koji serveri smiju slati u ime domene

SPF (Sender Policy Framework) je TXT zapis u DNS-u koji nabraja sve servere i servise ovlaštene slati poštu s te domene. Kad primateljev server primi poruku, provjeri IP adresu pošiljatelja protiv SPF zapisa domene navedene u envelope-from adresi.

Tipičan SPF zapis za tvrtku koja koristi Google Workspace i eventualno dodatni alat za slanje cold emaila izgleda ovako: v=spf1 include:_spf.google.com include:sendgrid.net ~all. Mehanizam include: povlači dopuštene IP raspone iz vanjskog servisa, a ~all na kraju znači soft fail — pošta koja ne prolazi provjeru se označava kao sumnjiva, ali ne odbija automatski.

DKIM: digitalni potpis koji dokazuje integritet poruke

DKIM (DomainKeys Identified Mail) dodaje kriptografski potpis u zaglavlje svake poruke. Javni ključ za provjeru tog potpisa objavljuje se kao TXT zapis u DNS-u, dok privatni ključ ostaje na strani servera koji šalje poštu i njime se potpisuje svaka odlazna poruka.

U Google Workspace administratorskoj konzoli DKIM se generira pod Apps → Google Workspace → Gmail → Authenticate email. Sustav ponudi 2048-bitni ključ koji treba upisati kao TXT zapis, obično na hostname oblika google._domainkey.tvrtka.hr. Aktivacija traje do 48 sati zbog propagacije DNS-a.

Za alate koji šalju cold email izvan Google Workspacea (specijalizirane platforme za outreach, SMTP relay servise), svaki takav servis generira vlastiti DKIM selector i ključ — potrebno ih je zasebno dodati u DNS, jer jedna domena može imati više DKIM zapisa s različitim selectorima istovremeno.

DMARC: politika i izvještavanje

DMARC (Domain-based Message Authentication, Reporting and Conformance) povezuje SPF i DKIM te određuje što primatelj treba učiniti kad poruka ne prođe ni jednu ni drugu provjeru. Osnovni zapis izgleda ovako: v=DMARC1; p=none; rua=mailto:dmarc-reports@tvrtka.hr; pct=100.

Preporučeni redoslijed uvođenja je postupan. Prvi tjedan do dva postavlja se p=none — DMARC samo prikuplja izvještaje (agregatne XML datoteke koje stižu dnevno na navedeni mail) bez utjecaja na dostavu. To je faza u kojoj se otkriva jesu li svi legitimni serveri ispravno pokriveni SPF-om i DKIM-om, uključujući zaboravljene servise poput fakturiranja ili newslettera.

Kad izvještaji pokažu da sva legitimna pošta prolazi provjeru, prelazi se na p=quarantine (sumnjiva pošta ide u spam primatelja) i na kraju, za domene koje aktivno šalju veći volumen, na p=reject — poruke koje ne prođu provjeru se u potpunosti odbijaju prije nego stignu do inboxa primatelja.

Primjer

Primjer minimalnog DMARC zapisa za domenu koja tek počinje: v=DMARC1; p=none; rua=mailto:dmarc@tvrtka.hr; ruf=mailto:dmarc-forensic@tvrtka.hr; fo=1 — ruf i fo=1 dodatno traže detaljne forenzičke izvještaje za svaki neuspjeli pokušaj autentifikacije.

Google Workspace setup korak po korak i najčešće greške

Za tvrtku koja koristi Google Workspace kao primarni mail servis, redoslijed je: prvo SPF (jedan TXT zapis s include:_spf.google.com), zatim DKIM generiran kroz admin konzolu s aktivacijom nakon propagacije, na kraju DMARC koji se dodaje tek kad su prva dva potvrđeno ispravna. Provjera se radi kroz besplatan spf dkim dmarc checker poput MXToolboxa ili dmarciana, koji za nekoliko sekundi pokažu je li svaki zapis sintaktički ispravan i vidljiv iz javnog DNS-a.

Najčešća greška je postavljanje DMARC zapisa prije nego što je DKIM potvrđeno aktivan — u tom slučaju sva pošta odmah dobiva DMARC fail jer nedostaje potpis, čak i ako je sadržaj i SPF ispravan. Druga česta greška je slanje cold emaila s iste domene koja se koristi za internu korporativnu komunikaciju i fakturiranje; ako outreach kampanja izazove pritužbe ili visok bounce rate, to može degradirati reputaciju cijele domene, uključujući račune, ugovore i internu poštu.

Kako LDM pristupa autentifikaciji za klijentske kampanje

Kod pokretanja targetirane B2B kampanje LDM prvo provjerava postojeće DNS zapise klijentske domene kroz spf dkim dmarc checker i tek nakon potvrde da su SPF, DKIM i DMARC ispravno postavljeni, pokreće slanje. Za klijente koji nemaju iskustva s time, priprema se posebna poddomena za outreach s vlastitim SPF, DKIM i DMARC zapisima, čime se štiti reputacija glavne domene dok se nova poddomena postupno zagrijava (warm-up) malim dnevnim volumenima.

Ovaj pristup je suprotan logici masovnog slanja — cilj nije zaobići spam filtere nego dokazati mail serverima primatelja da poruka dolazi od legitimnog pošiljatelja koji poštuje standarde. Rezultat je predvidljiva dostava u primary inbox, praćena u CRM-u zajedno s odgovorima, umjesto nagađanja zašto kampanja odjednom prestaje generirati odgovore.

Česta pitanja

Što znači spf dkim dmarc full form?

SPF je Sender Policy Framework, DKIM je DomainKeys Identified Mail, a DMARC je Domain-based Message Authentication, Reporting and Conformance. Sva tri su DNS-bazirani standardi za autentifikaciju emaila koji zajedno sprječavaju spoofing i poboljšavaju dostavljivost.

Je li dovoljno postaviti samo SPF, bez DKIM i DMARC?

Nije. SPF sam po sebi ne štiti od spoofinga na razini pojedinačne poruke i ne prolazi provjeru kod primatelja koji zahtijevaju DMARC alignment. Za B2B cold email na vlastitoj domeni potrebna su sva tri zapisa zajedno.

Koliko dugo traje da SPF, DKIM i DMARC počnu djelovati nakon postavljanja?

DNS propagacija obično traje od nekoliko minuta do 48 sati, ovisno o TTL vrijednosti zapisa i provideru. DMARC izvještaji počinju stizati tek 24-48 sati nakon aktivacije, jer se agregiraju dnevno kod primateljskih servera.

Treba li koristiti glavnu domenu tvrtke za cold email kampanje?

Ne preporučuje se. Bolja praksa je posebna poddomena namijenjena isključivo za outreach, sa svojim SPF, DKIM i DMARC zapisima, kako eventualni problemi s dostavom ili reputacijom ne bi utjecali na internu poštu i fakturiranje na glavnoj domeni.

Kako provjeriti jesu li SPF, DKIM i DMARC ispravno postavljeni?

Besplatni spf dkim dmarc checker alati poput MXToolboxa ili dmarciana provjeravaju sintaksu i vidljivost svakog zapisa u javnom DNS-u za nekoliko sekundi. Dodatno, slanje testne poruke na servis poput mail-testera pokazuje stvarni ishod autentifikacije iz perspektive primatelja.

Zašto Gmail odbija poštu iako SPF i DKIM izgledaju ispravno?

Najčešći razlog je nedostatak DMARC alignmenta — SPF ili DKIM domena se ne poklapa točno s domenom u From zaglavlju, ili DMARC zapis uopće ne postoji. Google od 2024. zahtijeva sva tri elementa usklađena za pošiljatelje koji prelaze određene dnevne pragove.

Važno: ovo nije masovno slanje niti spam. Radimo ciljano: svaka poruka upućena je određenom predstavniku određene tvrtke iz legitimnog poslovnog razloga, šalje se u malim dnevnim količinama i personalizirana je za primatelja. Svaki email navodi pošiljatelja i sadrži odjavu jednim klikom; odjave i stop-liste vrijede za sve buduće kampanje bez iznimke.

Želite li ovo primijeniti u svom outreachu?

Pokazat ćemo vam kako to funkcionira na vašem segmentu i proizvodu — prije početka rada.

Razgovarajmo