Így véd a SPF, DKIM és DMARC a céges emailjeid a spam mappától
Ha egy SDR csapat személyre szabott levelet küld egy konkrét beszerzési vezetőnek, a tartalom tökéletessége mit sem ér, ha a levél a spam mappában landol. Ez a cikk elmagyarázza, mit jelent az SPF, a DKIM és a DMARC, hogyan fut egy spf dkim dmarc check, és milyen lépésekkel kerülhető el, hogy a domain hitelesítés hiánya miatt vesszen el a válasz.
- Az SPF, DKIM és DMARC együtt döntik el, hogy egy cold email inboxba vagy spam mappába kerül-e, függetlenül a tartalom minőségétől.
- A DMARC csak akkor működik, ha az SPF vagy a DKIM (vagy mindkettő) illeszkedik a látható feladó domainhez - ezt hívják alignmentnek.
- A hitelesítés bevezetését mindig p=none monitoring móddal kell kezdeni, nem azonnali p=reject-tel.
- Célzott cold email küldéséhez érdemes külön aldomaint használni, hogy a fő céges domain reputációja védve legyen.
- Egy rendszeres spf dkim dmarc check néhány perc, de hetekkel gyorsabbá teheti egy kampány beindulását.
Miért dől el a hitelesítésen a célzott B2B cold email sorsa
Amikor egy SDR csapat naponta húsz-harminc, gondosan személyre szabott levelet küld meghatározott döntéshozóknak, könnyű azt hinni, hogy csak a szövegen és az időzítésen múlik a siker. A valóságban azonban a Google Workspace és a Microsoft 365 postafiókok algoritmusai már a levél megnyitása előtt eldöntik a sorsát, mégpedig a küldő domain technikai hitelessége alapján.
Ha egy magyarországi gyártó cég beszerzési vezetőjének szánt, tökéletesen megírt ajánlat SPF, DKIM vagy DMARC hiba miatt landol a spam mappában, a kampány gyakorlatilag láthatatlan marad - a címzett soha nem is tudja meg, hogy levelet kapott. Ez a probléma nem a spamszűrők túlzott szigorúságából fakad, hanem abból, hogy a hitelesítés nélküli domain megkülönböztethetetlen egy visszaélésre használt domaintől.
A spf dkim dmarc hármas pontosan ezt a bizalmi hiányt hidalja át: bizonyítja a fogadó szervernek, hogy a levél valóban attól jött, akitől állítja, és útközben nem manipulálták.
SPF, DKIM, DMARC — mi micsoda pontosan
Mielőtt a beállításokba mennénk, érdemes tisztázni mindhárom rövidítés full form-ját, vagyis a teljes angol nevét, mert ez önmagában is sokat elárul a működésükről. Az SPF (Sender Policy Framework) egy DNS TXT rekord, amely felsorolja, mely szerverek vagy szolgáltatók jogosultak emailt küldeni a domain nevében. Amikor egy fogadó szerver levelet kap, megnézi, hogy a küldő IP szerepel-e ezen a listán - ha nem, gyanúsnak minősíti az emailt.
A DKIM (DomainKeys Identified Mail) egy kriptográfiai aláírás, amelyet minden kimenő levélhez hozzáad a küldő rendszer. Ez bizonyítja, hogy a levél tartalma útközben nem változott, és valóban az adott domain privát kulcsával lett aláírva.
A DMARC (Domain-based Message Authentication, Reporting and Conformance) köti össze az előző kettőt: megmondja a fogadó szervernek, mit tegyen, ha az SPF vagy a DKIM ellenőrzés elbukik a látható feladó domainen (ezt hívják alignmentnek), és emellett napi riportokat küld a domain tulajdonosának a visszaélési kísérletekről.
- SPF = ki küldhet a domain nevében (engedélyezett IP-lista)
- DKIM = a levél valóban a domaintől jött-e, és nem módosították-e útközben (aláírás)
- DMARC = mit tegyen a fogadó, ha az SPF/DKIM ellenőrzés elbukik, plusz napi riportolás
Hogyan futtass spf dkim dmarc check-et és állítsd be helyesen
Az ellenőrzést egy egyszerű DNS lekérdezéssel kezdjük: nézzük meg, van-e már SPF TXT rekord a domainen, és ha igen, csak egy darab van-e - két SPF rekord egyszerre érvényteleníti mindkettőt. Utána jön a DKIM: minden email szolgáltatónak (ESP-nek) saját selectora és nyilvános kulcsa van, ezt kell TXT rekordként publikálni a megfelelő aldomain alatt.
A DMARC bevezetését mindig p=none móddal érdemes kezdeni: ez csak megfigyel és riportot küld, de semmit nem blokkol. Két-négy hét monitorozás után, ha a riportok tiszták, léphetünk p=quarantine-ra, majd - ha minden legitim küldő forrás rendben authentikál - p=reject-re.
A számok tájékoztató jellegűek, célzott B2B cold email kampányok gyakorlati tapasztalatai alapján.
Egy induló SPF rekord így néz ki szövegesen: a domain TXT rekordjában szerepel a 'v=spf1' jelölő, utána az ESP által megadott include érték, a végén pedig a '-all' vagy '~all' szigorítás; a DMARC rekord kezdetben csak a policy=none beállítást és a riportok fogadására szolgáló email címet tartalmazza.
Benchmark tartományok teljesen hitelesített domainnél
Ha a spf dmarc dkim hármas rendben be van állítva, a célzott, kis volumenű B2B cold email kampányok jellemzően stabil mutatókat produkálnak - természetesen a lista minőségétől és a személyre szabás mélységétől is függően.
A tartományok tájékoztató jellegűek, célzott B2B kampányok gyakorlatából, nem laboratóriumi mérésből származnak.
Tipikus hibák, amik miatt a hitelesítés mégsem véd meg
- Két SPF rekord ugyanazon a domainen - a szabvány szerint csak egy engedélyezett, minden más érvénytelen
- Tíznél több DNS lookupot igénylő SPF include-lánc, amit a fogadó szerver egyszerűen eldob
- DKIM selector elgépelése vagy lejárt kulcs ESP-váltás után, ami csendben megszünteti az aláírást
- DMARC azonnali p=reject-re állítása monitoring nélkül, ami legitim leveleket is eldob
- Cold email küldése a fő céges domainről aldomain helyett, ami kockáztatja a teljes vállalat email reputációját
Checklist, és hogyan kezeli ezt az LDM a gyakorlatban
Az LDM célzott B2B kampányoknál mindig külön küldő aldomaint használ a fő céges domain helyett, hogy egy esetleges reputációs probléma soha ne érintse a vállalat elsődleges email címeit. Minden ügyfél saját DKIM kulcsot kap, a DMARC szigorítását pedig fokozatosan, a riportok folyamatos figyelése mellett vezetjük be.
- Egy SPF rekord domainenként, tíz alatti DNS lookup számmal
- Érvényes DKIM kulcs minden aktív küldő szolgáltatáshoz
- DMARC p=none legalább két hétig, majd fokozatos szigorítás
- Külön aldomain a cold email forgalomhoz
- Heti szintű DMARC riport (RUA) áttekintés
Gyakori kérdések
Mennyi idő alatt lép érvénybe egy új SPF, DKIM vagy DMARC rekord?
A DNS változások jellemzően néhány órán belül terjednek el, de a TTL beállítástól függően akár 24-48 óra is eltelhet, mire minden fogadó szerver a friss rekordot látja. Éppen ezért egy spf dkim dmarc check-et mindig 24-48 óra várakozás után érdemes megismételni, nem közvetlenül a mentés után.
Szükség van DMARC-ra akkor is, ha csak napi húsz-harminc emailt küldünk célzottan?
Igen, a mennyiség nem befolyásolja, hogy a Google vagy a Microsoft ellenőrzi-e a hitelesítést - minden egyes levélnél lefut a vizsgálat, függetlenül attól, hogy tíz vagy tízezer megy ki naponta. Kis volumenű, célzott kampányoknál a hitelesítés hiánya arányaiban még nagyobb kárt okoz, mert egyetlen elveszett válasz is számottevő üzleti veszteség.
Mi az az SPF/DKIM alignment a DMARC-ban, és miért fontos?
Az alignment azt jelenti, hogy a technikailag ellenőrzött SPF vagy DKIM domain megegyezik-e a levélben látható feladó domainnel. Ha a technikai küldő domain eltér a látható From címtől, a DMARC elbukik, még akkor is, ha az SPF vagy a DKIM önmagában rendben van.
Használhatjuk ugyanazt a domaint a cold emailhez és a mindennapi céges levelezéshez?
Technikailag lehetséges, de nem ajánlott: ha a cold email forgalom miatt romlik a domain reputációja, az a számlázási és ügyfélszolgálati leveleket is eléri. Érdemesebb egy külön, sales célú aldomaint dedikálni a kimenő kampányoknak, saját SPF, DKIM és DMARC beállításokkal.
Mi történik, ha a DMARC p=reject van beállítva, és egy legitim levél elbukik az ellenőrzésen?
A fogadó szerver egyszerűen eldobja a levelet, a küldő pedig legtöbbször semmilyen értesítést nem kap erről - a levél csendben eltűnik. Ezért kell a p=reject előtt hetekig p=none és p=quarantine módban figyelni a riportokat, hogy minden legitim küldő forrás biztosan authentikáljon, mielőtt bekapcsoljuk a teljes elutasítást.
Alkalmazná ezt a saját outreach-folyamatában?
A munka megkezdése előtt megmutatjuk, hogyan működik ez az Ön szegmensénél és termékénél.
Beszéljünk