Ako nastaviť SPF, DKIM a DMARC pre Microsoft 365 a Google Workspace pred cold outreachom
Skôr než odošlete prvý cold email konkrétnemu nákupcovi alebo majiteľovi firmy, poštové servery Microsoft a Google si overia, či vaša doména vôbec smie posielať poštu. Bez správne nastavených SPF, DKIM a DMARC záznamov sa aj perfektne personalizovaná správa môže zaradiť medzi hromadnú poštu alebo skončiť rovno v spame. Tento návod ukazuje krok za krokom, ako záznamy nastaviť v Microsoft 365 aj Google Workspace a ako ich pred spustením kampane overiť.
- SPF, DKIM a DMARC sú tri samostatné, ale vzájomne prepojené záznamy — chýbajúci jeden z nich oslabuje ochranu ostatných.
- Doména smie mať iba jeden SPF záznam — pri kombinácii Microsoft 365, Google Workspace a nástroja na cold outreach ho treba zlúčiť, nie duplikovať.
- DMARC sa vždy zavádza postupne: najprv p=none na monitoring, potom p=quarantine a až po týždňoch bez problémov p=reject.
- Cold outreach patrí na samostatnú, zahriatu subdoménu, nie na hlavnú firemnú doménu — chráni to reputáciu, na ktorej stoja faktúry a interná pošta.
- Overenie funkčnosti pred spustením kampane (testovací email + SPF DKIM DMARC checker) ušetrí prvé dni warm-upu, ktoré sú pre reputáciu najkritickejšie.
Prečo cold outreach bez autentifikácie skončí v spame
Microsoft a Google dnes vyhodnocujú každý prichádzajúci email podľa troch technických signálov, ktoré nemajú nič spoločné s obsahom správy: či doména odosielateľa smie posielať poštu zo servera, z ktorého mail prišiel (SPF), či má správa platný kryptografický podpis (DKIM) a či sa tieto dva signály zhodujú s doménou v poli Od (DMARC). Pri chýbajúcej alebo nesprávnej konfigurácii sa email nemusí zamietnuť úplne, ale poštový server mu prisúdi nižšie skóre dôveryhodnosti — a to je presne to, čo pri cielenom B2B outreachu nechcete, keď posielate desiatky personalizovaných správ konkrétnym ľuďom vo firmách.
Rozdiel oproti hromadnému mailingu je v tom, že cold outreach sa spolieha na to, že email vyzerá ako bežná firemná korešpondencia — jeden odosielateľ, jeden konkrétny adresát, prirodzený tón. Ak však doména nemá funkčné SPF, DKIM a DMARC, aj takáto legitímna správa pôsobí technicky podozrivo a filtre ju vyhodnotia rovnako prísne ako masový spam. Nastavenie autentifikačných záznamov preto nie je otázka „ako obísť spamový filter“, ale základná hygiena, ktorú očakáva každý serióznejší mailový server.
SPF: povolenie odosielajúcich serverov v Microsoft 365 a Google Workspace
SPF (Sender Policy Framework) je TXT záznam v DNS, ktorý vymenúva servery smiace posielať poštu za vašu doménu. Pre Microsoft 365 má základný tvar „v=spf1 include:spf.protection.outlook.com -all“, pre Google Workspace „v=spf1 include:_spf.google.com ~all“. Ak firma používa oba systémy súčasne alebo pridáva ďalší nástroj na odosielanie (napríklad platformu na cold outreach), tieto includy sa musia zlúčiť do jedného spoločného záznamu — doména smie mať len jeden SPF TXT záznam, dva paralelné záznamy SPF prakticky rozbijú.
Dôležitý je aj limit desiatich DNS vyhľadávaní (lookupov) v rámci jedného SPF reťazca — každý ďalší include, ktorý firma pridá bez kontroly, tento limit približuje a po jeho prekročení SPF prestane fungovať pre celý reťazec, nielen pre posledný pridaný nástroj. Mechanizmus na konci záznamu (-all pre prísne zamietnutie, ~all pre mäkké zlyhanie) sa volí podľa toho, ako veľmi je firma pripravená riskovať dočasné falošné zamietnutia počas prechodného obdobia.
- Skontrolujte existujúci SPF záznam cez dig txt vasadomena.sk alebo nástroj typu SPF DKIM DMARC checker skôr, než pridáte nový include.
- Pri implementácii SPF, DKIM a DMARC na Microsoft 365 pridajte include:spf.protection.outlook.com do existujúceho záznamu, nevytvárajte nový TXT.
- Pri Google Workspace SPF DKIM DMARC setupe použite include:_spf.google.com a overte, že v doméne nie je duplicitný starší SPF záznam po migrácii z iného poskytovateľa.
DKIM: digitálny podpis, ktorý potvrdzuje pravosť odosielateľa
DKIM pridáva ku každej odchádzajúcej správe kryptografický podpis, ktorý si prijímajúci server overí voči verejnému kľúču publikovanému v DNS. V Microsoft 365 sa DKIM aktivuje v Exchange Admin Center (alebo v Microsoft Defender portáli) v sekcii Policies & rules → Threat policies → DKIM. Systém pre danú doménu vygeneruje dva CNAME záznamy (selector1._domainkey a selector2._domainkey), ktoré treba pridať do DNS, a až potom sa v rozhraní prepne prepínač podpisovania na Enabled — bez tohto posledného kroku CNAME záznamy samotné nič nerobia.
V Google Workspace sa DKIM nastavuje v Admin Console → Apps → Google Workspace → Gmail → Authenticate email. Odporúča sa zvoliť dĺžku kľúča 2048 bitov namiesto staršej 1024-bitovej voľby, ponechať predvolený selektor google a vygenerovaný TXT záznam google._domainkey.vasadomena.sk publikovať v DNS. Aktiváciu treba potvrdiť tlačidlom Start authentication až po tom, čo sa záznam v DNS reálne rozšíri — zvyčajne v priebehu niekoľkých hodín, výnimočne do jedného dňa.
DMARC: politika a postupný prechod na p=reject
DMARC záznam sa publikuje ako TXT na _dmarc.vasadomena.sk a hovorí prijímajúcim serverom, ako naložiť s poštou, ktorá neprejde zarovnaním SPF alebo DKIM s doménou v poli Od. Základný štartovací záznam vyzerá takto: „v=DMARC1; p=none; rua=mailto:dmarc-reports@vasadomena.sk; pct=100“. Politika p=none v prvej fáze nič neblokuje, iba zbiera agregované reporty od Google, Microsoftu a ďalších prijímačov — vďaka nim uvidíte, ktoré servery za vašu doménu skutočne posielajú poštu, vrátane tých, na ktoré ste možno zabudli (fakturačný systém, HR nástroj, ERP).
Po dvoch až štyroch týždňoch monitoringu bez neočakávaných zlyhaní sa politika sprísni na p=quarantine (podozrivá pošta ide do spamu) a nakoniec na p=reject, kde sa nezarovnaná pošta priamo odmieta. Skákanie rovno na p=reject bez monitorovacej fázy je najčastejšia príčina toho, že firma náhle prestane dostávať vlastné faktúry alebo notifikácie zo softvéru — presne to, čomu má postupný prechod predchádzať.
Overenie záznamov a reálny dopad na doručiteľnosť
Pred spustením kampane treba záznamy fakticky overiť, nielen predpokladať, že DNS zmeny fungujú. Najrýchlejší test je poslať email na bežnú Gmail schránku, otvoriť ho a v menu zvoliť Zobraziť originál (Show original) — pri správne nastavenej doméne uvidíte SPF: PASS, DKIM: PASS aj DMARC: PASS pri hlavičke. Doplnkovo sa oplatí použiť verejný SPF DKIM DMARC checker (napríklad MXToolbox alebo obdobný nástroj), ktorý overí syntax záznamov, počet DNS lookupov v SPF a platnosť DKIM kľúča bez čakania na doručenie reálneho testovacieho emailu.
Rozdiel v doručiteľnosti medzi neautentifikovanou a plne autentifikovanou doménou je pri cielenom B2B cold outreachu citeľný už v prvých dňoch warm-upu. Nasledujúce čísla vychádzajú z praxe kampaní s malými dennými objemami a vysokou mierou personalizácie, nie z formálnej štúdie.
Čísla sú orientačné, z praxe cielených B2B kampaní s malými dennými objemami, nie z formálnej štúdie.
Najčastejšie chyby pri nastavovaní SPF, DKIM a DMARC
Väčšina problémov s doručiteľnosťou pri cold outreachu nemá pôvod v obsahu emailu, ale v drobných chybách v DNS, ktoré sa dlho nikto neujal opraviť.
- Dva samostatné SPF TXT záznamy namiesto jedného zlúčeného — druhý sa jednoducho ignoruje alebo SPF zlyhá úplne.
- Publikovanie DKIM CNAME záznamov v Microsoft 365 bez prepnutia podpisovania na Enabled v Exchange Admin Center.
- Prechod rovno na p=reject v DMARC bez fázy monitoringu p=none, čo zablokuje aj legitímnu internú poštu.
- Odosielanie cold outreachu z hlavnej firemnej domény namiesto vyhradenej, postupne zahrievanej subdomény.
- Zabudnutý starý include v SPF po zmene poskytovateľa emailu, ktorý zbytočne zaťažuje limit desiatich DNS lookupov.
- Nezhoda medzi doménou v DKIM podpise (d=) a doménou v poli Od, kvôli ktorej DMARC alignment zlyhá aj pri technicky správnom DKIM.
Checklist pred spustením kampane — ako to robí LDM
V LDM sa cielené B2B kampane vždy spúšťajú zo samostatnej, vopred zahriatej subdomény hlavnej firemnej domény, aby prípadné problémy s doručiteľnosťou v úvodných dňoch nezasiahli reputáciu domény, z ktorej firma posiela faktúry alebo internú komunikáciu. Pred prvým odoslaním sa overí, že SPF, DKIM aj DMARC prechádzajú testom na reálnej schránke, DMARC beží aspoň dva týždne v režime p=none a agregované reporty sa priebežne kontrolujú, aby sa politika mohla bezpečne sprísniť.
Objem sa zvyšuje postupne spolu s vekom subdomény a každá správa je adresovaná konkrétnej osobe s prirodzenou personalizáciou — technicky ide o riadený proces, ale navonok pôsobí presne tak, ako má: ako bežný, dôveryhodný firemný email.
- Zlúčený, jediný SPF záznam so všetkými aktívnymi odosielateľmi.
- DKIM aktívny a potvrdený testom v Microsoft 365 aj Google Workspace, ak sa používajú oba.
- DMARC najprv p=none minimálne dva týždne, potom quarantine, až napokon reject.
- Cold outreach beží zo samostatnej subdomény, nie z hlavnej domény firmy.
- Overenie cez testovací email a SPF DKIM DMARC checker pred prvým väčším odoslaním.
Časté otázky
Aký je rozdiel medzi SPF, DKIM a DMARC?
SPF hovorí, ktoré servery smú posielať poštu za doménu, DKIM pridáva kryptografický podpis potvrdzujúci, že správa nebola po ceste zmenená, a DMARC určuje, čo sa má stať s poštou, ktorá tieto dva signály nemá zarovnané s doménou v poli Od. Fungujú spolu, nie ako náhrada jeden druhého.
Stačí mať SPF a DKIM, alebo naozaj potrebujem aj DMARC?
SPF a DKIM bez DMARC fungujú, ale prijímajúci server bez DMARC politiky sám rozhoduje, ako naložiť s nezarovnanou poštou, vrátane pokusov o falšovanie vašej domény. DMARC dáva jasné pravidlo a navyše poskytuje reporty, vďaka ktorým vidíte, kto všetko posiela poštu za vašu doménu.
Ako dlho trvá, kým sa zmeny v DNS prejavia?
Väčšina DNS zmien pri Microsoft 365 aj Google Workspace sa prejaví v priebehu niekoľkých hodín, v ojedinelých prípadoch do 24–48 hodín kvôli propagácii medzi DNS servermi. Aktiváciu DKIM v Google Workspace odporúčajú spustiť až po overení, že TXT záznam je už viditeľný v DNS.
Môžem používať Microsoft 365 aj Google Workspace na tej istej doméne súčasne?
Áno, je to bežné najmä pri migráciách alebo hybridných nastaveniach, ale SPF záznam sa musí zlúčiť do jedného TXT záznamu s obomi include mechanizmami. DKIM sa nastavuje nezávisle pre každú platformu, keďže každá používa vlastný selektor a vlastný kľúč.
Prečo posielať cold outreach zo subdomény a nie z hlavnej firemnej domény?
Subdoména má vlastnú reputáciu oddelenú od hlavnej domény, takže prípadné problémy z fázy warm-upu neohrozia doručiteľnosť faktúr, zmlúv či bežnej internej pošty. Ak subdoména stratí reputáciu, dá sa nahradiť novou bez zásahu do zvyšku firemnej komunikácie.
Ako si overím, že moje SPF, DKIM a DMARC záznamy skutočne fungujú?
Pošlite testovací email na Gmail schránku a v zobrazení originálu skontrolujte, či SPF, DKIM aj DMARC ukazujú PASS. Doplnkovo použite verejný SPF DKIM DMARC checker, ktorý overí syntax záznamov a upozorní na prekročený limit DNS lookupov v SPF ešte pred spustením kampane.
Chcete to využiť vo svojom outreachi?
Ukážeme vám, ako to funguje na vašom segmente a produkte — ešte pred začiatkom prác.
Porozprávajme sa