Live Direct Marketing
ÚvodBlogDoručiteľnosť

Ako nastaviť SPF, DKIM a DMARC pre Microsoft 365 a Google Workspace pred cold outreachom

12. júla 2026 · 10 min čítania · Sprievodca: Doručiteľnosť

Skôr než odošlete prvý cold email konkrétnemu nákupcovi alebo majiteľovi firmy, poštové servery Microsoft a Google si overia, či vaša doména vôbec smie posielať poštu. Bez správne nastavených SPF, DKIM a DMARC záznamov sa aj perfektne personalizovaná správa môže zaradiť medzi hromadnú poštu alebo skončiť rovno v spame. Tento návod ukazuje krok za krokom, ako záznamy nastaviť v Microsoft 365 aj Google Workspace a ako ich pred spustením kampane overiť.

V skratke
  • SPF, DKIM a DMARC sú tri samostatné, ale vzájomne prepojené záznamy — chýbajúci jeden z nich oslabuje ochranu ostatných.
  • Doména smie mať iba jeden SPF záznam — pri kombinácii Microsoft 365, Google Workspace a nástroja na cold outreach ho treba zlúčiť, nie duplikovať.
  • DMARC sa vždy zavádza postupne: najprv p=none na monitoring, potom p=quarantine a až po týždňoch bez problémov p=reject.
  • Cold outreach patrí na samostatnú, zahriatu subdoménu, nie na hlavnú firemnú doménu — chráni to reputáciu, na ktorej stoja faktúry a interná pošta.
  • Overenie funkčnosti pred spustením kampane (testovací email + SPF DKIM DMARC checker) ušetrí prvé dni warm-upu, ktoré sú pre reputáciu najkritickejšie.

Prečo cold outreach bez autentifikácie skončí v spame

Microsoft a Google dnes vyhodnocujú každý prichádzajúci email podľa troch technických signálov, ktoré nemajú nič spoločné s obsahom správy: či doména odosielateľa smie posielať poštu zo servera, z ktorého mail prišiel (SPF), či má správa platný kryptografický podpis (DKIM) a či sa tieto dva signály zhodujú s doménou v poli Od (DMARC). Pri chýbajúcej alebo nesprávnej konfigurácii sa email nemusí zamietnuť úplne, ale poštový server mu prisúdi nižšie skóre dôveryhodnosti — a to je presne to, čo pri cielenom B2B outreachu nechcete, keď posielate desiatky personalizovaných správ konkrétnym ľuďom vo firmách.

Rozdiel oproti hromadnému mailingu je v tom, že cold outreach sa spolieha na to, že email vyzerá ako bežná firemná korešpondencia — jeden odosielateľ, jeden konkrétny adresát, prirodzený tón. Ak však doména nemá funkčné SPF, DKIM a DMARC, aj takáto legitímna správa pôsobí technicky podozrivo a filtre ju vyhodnotia rovnako prísne ako masový spam. Nastavenie autentifikačných záznamov preto nie je otázka „ako obísť spamový filter“, ale základná hygiena, ktorú očakáva každý serióznejší mailový server.

SPF: povolenie odosielajúcich serverov v Microsoft 365 a Google Workspace

SPF (Sender Policy Framework) je TXT záznam v DNS, ktorý vymenúva servery smiace posielať poštu za vašu doménu. Pre Microsoft 365 má základný tvar „v=spf1 include:spf.protection.outlook.com -all“, pre Google Workspace „v=spf1 include:_spf.google.com ~all“. Ak firma používa oba systémy súčasne alebo pridáva ďalší nástroj na odosielanie (napríklad platformu na cold outreach), tieto includy sa musia zlúčiť do jedného spoločného záznamu — doména smie mať len jeden SPF TXT záznam, dva paralelné záznamy SPF prakticky rozbijú.

Dôležitý je aj limit desiatich DNS vyhľadávaní (lookupov) v rámci jedného SPF reťazca — každý ďalší include, ktorý firma pridá bez kontroly, tento limit približuje a po jeho prekročení SPF prestane fungovať pre celý reťazec, nielen pre posledný pridaný nástroj. Mechanizmus na konci záznamu (-all pre prísne zamietnutie, ~all pre mäkké zlyhanie) sa volí podľa toho, ako veľmi je firma pripravená riskovať dočasné falošné zamietnutia počas prechodného obdobia.

DKIM: digitálny podpis, ktorý potvrdzuje pravosť odosielateľa

DKIM pridáva ku každej odchádzajúcej správe kryptografický podpis, ktorý si prijímajúci server overí voči verejnému kľúču publikovanému v DNS. V Microsoft 365 sa DKIM aktivuje v Exchange Admin Center (alebo v Microsoft Defender portáli) v sekcii Policies & rules → Threat policies → DKIM. Systém pre danú doménu vygeneruje dva CNAME záznamy (selector1._domainkey a selector2._domainkey), ktoré treba pridať do DNS, a až potom sa v rozhraní prepne prepínač podpisovania na Enabled — bez tohto posledného kroku CNAME záznamy samotné nič nerobia.

V Google Workspace sa DKIM nastavuje v Admin Console → Apps → Google Workspace → Gmail → Authenticate email. Odporúča sa zvoliť dĺžku kľúča 2048 bitov namiesto staršej 1024-bitovej voľby, ponechať predvolený selektor google a vygenerovaný TXT záznam google._domainkey.vasadomena.sk publikovať v DNS. Aktiváciu treba potvrdiť tlačidlom Start authentication až po tom, čo sa záznam v DNS reálne rozšíri — zvyčajne v priebehu niekoľkých hodín, výnimočne do jedného dňa.

DMARC: politika a postupný prechod na p=reject

DMARC záznam sa publikuje ako TXT na _dmarc.vasadomena.sk a hovorí prijímajúcim serverom, ako naložiť s poštou, ktorá neprejde zarovnaním SPF alebo DKIM s doménou v poli Od. Základný štartovací záznam vyzerá takto: „v=DMARC1; p=none; rua=mailto:dmarc-reports@vasadomena.sk; pct=100“. Politika p=none v prvej fáze nič neblokuje, iba zbiera agregované reporty od Google, Microsoftu a ďalších prijímačov — vďaka nim uvidíte, ktoré servery za vašu doménu skutočne posielajú poštu, vrátane tých, na ktoré ste možno zabudli (fakturačný systém, HR nástroj, ERP).

Po dvoch až štyroch týždňoch monitoringu bez neočakávaných zlyhaní sa politika sprísni na p=quarantine (podozrivá pošta ide do spamu) a nakoniec na p=reject, kde sa nezarovnaná pošta priamo odmieta. Skákanie rovno na p=reject bez monitorovacej fázy je najčastejšia príčina toho, že firma náhle prestane dostávať vlastné faktúry alebo notifikácie zo softvéru — presne to, čomu má postupný prechod predchádzať.

Overenie záznamov a reálny dopad na doručiteľnosť

Pred spustením kampane treba záznamy fakticky overiť, nielen predpokladať, že DNS zmeny fungujú. Najrýchlejší test je poslať email na bežnú Gmail schránku, otvoriť ho a v menu zvoliť Zobraziť originál (Show original) — pri správne nastavenej doméne uvidíte SPF: PASS, DKIM: PASS aj DMARC: PASS pri hlavičke. Doplnkovo sa oplatí použiť verejný SPF DKIM DMARC checker (napríklad MXToolbox alebo obdobný nástroj), ktorý overí syntax záznamov, počet DNS lookupov v SPF a platnosť DKIM kľúča bez čakania na doručenie reálneho testovacieho emailu.

Rozdiel v doručiteľnosti medzi neautentifikovanou a plne autentifikovanou doménou je pri cielenom B2B cold outreachu citeľný už v prvých dňoch warm-upu. Nasledujúce čísla vychádzajú z praxe kampaní s malými dennými objemami a vysokou mierou personalizácie, nie z formálnej štúdie.

Najčastejšie chyby pri nastavovaní SPF, DKIM a DMARC

Väčšina problémov s doručiteľnosťou pri cold outreachu nemá pôvod v obsahu emailu, ale v drobných chybách v DNS, ktoré sa dlho nikto neujal opraviť.

Checklist pred spustením kampane — ako to robí LDM

V LDM sa cielené B2B kampane vždy spúšťajú zo samostatnej, vopred zahriatej subdomény hlavnej firemnej domény, aby prípadné problémy s doručiteľnosťou v úvodných dňoch nezasiahli reputáciu domény, z ktorej firma posiela faktúry alebo internú komunikáciu. Pred prvým odoslaním sa overí, že SPF, DKIM aj DMARC prechádzajú testom na reálnej schránke, DMARC beží aspoň dva týždne v režime p=none a agregované reporty sa priebežne kontrolujú, aby sa politika mohla bezpečne sprísniť.

Objem sa zvyšuje postupne spolu s vekom subdomény a každá správa je adresovaná konkrétnej osobe s prirodzenou personalizáciou — technicky ide o riadený proces, ale navonok pôsobí presne tak, ako má: ako bežný, dôveryhodný firemný email.

Časté otázky

Aký je rozdiel medzi SPF, DKIM a DMARC?

SPF hovorí, ktoré servery smú posielať poštu za doménu, DKIM pridáva kryptografický podpis potvrdzujúci, že správa nebola po ceste zmenená, a DMARC určuje, čo sa má stať s poštou, ktorá tieto dva signály nemá zarovnané s doménou v poli Od. Fungujú spolu, nie ako náhrada jeden druhého.

Stačí mať SPF a DKIM, alebo naozaj potrebujem aj DMARC?

SPF a DKIM bez DMARC fungujú, ale prijímajúci server bez DMARC politiky sám rozhoduje, ako naložiť s nezarovnanou poštou, vrátane pokusov o falšovanie vašej domény. DMARC dáva jasné pravidlo a navyše poskytuje reporty, vďaka ktorým vidíte, kto všetko posiela poštu za vašu doménu.

Ako dlho trvá, kým sa zmeny v DNS prejavia?

Väčšina DNS zmien pri Microsoft 365 aj Google Workspace sa prejaví v priebehu niekoľkých hodín, v ojedinelých prípadoch do 24–48 hodín kvôli propagácii medzi DNS servermi. Aktiváciu DKIM v Google Workspace odporúčajú spustiť až po overení, že TXT záznam je už viditeľný v DNS.

Môžem používať Microsoft 365 aj Google Workspace na tej istej doméne súčasne?

Áno, je to bežné najmä pri migráciách alebo hybridných nastaveniach, ale SPF záznam sa musí zlúčiť do jedného TXT záznamu s obomi include mechanizmami. DKIM sa nastavuje nezávisle pre každú platformu, keďže každá používa vlastný selektor a vlastný kľúč.

Prečo posielať cold outreach zo subdomény a nie z hlavnej firemnej domény?

Subdoména má vlastnú reputáciu oddelenú od hlavnej domény, takže prípadné problémy z fázy warm-upu neohrozia doručiteľnosť faktúr, zmlúv či bežnej internej pošty. Ak subdoména stratí reputáciu, dá sa nahradiť novou bez zásahu do zvyšku firemnej komunikácie.

Ako si overím, že moje SPF, DKIM a DMARC záznamy skutočne fungujú?

Pošlite testovací email na Gmail schránku a v zobrazení originálu skontrolujte, či SPF, DKIM aj DMARC ukazujú PASS. Doplnkovo použite verejný SPF DKIM DMARC checker, ktorý overí syntax záznamov a upozorní na prekročený limit DNS lookupov v SPF ešte pred spustením kampane.

Dôležité: nejde o hromadnú rozosielku ani spam. Pracujeme cielene: každá správa smeruje ku konkrétnemu zástupcovi konkrétnej firmy z legitímneho obchodného dôvodu, v malých denných objemoch a je personalizovaná pre príjemcu. Každý e-mail uvádza odosielateľa a obsahuje odhlásenie jedným kliknutím; odhlásenia a stop-listy platia pre všetky ďalšie kampane bez výnimky.

Chcete to využiť vo svojom outreachi?

Ukážeme vám, ako to funguje na vašom segmente a produkte — ešte pred začiatkom prác.

Porozprávajme sa