Live Direct Marketing
ÚvodBlogDoručiteľnosť

Ako nastaviť SPF, DKIM a DMARC, aby cold email skončil v Gmaile a nie v spame

12. júla 2026 · 8 min čítania · Sprievodca: Doručiteľnosť

Gmail aj Google Workspace dnes bez správne nastaveného SPF, DKIM a DMARC posielajú cold email rovno do spamu, aj keď je obsah aj personalizácia v poriadku. Tento návod ukazuje presné kroky nastavenia pre doménu odosielajúcu cez Google Workspace, ako výsledok overiť pomocou domain spf dkim dmarc checker a čomu sa vyhnúť, aby DMARC nezablokoval aj legitímnu poštu.

V skratke
  • SPF musí byť jeden zlúčený záznam pod limitom 10 DNS lookupov, inak zlyhá celý, nie len časť pravidiel.
  • DKIM v Google Workspace treba nielen zapnúť, ale aj rotovať kľúč a dať samostatný selektor každému nástroju, ktorý odosiela poštu.
  • DMARC začína na p=none kvôli monitoringu a prechádza na p=quarantine/p=reject až po zarovnaní SPF aj DKIM s doménou vo From.
  • Domain a mx spf dkim dmarc checker ušetria čas oproti ručnému overovaniu DNS pred každou kampaňou.
  • Bez postupného warmupu novej domény ani správne SPF/DKIM/DMARC nezaručia doručenie do inboxu.

Prečo Gmail od roku 2024 kontroluje SPF, DKIM aj DMARC prísnejšie

Google aj Yahoo sprísnili požiadavky na hromadných odosielateľov - a hranica, od ktorej sa firma počíta ako 'hromadný odosielateľ', je len pár desiatok správ denne na Gmail adresy. Pre B2B tím, ktorý robí cold email na 30-80 kontaktov denne z firemnej domény cez Google Workspace, to znamená, že SPF, DKIM a DMARC už nie sú doplnok, ale podmienka, aby správa vôbec prešla do doručenej pošty.

Keď niekto zadá do vyhľadávača dopyt spf dkim e dmarc gmail, väčšinou hľadá univerzálny návod pre bežnú firemnú komunikáciu. Cold email má však iné riziká - posiela sa z novej alebo menej používanej domény, cielene na neznáme kontakty, a práve preto Gmail hodnotí autentifikáciu prísnejšie ako pri bežnej korešpondencii medzi kolegami.

SPF: jeden záznam na doménu, žiadne duplicity

SPF (Sender Policy Framework) hovorí, ktoré servery smú odosielať poštu v mene vašej domény. Pri Google Workspace je základ jednoduchý TXT záznam v tvare 'v=spf1 include:_spf.google.com ~all', pridaný na koreň domény.

Problém nastáva, keď firma popri Google Workspace používa aj ďalší nástroj na cold email alebo marketing - ten si spravidla vyžiada vlastný include. DNS povoľuje len jeden SPF záznam na doménu, takže druhý pridaný TXT záznam SPF nerozbije, len ho spraví neplatným. Všetky includy treba zlúčiť do jedného riadku a udržať pod limitom 10 DNS lookupov, inak SPF zlyhá s chybou permerror bez ohľadu na to, aké pravidlá obsahuje.

DKIM: podpis, ktorý dokazuje, že správu nikto neupravil

DKIM pridáva ku každej odchádzajúcej správe kryptografický podpis, ktorý príjemcov server overí voči verejnému kľúču v DNS. V Google Admin konzole sa aktivuje v sekcii Apps - Google Workspace - Gmail - Authenticate email: vygenerujete 2048-bitový kľúč, Google vypíše CNAME záznam (selektor + doména), ktorý pridáte do DNS, a po overení propagácie kliknete na Start authentication.

Bežná chyba je, že firma DKIM zapne, ale kľúč nikdy neobnoví. Google odporúča rotáciu raz za pol roka až rok - najmä ak doménu používa viac ľudí alebo nástrojov na odosielanie. Ak plánujete posielať cold email aj cez externú platformu popri Gmaile, tá potrebuje vlastný DKIM selektor - zdieľanie jedného kľúča naprieč nástrojmi sťažuje neskoršiu diagnostiku, keď niečo prestane fungovať.

DMARC: od pozorovania k vynucovaniu politiky

DMARC záznam (TXT na _dmarc.vasadomena.sk) hovorí príjemcovým serverom, čo majú robiť so správou, ktorá neprejde zarovnaným SPF alebo DKIM, a kam poslať súhrnné reporty. Začnite vždy s p=none - v tejto fáze sa nič neblokuje, len zbierate dáta o tom, kto všetko posiela poštu vo vašom mene.

Kľúčové je zarovnanie (alignment): doména v hlavičke From musí zodpovedať doméne, na ktorú je vystavený SPF alebo DKIM záznam. Ak cold email nástroj posiela z poddomény, ale podpisuje DKIM hlavnou doménou bez zarovnania, DMARC to vyhodnotí ako zlyhanie, aj keď SPF aj DKIM samostatne prejdú. Po 2-3 týždňoch čistých reportov postupne prejdite na p=quarantine a až následne na p=reject - skok rovno na reject bez monitoringu môže zablokovať aj legitímnu poštu, ktorú ste nemali v pláne.

Príklad

Príklad základného DMARC záznamu pre fázu monitoringu: hostname _dmarc.vasafirma.sk, typ TXT, hodnota 'v=DMARC1; p=none; rua=mailto:dmarc-reports@vasafirma.sk; pct=100'. Po 2-3 týždňoch bez neočakávaných zlyhaní zmeníte p=none na p=quarantine a pridáte 'pct=50', aby sa politika nasadila postupne len na polovicu správ.

Ako si celé nastavenie overiť pred spustením kampane

Namiesto ručného vypisovania DNS záznamov cez príkazový riadok je rýchlejšie použiť domain spf dkim dmarc checker - stačí zadať doménu a nástroj vypíše, či SPF, DKIM aj DMARC existujú, sú syntakticky správne a nekolidujú. Ak potrebujete overiť aj smerovanie pošty súčasne, pomôže mx spf dkim dmarc checker, ktorý skombinuje výpis MX záznamov s autentifikáciou v jednom prehľade.

Druhý krok je poslať testovaciu správu na vlastnú Gmail schránku a otvoriť Zobraziť originál - v hlavičke Authentication-Results uvidíte spf=pass, dkim=pass aj dmarc=pass, prípadne dôvod zlyhania. Bezplatný online spf/dkim/dmarc checker stačí na jednorazovú kontrolu pred spustením kampane, na priebežné sledovanie DMARC reportov (agregované XML správy od Gmailu, Microsoftu a ďalších) je lepšie použiť nástroj, ktorý ich vie prehľadne spracovať.

Chyby, ktoré cold email pošlú rovno do spamu

Väčšina problémov s doručiteľnosťou nie je exotická - opakujú sa tie isté chyby naprieč firmami, ktoré prechádzajú z bežnej korešpondencie na cielený cold email.

Checklist pred spustením B2B kampane

Pred prvou cold email kampaňou z domény cez Google Workspace odporúčame prejsť krátky zoznam - zaberie to menej času ako riešenie zablokovanej domény o týždeň neskôr.

Časté otázky

Stačí na cold email cez Gmail nastaviť len SPF, alebo treba aj DKIM a DMARC?

SPF samotný stačil pred rokom 2024, dnes ho Gmail aj Yahoo vyžadujú spolu s DKIM u hromadných odosielateľov, medzi ktorých patrí aj bežná cielená B2B kampaň s desiatkami správ denne. DMARC nie je vždy povinný, ale bez neho nemáte prehľad o tom, kto všetko posiela poštu z vašej domény, a Gmail jej dôveruje menej.

Ako zistím, či môj SPF záznam nie je poškodený duplicitou?

Cez ľubovoľný domain spf dkim dmarc checker alebo výpis TXT záznamov domény - ak uvidíte dva riadky začínajúce 'v=spf1', treba ich zlúčiť do jedného, inak SPF zlyhá s chybou permerror bez ohľadu na obsah pravidiel.

Prečo mi DMARC report ukazuje zlyhanie, hoci SPF aj DKIM samostatne prechádzajú?

Najčastejšie ide o chýbajúce zarovnanie - doména v hlavičke From nesedí s doménou, na ktorú je vystavený SPF alebo DKIM podpis. DMARC vyžaduje, aby aspoň jeden z nich bol zarovnaný práve s From doménou, nie len technicky platný niekde inde.

Ako dlho trvá, kým zmena SPF/DKIM/DMARC záznamu začne platiť?

DNS propagácia zvyčajne trvá minúty až pár hodín, výnimočne do 24-48 hodín podľa TTL a registrátora. Odporúčame počkať aspoň jeden deň a otestovať testovacou správou, než spustíte plnú kampaň.

Môžem používať cold email nástroj popri Google Workspace bez toho, aby to rozbilo autentifikáciu?

Áno, pokiaľ nástroj pridáte do toho istého SPF záznamu ako ďalší include a dostane vlastný DKIM selektor namiesto zdieľania Google kľúča. Bez toho hrozí, že DMARC zarovnanie zlyhá práve pri správach odoslaných cez externý nástroj.

Dôležité: nejde o hromadnú rozosielku ani spam. Pracujeme cielene: každá správa smeruje ku konkrétnemu zástupcovi konkrétnej firmy z legitímneho obchodného dôvodu, v malých denných objemoch a je personalizovaná pre príjemcu. Každý e-mail uvádza odosielateľa a obsahuje odhlásenie jedným kliknutím; odhlásenia a stop-listy platia pre všetky ďalšie kampane bez výnimky.

Chcete to využiť vo svojom outreachi?

Ukážeme vám, ako to funguje na vašom segmente a produkte — ešte pred začiatkom prác.

Porozprávajme sa