Ako nastaviť a overiť SPF, DKIM a DMARC pred spustením cold email kampane
Keď posielate cielený B2B cold email na konkrétnu osobu v konkrétnej firme, o tom, či správa vôbec dorazí do inboxu, rozhoduje skôr technická autentifikácia domény než text listu. SPF, DKIM a DMARC sú tri záznamy v DNS, ktoré poštovým serverom Gmailu, Microsoftu či Zoho dokazujú, že email naozaj poslala vaša firma a nie niekto, kto zneužíva vašu doménu. Tento sprievodca ukazuje, ako tieto záznamy nastaviť, ako ich skontrolovať online a akých chýb sa pri cold outreachi vyvarovať.
- SPF, DKIM a DMARC spolu tvoria autentifikáciu domény – bez všetkých troch má cold email nižšiu šancu dostať sa do inboxu.
- DMARC bez zarovnania (alignment) so SPF alebo DKIM chráni doménu len naoko.
- Pre cold outreach je bezpečnejšie posielať zo samostatnej odosielacej subdomény, nie z hlavnej firemnej domény.
- Online SPF/DKIM/DMARC checker ukáže syntaktické chyby, ale skutočnú doručiteľnosť overí až testovací email a analýza hlavičiek.
- DMARC politiku treba zavádzať postupne – p=none, potom quarantine, až napokon reject.
Prečo poštové servery najprv kontrolujú doménu, a až potom obsah listu
Gmail, Microsoft 365 aj menší poskytovatelia ako Zoho Mail vyhodnocujú každý prichádzajúci email v dvoch krokoch. Najprv sa pýtajú, či doména odosielateľa má platné SPF, DKIM a DMARC záznamy a či sa zhodujú s doménou v hlavičke From. Až potom filtre analyzujú obsah, frekvenciu odosielania a reakcie príjemcov.
Pri cielenom B2B cold emaili, kde píšete konkrétnemu nákupnému riaditeľovi vo firme ako Tatratech alebo Kovospol, sa táto prvá bariéra prejaví hneď – neautentifikovaná doména dostane nižšie skóre reputácie ešte predtým, než príjemca list vôbec uvidí. Veľkí poskytovatelia v posledných rokoch sprísnili požiadavky na odosielateľov, ktorí posielajú viac než pár desiatok emailov denne, takže absencia SPF, DKIM alebo DMARC dnes reálne znamená priame smerovanie do spamu alebo úplné odmietnutie správy.
SPF, DKIM a DMARC: čo presne kontrolujú a ako ich nastaviť
SPF (Sender Policy Framework) je TXT záznam v DNS domény, ktorý vymenúva servery a služby oprávnené posielať email v jej mene. DKIM (DomainKeys Identified Mail) pridáva ku každej správe digitálny podpis, ktorý dokazuje, že obsah cestou nebol zmenený a naozaj pochádza z autorizovaného servera. DMARC (Domain-based Message Authentication, Reporting and Conformance) určuje, čo má prijímajúci server urobiť, ak SPF alebo DKIM zlyhajú, a posiela vám report o tom, kto všetko v mene vašej domény posiela poštu.
Pre cold outreach odporúčame posielať zo samostatnej subdomény, napríklad mail.tatratech.sk, nie z hlavnej domény tatratech.sk, na ktorej beží bežná firemná korešpondencia a fakturácia. Subdoména dostane vlastnú reputáciu, takže prípadný pokles doručiteľnosti pri agresívnejšom objeme neohrozí zásielky faktúr či komunikáciu s existujúcimi klientmi.
- SPF: pridajte TXT záznam typu v=spf1 include:... -all k odosielacej (sub)doméne, nie viac ako jeden SPF záznam na doménu.
- DKIM: aktivujte podpisovanie u poskytovateľa cold email nástroja alebo SMTP relay a vložte verejný kľúč ako TXT záznam pod selector._domainkey.doména.
- DMARC: pridajte TXT záznam pod _dmarc.doména s politikou p=none na začiatok a adresou pre rua reporty.
- Zarovnanie (alignment): doména v SPF aj DKIM sa musí zhodovať s doménou v hlavičke From, inak DMARC autentifikáciu napriek platným SPF/DKIM zamietne.
Ako skontrolovať SPF, DKIM a DMARC záznamy online
Existuje viacero nástrojov typu spf dkim dmarc checker online, ktoré záznamy prečítajú priamo z DNS a upozornia na syntaktické chyby – napríklad viac než jeden SPF záznam, chýbajúci selector alebo DMARC bez zadanej politiky. Medzi bežne používané patrí MXToolbox, mail-tester.com alebo diagnostické nástroje priamo v Google Admin konzole, ktoré fungujú ako google spf dkim dmarc checker pre domény pripojené na Google Workspace.
Rovnaký výsledok dostanete aj príkazovým riadkom: dig TXT doména pre SPF, dig TXT selector._domainkey.doména pre DKIM a dig TXT _dmarc.doména pre DMARC. Na verify spf dkim dmarc records v praxi ale nestačí len syntaktická kontrola – pošlite si testovací email na vlastnú Gmail alebo Outlook schránku, otvorte pôvodné hlavičky správy a skontrolujte, že tam SPF=pass, DKIM=pass aj DMARC=pass, nie len teoreticky platné záznamy v DNS.
Čísla sú orientačné, vychádzajú z praxe cielených B2B cold email kampaní, nie z jednej konkrétnej štúdie.
Testovací postup pred spustením kampane: pošlite email z novej subdomény na účet na Gmail.com, otvorte Zobraziť originál a vo výstupe hľadajte riadky Authentication-Results so spf=pass, dkim=pass a dmarc=pass pre doménu smtp.mailfrom aj header.from.
DMARC politika krok za krokom: od monitoringu k p=reject
DMARC politiku nemá zmysel nastaviť rovno na p=reject – ak máte v SPF alebo DKIM chybu, riskujete, že vlastné legitímne emaily budú zahodené bez akéhokoľvek varovania. Bezpečný postup je postupné sprísňovanie.
Medzi fázami sledujte rua reporty (dajú sa čítať cez nástroje ako dmarcian alebo Postmark DMARC monitor) a uistite sa, že žiadny legitímny zdroj – vrátane cold email platformy, ktorú používate – neprepadáva.
- Fáza 1 – p=none: len monitoring, dostávate rua reporty o všetkých zdrojoch, ktoré posielajú poštu v mene domény, nič sa nezahadzuje.
- Fáza 2 – p=quarantine, pct=25: štvrtina emailov, ktoré neprejdú autentifikáciou, končí v spame, zvyšok normálne.
- Fáza 3 – p=quarantine, pct=100: všetky neautentifikované emaily idú do spamu.
- Fáza 4 – p=reject: neautentifikované emaily sa odmietajú úplne, doména je plne chránená proti spoofingu.
Dĺžky fáz sú orientačné a závisia od objemu a počtu odosielacích zdrojov domény.
Najčastejšie chyby pri autentifikácii pre cold outreach
Väčšina problémov s doručiteľnosťou pri cielenom B2B cold emaili nemá pôvod v obsahu listu, ale v týchto opakujúcich sa nastaveniach:
- Dva SPF záznamy na jednej doméne – DNS štandard povoľuje len jeden, druhý spôsobí, že SPF zlyhá celé.
- Prekročenie limitu 10 DNS lookupov v SPF reťazci (časté pri viacerých include mechanizmoch naraz).
- DMARC nastavený na p=reject hneď na začiatku, bez predchádzajúceho monitoringu.
- Cold email posielaný z hlavnej firemnej domény namiesto vyhradenej subdomény.
- Ignorovanie warm-upu novej subdomény – aj s dokonalým SPF/DKIM/DMARC začne posielať stovky mailov denne bez histórie.
- Zabudnutá rotácia DKIM selectora pri zmene poskytovateľa cold email nástroja, čo necháva starý podpis neplatný.
Checklist pred spustením kampane a ako to rieši LDM
Pred prvým odoslaním na nový zoznam kontaktov si prejdite krátky checklist – väčšinu bodov viete overiť za jedno popoludnie:
LDM ako platforma pre cielený B2B cold outreach overuje SPF, DKIM a DMARC pri pripájaní každej odosielacej domény, automaticky odporúča fázovaný prechod na DMARC p=reject a warm-up plán pre novú subdoménu. Odpovede zo schránok sa priamo napájajú do CRM a SDR pracovného postupu, takže tím vidí nielen technické skóre autentifikácie, ale aj reálnu mieru odpovedí z konkrétnej domény a môže včas zasiahnuť, ak reputácia začne klesať.
- SPF, DKIM aj DMARC nastavené a overené cez online checker aj reálny testovací email.
- Cold email ide zo samostatnej subdomény s vlastnou históriou.
- DMARC politika prešla fázami monitoring → quarantine → reject.
- Objem odosielania rastie postupne (warm-up), nie skokovo od prvého dňa.
- Odpovede a bounce sa sledujú a párujú s konkrétnymi kontaktmi v CRM.
Časté otázky
Aký je rozdiel medzi SPF, DKIM a DMARC?
SPF hovorí, ktoré servery smú posielať poštu za doménu, DKIM digitálnym podpisom dokazuje, že správa nebola cestou zmenená, a DMARC určuje, čo urobiť, keď jeden z týchto testov zlyhá, a zároveň posiela reporty o zneužití domény.
Ako často treba kontrolovať SPF a DKIM záznamy?
Stačí ich overiť po každej zmene odosielacej infraštruktúry alebo pridaní nového cold email nástroja a raz za pár mesiacov skontrolovať rua reporty z DMARC, ktoré ukážu, či sa nezmenilo niečo bez vášho vedomia.
Môžem cold email posielať z rovnakej domény, akú používam na bežnú firemnú komunikáciu?
Technicky áno, ale neodporúča sa to – ak sa reputácia hlavnej domény pri agresívnejšom cold outreachi zhorší, ohrozí to aj doručovanie faktúr a bežnej korešpondencie. Samostatná subdoména toto riziko oddelí.
Čo presne znamená DMARC alignment?
Alignment znamená, že doména použitá v SPF aj doména v DKIM podpise sa musí zhodovať (aspoň na úrovni organizačnej domény) s doménou v hlavičke From, ktorú vidí príjemca. Bez zarovnania DMARC autentifikáciu vyhodnotí ako zlyhanú, aj keď SPF aj DKIM samy osebe prešli.
Ako dlho trvá kompletné nastavenie a warm-up pred prvou kampaňou?
Samotné DNS záznamy sa dajú nastaviť do hodiny, no bezpečný prechod cez fázy DMARC a warm-up novej subdomény spolu trvá zvyčajne štyri až šesť týždňov, kým doména získa dostatočnú reputáciu na vyššie objemy.
Prečo mi SPF prestal fungovať, hoci záznam vyzerá správne?
Najčastejšou príčinou je prekročenie limitu 10 DNS lookupov v reťazci include mechanizmov – ak používate viacero nástrojov naraz (cold email platforma, fakturačný systém, helpdesk), ich SPF reťazce sa spočítavajú a po prekročení limitu SPF zlyhá ako celok, aj keď syntax vyzerá v poriadku.
Chcete to využiť vo svojom outreachi?
Ukážeme vám, ako to funguje na vašom segmente a produkte — ešte pred začiatkom prác.
Porozprávajme sa