Máte potíže s doručováním e‑mailů z firemního Gmailu? Padají zprávy do spamu, i když s příjemci běžně komunikujete? Nejčastější příčinou bývá chybné nebo neúplné nastavení e‑mailové autentizace na úrovni DNS vaší domény.

Aby e‑mailová komunikace fungovala spolehlivě, je potřeba správně nastavit tři klíčové technologie: SPF, DKIM a DMARC. Tyto záznamy umožňují příjemcům ověřit, že e‑mail skutečně pochází z vaší domény a nebyl po cestě pozměněn. Špatné nastavení (nebo jeho absence) vede k horší doručitelnosti, označování zpráv jako spam, nebo i k jejich úplnému odmítnutí.

Dobře nastavené SPF, DKIM a DMARC zároveň chrání vaši doménu před zneužitím (phishing, spoofing) a zvyšují důvěryhodnost vašich e‑mailů.

✉️ SPF

Sender Policy Framework

SPF říká příjemci, které servery smějí odesílat e‑maily jménem vaší domény. Při doručení se ověří, zda odesílající server odpovídá vašemu SPF záznamu.

Doporučené nastavení (Google Workspace)

v=spf1 include:_spf.google.com ~all

Co znamenají jednotlivé části:

• v=spf1 verze SPF

• include:_spf.google.com povolí odesílání přes Google

• ~all "softfail" pro ostatní servery (doporučeno na začátek)

💡Tip: Jakmile máte jistotu, že všechny legitimní zdroje odesílání jsou zahrnuté, můžete přejít na přísnější -all (hard fail).

Časté chyby

• Více SPF záznamů pro jednu doménu (má být jen jeden)

• Zapomenuté služby třetích stran (CRM, newslettery apod.), je potřeba je přidat přes include:

• Překročení limitu 10 DNS lookupů

🔐 DKIM

DomainKeys Identified Mail

DKIM přidává do e‑mailu digitální podpis, který ověřuje, že zpráva nebyla po cestě změněna a že ji odeslal legitimní zdroj.

Nastavení v Google Workspace

DKIM se nastavuje v administraci Google Workspace

https://admin.google.com/ac/apps/gmail/authenticateemail

Doporučení:

• Použijte 2048bit klíč (dnes standard)

• Ověřte, že je podpis aktivní pro všechny odchozí e‑maily

🛡️ DMARC

Domain-based Message Authentication, Reporting, and Conformance

DMARC sjednocuje SPF a DKIM a říká příjemci, co dělat, když ověření selže. Zároveň poskytuje reporty o tom, kdo vaši doménu používá.

Doporučený start (monitoring)

_dmarc.vasedomena.cz TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@vasedomena.cz; pct=100;"

Význam parametrů:

• p=none pouze monitoring (bez zásahu do doručení)

• rua= adresa pro agregované reporty

• pct=100 aplikuje se na 100 % zpráv

Postupné zpřísnění

Jakmile ověříte, že vše funguje správně:

• p=quarantine problematické zprávy jdou do spamu

• p=reject problematické zprávy jsou odmítnuty

⚠️ Důležité: Přechod na reject dělejte až po důkladné kontrole reportů.

Další doporučení

• Nastavte alignment (zarovnání domén SPF/DKIM), klíčové pro DMARC

• Reporty můžete analyzovat pomocí nástrojů třetích stran (např. Postmark, Valimail apod.)

• Forenzní reporty (ruf) se dnes používají omezeně kvůli ochraně soukromí

✨ Bonus: Co zvážit navíc (2026)

• BIMI, zobrazování loga u e‑mailů (vyžaduje DMARC na quarantine/reject)

• ARC, relevantní při přeposílání e‑mailů (např. mailing listy)

• Pravidelné kontroly reputace domény/IP

📌 Shrnutí

Správné nastavení SPF, DKIM a DMARC je dnes nezbytné minimum pro:

• dobrou doručitelnost e‑mailů

• ochranu proti zneužití domény

• důvěryhodnost komunikace

Něco vám není jasné? Rádi vám s nastavením pomůžeme, ať už jde o Google Workspace nebo obecně e‑mailovou infrastrukturu.