SPF, DKIM a DMARC: Kompletní průvodce autentizací e-mailů pro 2026
Praktický průvodce autentizací e-mailů: SPF, DKIM, DMARC a BIMI pro lepší doručitelnost a ochranu proti spoofingu.
Bez správné autentizace e-maily padají do spamu nebo jsou odmítnuty. SPF, DKIM a DMARC tvoří trojnožku, která dokazuje legitimitu odesílatele.
Proč na autentizaci záleží
- Doručitelnost: ISP používají autentizaci pro filtrování
- Ochrana před spoofingem: chrání značku
- Compliance: Google/Yahoo vyžaduje pro 5K+ e-mailů/den
- Důvěra: příjemci vidí ověřené odesílatele
SPF (Sender Policy Framework)
Co dělá
Říká přijímacím serverům, které IP adresy/domény smí posílat za vaši doménu.
Jak funguje
- Zveřejníte DNS TXT záznam se seznamem oprávněných IP
- Přijímací server kontroluje, zda odesílací IP odpovídá
- Match = pass, no match = fail
Příklad
v=spf1 include:spf.brevo.com include:_spf.google.com ~allBest practices
- Udržujte DNS lookupy pod 10 (limit)
- Pro služby třetích stran používejte
include: - Končete
~all(soft fail) nebo-all(hard fail) - Auditujte pravidelně
DKIM (DomainKeys Identified Mail)
Co dělá
Přidává kryptografický digitální podpis k e-mailům, dokazující, že nebyly cestou změněny.
Jak funguje
- Server podepíše e-mail privátním klíčem
- Veřejný klíč je v DNS
- Příjemce ověří podpis pomocí veřejného klíče
Příklad
selector._domainkey.yourdomain.com TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb..."Best practices
- 2048bitové klíče (1024 minimum)
- Klíče rotujte ročně
- Podepisujte hlavičky (From, To, Subject, Date)
- Každá služba má vlastní DKIM
DMARC (Domain-based Message Authentication, Reporting & Conformance)
Co dělá
Staví na SPF a DKIM. Říká příjemcům, co dělat, když autentizace selže.
Jak funguje
- Zveřejníte DMARC politiku v DNS
- Server kontroluje SPF + DKIM zarovnání
- Podle politiky řeší selhání
- Dostáváte reporty
Příklad
_dmarc.yourdomain.com TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100"Politiky
p=none: Jen monitorováníp=quarantine: Selhání do spamup=reject: Selhání blokovat
Implementační cesta
- Začněte
p=noneke sběru dat - Analyzujte reporty
- Opravte problémy
- Přejděte na
p=quarantine, pakp=reject
BIMI (Brand Indicators for Message Identification)
Co dělá
Zobrazuje vaše logo vedle e-mailů v podporovaných schránkách.
Požadavky
- DMARC s
p=quarantinenebop=reject - Ověřené SVG logo
- VMC (Verified Mark Certificate) pro Gmail
Setup průvodce
Krok 1: Identifikujte odesílací služby
Vyjmenujte všechny, které posílají za vaši doménu: Brevo, Google Workspace, Mailchimp, transactional providers atd.
Krok 2: SPF
Sloučit do jednoho TXT záznamu se všemi include.
Krok 3: DKIM
Každá služba vám dá DKIM klíče. Přidejte do DNS.
Krok 4: DMARC
Začněte p=none s reporting e-mailem.
Krok 5: Ověřte
- MXToolbox: SPF, DKIM, DMARC validace
- DKIM Validator
- DMARCian: report analýza
- Google Postmaster Tools: Gmail-specifické
Krok 6: Monitorujte DMARC reporty
- Identifikujte ne-autentizované odesílání
- Najdete spoofing pokusy
- Opravte legitimní problémy
Krok 7: Postupně zpřísnit politiku
None → Quarantine → Reject
Časté problémy
- SPF přesahuje 10 DNS lookupů
- DKIM neaplikuje na všechny hlavičky
- DMARC
p=rejectpřed vyřešením všech ne-autentizovaných odesílatelů - Zapomenuté služby (legacy CRM, ticketing)
- Třetí strany bez DKIM
Pro Brevo uživatele
Brevo automaticky:
- Konfiguruje SPF přes
include:spf.brevo.com - Generuje DKIM klíče
- Poskytuje DMARC průvodce
Stačí přidat DNS záznamy a ověřit.
Compliance s Google/Yahoo (2024+)
Pro 5K+ e-mailů denně:
- SPF nebo DKIM (alespoň jedno)
- Doporučeno všechno tři
- DMARC s alespoň p=none
- One-click unsubscribe (RFC 8058)
- Spam complaint rate pod 0,3 %
Kde do toho zapadá Tajo + Brevo
Brevo zvládá SPF a DKIM. DMARC je váš krok. Tajo poskytuje customer engagement nad správně autentizovaným Brevo setupem - autentizace musí být první.
Závěr
SPF + DKIM + DMARC tvoří moderní e-mail autentizační stack. Bez nich doručitelnost trpí, hrozí spoofing a velké ISP omezují odesílání. Nastavte přes platformu (Brevo), ověřte přes MXToolbox a monitorujte DMARC reporty.