Jak nastavit SPF, DKIM, DMARC

SPF záznam určuje ze kterých serverů mohou být emaily z vaší domény odeslílány. Pokud se někdo pokusí email odeslat jménem vaší domény z jiného, než uvedeného serveru, bude taková zpráva označena za podezřelou.

DKIM je digitální podpis pro emaily odesílané z vaší domény. Vaše servery mají složitý a dlouhý privátní klíč, který je neveřejný. Z něj vypočítávají ověřovací řetězec do každé emailové zprávy, kterou odešlete. Veřejně se zobrazí jednodušší veřejný klíč, podle kterého jsou potom emaily kontrolovány.

DMARC je doplněk k technologiím SPF a DKIM. Říká adresátům, kteří zprávu z vaší domény vyhodnotili jako podezřelou, jak si přejete, aby s emailem bylo naloženo. A pokud máte zájem, umí zapnout reporting kvality doručovaných zpráv - z něj lze vyčíst např. ze kterých serverů jsou odesílány podezřelé emaily, kolik jich je, atd.

SPF je základ

Např. náš firemní SPF záznam v roce 2025/04 vypadá takto:
"v=spf1 a mx include:_spf.religis.cz include:_spf.google.com include:_spf.vshosting.cloud -all"

Validátor pro ověření správnosti SPF lze najít např. na adrese
https://mxtoolbox.com/SuperTool.aspx?action=spf%3areligis.cz&run=toolpage

DKIM vygeneruje např. Google Workspace

DKIM je potřeba nechat vygenerovat vašeho odesilatele emailů. Přihlaste se do administrace mailserveru, nebo se spojte se svým adminem.

DMARC

Náš firemní DMARC vypadá takto:
"v=DMARC1; p=reject; sp=reject; rua=mailto:2999de43e5@rua.spfmonitor.com; ruf=mailto:2999de43e5@ruf.spfmonitor.com; adkim=r; aspf=r; ri=360; fo=0:1:d:s; pct=100"

Ověřit si správnost DMARC záznamu lze zde:
https://mxtoolbox.com/SuperTool.aspx?action=dmarc%3areligis.cz&run=toolpage

Jakmile tyto záznamy nastavíte, vkládají se do DNS nastavení domény, nebude možné odeslat důvěryhodný email z jiného, než vámi uvedeného serveru. A příjemci budou očekávat, že je každá zpráva podepsaná (to se pak děje automaticky, uživatel nic dělat nemusí).

A kdyžý to tak nebude, zpráva bude označena za podezřelou a doména již nebude penalizovaná v očích příjemců.