Nastavení SPF, DKIM a DMARC pro Microsoft 365

Proč Microsoft 365 vyžaduje správnou autentizaci

Google a Yahoo od roku 2024 vyžadují, aby všichni odesílatelé měli nastavený SPF nebo DKIM. Odesílatelé nad 5 000 zpráv denně musí mít oboje plus DMARC. Microsoft na straně příjemce aplikuje podobná pravidla — od května 2025 vyžaduje SPF, DKIM a DMARC pro odesílatele nad 5 000 zpráv denně do Outlook.com, Hotmail.com a Live.com.

Bez správné autentizace riskujete, že vaše e-maily skončí ve spamu nebo budou odmítnuty. Tento průvodce vás provede nastavením všech tří protokolů pro Microsoft 365 (Exchange Online) krok za krokem.

Než začnete

Pro nastavení potřebujete:

• Přístup do Microsoft 365 Admin centra (admin.microsoft.com) a Microsoft Defender portálu (security.microsoft.com) s oprávněním správce
• Přístup k DNS správci vaší domény (registrátor nebo služba jako Cloudflare)
• Seznam všech služeb, které odesílají e-maily z vaší domény — kromě Exchange Online to mohou být marketingové platformy, helpdesk, fakturační systém nebo CRM

Pokud nevíte, jaké služby odesílají e-maily z vaší domény, spusťte kompletní analýzu domény — ukáže vám všechny odesílající zdroje.

Krok 1: Nastavení SPF

SPF (Sender Policy Framework) říká přijímajícím serverům, které servery smí odesílat e-maily z vaší domény. Pro Microsoft 365 přidáte do DNS jediný TXT záznam.

SPF záznam pro Microsoft 365

Pokud odesíláte e-maily pouze přes Microsoft 365, přidejte tento TXT záznam na kořen domény (@):

v=spf1 include:spf.protection.outlook.com -all

Mechanismus include:spf.protection.outlook.com autorizuje všechny IP adresy serverů Microsoft 365, ze kterých se odesílají e-maily Exchange Online.

Microsoft na rozdíl od Google Workspace doporučuje rovnou -all (hardfail) v kombinaci s DKIM a DMARC. V praxi je rozdíl mezi -all a ~all minimální — velcí poskytovatelé se řídí primárně DMARC politikou — ale -all jasně signalizuje, že jiné zdroje nejsou autorizovány.

SPF záznam s dalšími službami

Pokud kromě Microsoft 365 odesíláte e-maily i z jiných služeb, přidejte jejich include mechanismy do stejného záznamu. Příklad s Mailgun a vlastním serverem:

v=spf1 include:spf.protection.outlook.com include:mailgun.org ip4:203.0.113.10 -all

Důležité: Doména smí mít pouze jeden SPF záznam. Dva samostatné TXT záznamy začínající v=spf1 způsobí selhání SPF kontroly (RFC 7208, sekce 4.5). Všechny odesílající zdroje musí být v jednom záznamu.

Přidání do DNS

1. Přihlaste se ke správci DNS vaší domény
2. Přejděte do sekce DNS záznamů
3. Vytvořte nový TXT záznam:
   • Host/Název: @ (kořen domény)
   • Typ: TXT
   • Hodnota: váš SPF záznam
4. Uložte změny

Propagace DNS trvá obvykle minuty, maximálně 48 hodin. Ověřte správnost záznamu SPF analyzérem.

Krok 2: Nastavení DKIM

DKIM (DomainKeys Identified Mail) přidává ke každému e-mailu kryptografický podpis. Příjemce ověří podpis pomocí veřejného klíče v DNS a potvrdí, že zpráva nebyla cestou změněna.

Na rozdíl od Google Workspace, kde se DKIM klíč přidává jako TXT záznam, Microsoft 365 používá CNAME záznamy. Ty odkazují na veřejné klíče hostované přímo Microsoftem — odpadá tak ruční správa klíčů.

Vytvoření DKIM CNAME záznamů

Microsoft 365 vyžaduje dva CNAME záznamy pro každou doménu. Přesné hodnoty získáte v Microsoft Defender portálu:

1. Přejděte na security.microsoft.com
2. Otevřete E-mail a spolupráce → Zásady a pravidla → Zásady hrozeb → Nastavení ověřování e-mailů → záložka DKIM
3. Klikněte na svou doménu — v detailu se zobrazí požadované CNAME záznamy

Formát CNAME záznamů vypadá takto (příklad pro starší tenanty):

selector1._domainkey.firma.cz  CNAME  selector1-firma-cz._domainkey.contoso.onmicrosoft.com
selector2._domainkey.firma.cz  CNAME  selector2-firma-cz._domainkey.contoso.onmicrosoft.com

Od května 2025 Microsoft používá pro nové domény aktualizovaný formát s cílovou adresou končící na .dkim.mail.microsoft. Stávající domény mohou používat původní formát s .onmicrosoft.com.

• Host: selector1._domainkey a selector2._domainkey
• Typ: CNAME
• Hodnota: zkopírujte přesně z Defender portálu — hodnoty jsou specifické pro váš tenant a formát závisí na tom, kdy byla doména přidána

Přidejte oba CNAME záznamy ke správci DNS vaší domény. Propagace trvá obvykle minuty, ale může trvat až 48 hodin.

Aktivace DKIM podepisování

Samotné přidání DNS záznamů nestačí — musíte podepisování explicitně zapnout v Defender portálu:

1. Přejděte zpět na Nastavení ověřování e-mailů → záložka DKIM
2. Klikněte na svou doménu
3. Přepněte přepínač Podepisovat zprávy pro tuto doménu pomocí podpisů DKIM na Zapnuto

Pokud přepínač nelze aktivovat, CNAME záznamy se ještě nepropagovali. Počkejte a zkuste to znovu.

Alternativně můžete DKIM aktivovat přes PowerShell:

Set-DkimSigningConfig -Identity firma.cz -Enabled $true

Ověření funkčnosti DKIM

Po aktivaci odešlete testovací e-mail na adresu mimo vaši doménu a zkontrolujte hlavičky přijatého e-mailu:

Authentication-Results: mx.google.com;
    dkim=pass header.d=firma.cz header.s=selector1

Pokud vidíte dkim=pass, podepisování funguje. Můžete také ověřit DNS záznamy naším DKIM analyzérem.

Krok 3: Nastavení DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance) propojuje SPF a DKIM s adresou odesílatele v hlavičce From. Říká přijímajícím serverům, co dělat s e-maily, které autentizací neprojdou, a posílá vám reporty o výsledcích.

Počkejte minimálně 48 hodin po nastavení SPF a DKIM, než DMARC nasadíte. Přijímající servery potřebují čas na rozpoznání vašich nových záznamů.

DMARC záznam pro začátek

Začněte s politikou none — DMARC bude pouze monitorovat a posílat reporty, aniž by ovlivňoval doručování:

v=DMARC1; p=none; rua=mailto:firma.cz@rua.spfmonitor.com,mailto:dmarc@firma.cz

• p=none — monitorovací režim, e-maily se doručují normálně
• rua= — adresy pro příjem souhrnných (aggregate) reportů

Pokud zadáte adresu SPF Monitoru (firma.cz@rua.spfmonitor.com), reporty se automaticky zpracují, vizualizují a při problémech dostanete upozornění — nemusíte ručně parsovat XML soubory.

Přidání do DNS

1. Přejděte ke správci DNS vaší domény
2. Vytvořte nový TXT záznam:
   • Host/Název: _dmarc
   • Typ: TXT
   • Hodnota: váš DMARC záznam
3. Uložte změny

Ověřte správnost záznamu DMARC analyzérem.

Postupné zpřísnění politiky

Po 2–4 týdnech monitorování analyzujte DMARC reporty. Pokud legitimní e-maily procházejí autentizací bez problémů, zpřísněte politiku postupně:

1. p=none — monitorování (2–4 týdny)
2. p=quarantine; pct=10 — 10 % neautentizovaných zpráv do karantény
3. p=quarantine; pct=100 — všechny neautentizované do karantény
4. p=reject — plné odmítání neautentizovaných zpráv

Parametr pct umožňuje postupný náběh — můžete začít na 10 % a postupně zvyšovat. Jak číst DMARC reporty a vyhodnocovat výsledky, popisujeme v samostatném článku.

Rozdíly oproti Google Workspace

Pokud spravujete obě platformy nebo migrujete z jedné na druhou, hlavní rozdíly v autentizaci jsou:

Podrobný návod pro Google Workspace najdete v článku Nastavení SPF, DKIM a DMARC pro Google Workspace.

Další odesílací služby

Microsoft 365 není jediný zdroj e-mailů z vaší domény. Marketingové platformy (Mailchimp, Brevo), transakční služby (SendGrid, Mailgun, Amazon SES), helpdesk (Zendesk, Freshdesk) nebo fakturační systémy — každá z těchto služeb potřebuje vlastní autentizaci.

SPF pro další služby

Přidejte include mechanismus každé služby do vašeho SPF záznamu:

v=spf1 include:spf.protection.outlook.com include:mailgun.org include:sendgrid.net -all

Pozor na limit 10 DNS lookupů v SPF záznamu. Každý include spotřebuje minimálně jeden lookup. Pokud limit překročíte, SPF kontrola selže s chybou PermError. Zkontrolujte počet lookupů SPF analyzérem.

DKIM pro další služby

Každá služba má v administraci sekci pro ověření domény (Domain Authentication / Domain Verification). Služba vygeneruje DNS záznamy, které přidáte ke své doméně. Po ověření bude služba podepisovat e-maily DKIM klíčem vaší domény.

Bez DKIM ověření služba podepisuje e-maily vlastní doménou — příjemce vidí „podepsáno: sendgrid.net" místo vaší domény. To narušuje důvěryhodnost a způsobuje selhání DMARC alignment.

Časté chyby a jak je řešit

Dva SPF záznamy na doméně

Častá chyba při přidávání Microsoft 365 ke stávajícímu e-mailu: administrátor vytvoří nový SPF záznam místo úpravy existujícího. Dva v=spf1 záznamy na jedné doméně znamenají automatické selhání SPF.

Řešení: Zkontrolujte DNS záznamy vaší domény. Pokud existuje SPF záznam, upravte ho — nepřidávejte nový.

DKIM CNAME záznamy se nepropagují

Po přidání CNAME záznamů nelze aktivovat DKIM podepisování v Defender portálu. Přepínač zůstává neaktivní.

Řešení: Ověřte, že CNAME záznamy jsou správně vytvořeny — zkontrolujte překlepy v hodnotách (pozor na pomlčky, tečky a podtržítka). Počkejte na propagaci DNS a zkuste aktivaci znovu. Stav záznamů ověříte naším DNS nástrojem.

DKIM aktivní, ale e-maily nejsou podepsány

CNAME záznamy existují v DNS, ale e-maily stále nemají DKIM podpis. Stav v Defender portálu ukazuje „Signing DKIM signatures for this domain", ale v hlavičkách e-mailů DKIM chybí.

Řešení: Ověřte, že odesíláte z vlastní domény, ne z výchozí *.onmicrosoft.com adresy. DKIM podepisování vlastní doménou funguje pouze pro odesílatele s adresou v dané doméně.

DMARC nasazený příliš brzy

Přeskočení monitorovací fáze (p=none) a přímé nasazení p=reject může zablokovat legitimní e-maily od služeb, které nemají správně nastavený SPF nebo DKIM.

Řešení: Vždy začněte s p=none a zpřísňujte až po analýze DMARC reportů.

Kontrolní seznam

• SPF záznam přidán do DNS (include:spf.protection.outlook.com)
• SPF záznam ověřen analyzérem — syntaxe, počet lookupů
• DKIM CNAME záznamy přidány do DNS (selector1._domainkey, selector2._domainkey)
• DKIM podepisování aktivováno v Defender portálu
• Testovací e-mail potvrzen — spf=pass a dkim=pass
• DMARC záznam nasazen s p=none a reportovací adresou
• DMARC záznam ověřen analyzérem
• Všechny další odesílací služby autentizovány (SPF + DKIM)
• Plán postupného zpřísnění DMARC politiky stanoven