Nastavení SPF, DKIM a DMARC u českých providerů
Proč řešit autentizaci u českých providerů
Většina českých firem hostuje doménu u jednoho ze tří velkých providerů — WEDOS, Forpsi nebo Active24. Každý z nich má vlastní administrační rozhraní a specifický postup nastavení SPF, DKIM a DMARC. Univerzální návody proto často nestačí — potřebujete přesné hodnoty DNS záznamů pro vašeho providera.
Od roku 2024 Google a Yahoo vyžadují, aby odesílatelé měli nastavenou e-mailovou autentizaci. Bez ní vaše e-maily skončí ve spamu nebo budou odmítnuty. Tento průvodce vám ukáže přesný postup pro každého z hlavních českých providerů.
WEDOS
SPF záznam
Přihlaste se do zákaznické administrace WEDOS a přejděte do správy DNS vaší domény. Vytvořte nový TXT záznam na kořen domény:
v=spf1 mx a include:_spf.we.wedos.net -all
mxaa— autorizuje IP adresy z MX a A záznamů doményinclude:_spf.we.wedos.net— autorizuje mailservery WEDOS-all— ostatní zdroje odmítne (hardfail)
Pokud kromě WEDOS odesíláte e-maily i z dalších služeb (Google Workspace, Mailchimp, fakturační systém), přidejte jejich include mechanismy do stejného záznamu:
v=spf1 mx a include:_spf.we.wedos.net include:_spf.google.com -all
Důležité: Doména smí mít pouze jeden SPF záznam. Dva záznamy začínající v=spf1 způsobí selhání SPF kontroly (RFC 7208, sekce 4.5). Ověřte, že nemáte duplicitní SPF záznam — zkontrolujte SPF analyzérem.
DKIM podpis
WEDOS rozlišuje dva způsoby odesílání e-mailů a každý vyžaduje jiné nastavení DKIM:
E-maily odesílané přes PHP mail() (webové aplikace, formuláře)
Přidejte dva CNAME záznamy do DNS:
| Název | Typ | Hodnota |
|---|---|---|
key1.wedos-dkim._domainkey |
CNAME | key1.dkim-we.wedos.net |
key2.wedos-dkim._domainkey |
CNAME | key2.dkim-we.wedos.net |
E-maily odesílané přes SMTP (e-mailový klient, Outlook, Thunderbird)
WEDOS automaticky podepisuje e-maily sdíleným DKIM klíčem (shared.dkim-wes1.wedos.net). Na vaší straně není potřeba nic nastavovat — podepisování probíhá automaticky na SMTP serveru.
Omezení: Sdílený DKIM klíč znamená, že podpis není pod vaší doménou, ale pod doménou WEDOS. To může způsobit problémy s DMARC alignment. Pokud nasazujete DMARC s politikou quarantine nebo reject, ověřte alignment v DMARC reportech.
DMARC záznam
Vytvořte TXT záznam s názvem _dmarc:
v=DMARC1; p=none; rua=mailto:firma.cz@rua.spfmonitor.com,mailto:dmarc@firma.cz
Pokud zadáte adresu SPF Monitoru (firma.cz@rua.spfmonitor.com), reporty se automaticky zpracují a vizualizují — nemusíte parsovat XML soubory. Ověřte záznam DMARC analyzérem.
DNS změny u WEDOS se propagují obvykle do 1 hodiny.
Forpsi
SPF záznam
Přihlaste se do administrace Forpsi, otevřete správu domény a přejděte do sekce DNS záznamů. Vytvořte TXT záznam na kořen domény:
v=spf1 a mx include:_spf.forpsi.com -all
aamx— autorizuje IP adresy z A a MX záznamůinclude:_spf.forpsi.com— autorizuje mailservery Forpsi
S dalšími odesílacími službami:
v=spf1 a mx include:_spf.forpsi.com include:mailgun.org -all
Zkontrolujte, že na doméně nemáte dva SPF záznamy. Ověřte SPF analyzérem.
DKIM podpis
Forpsi umožňuje DKIM podepisování pouze pro e-maily odesílané přes smtp.forpsi.com. E-maily odeslané přes PHP mail() nebo jiný SMTP server DKIM podpis nedostanou.
Postup aktivace:
- V administraci Forpsi přejděte na správu hostingu
- Otevřete záložku DKIM
- Klikněte na Aktivovat DKIM u příslušné domény
Pokud máte doménu i hosting ve stejném účtu a používáte DNS servery Forpsi, aktivace je automatická — TXT záznam se přidá do DNS sám. Stačí potvrdit kliknutím na OK.
Pokud máte DNS jinde (například na Cloudflare), Forpsi zobrazí TXT záznam s hostname a hodnotou veřejného klíče. Tento záznam ručně přidejte ke svému DNS poskytovateli. Můžete zvolit délku klíče 1024 nebo 2048 bitů — volte 2048 bitů pro lepší bezpečnost.
Propagace DNS trvá přibližně 30 minut. Ověřte DKIM záznam DKIM analyzérem.
DMARC záznam
Vytvořte TXT záznam s názvem _dmarc:
v=DMARC1; p=none; rua=mailto:firma.cz@rua.spfmonitor.com,mailto:dmarc@firma.cz
Ověřte záznam DMARC analyzérem.
Active24
Active24 je nyní součástí skupiny Websupport. Administrační rozhraní a DNS správa se postupně sjednocují, ale postup nastavení zůstává stejný.
SPF záznam
Přihlaste se do zákaznické zóny Active24, v levém menu rozbalte Domény a klikněte na DNS záznamy. Vytvořte TXT záznam:
- Název:
@(kořen domény) - TTL: 3600
- Typ: TXT
- Hodnota:
v=spf1 include:spf.active24.com ~all
Mechanismus include:spf.active24.com autorizuje mailservery Active24. S dalšími službami rozšiřte záznam:
v=spf1 include:spf.active24.com include:_spf.google.com ~all
Ověřte SPF analyzérem, že nemáte duplicitní záznam.
DKIM podpis
Active24 používá sdílený DKIM klíč se selektorem a24. Pokud používáte DNS servery Active24 a e-mailové služby Active24, DKIM TXT záznam je většinou nastaven automaticky.
Pokud záznam chybí, přidejte ho ručně:
- Název:
a24._domainkey - Typ: TXT
- Hodnota: veřejný klíč, který najdete v administraci e-mailových služeb Active24
Omezení: DKIM podepisování funguje pouze pro e-maily odesílané přes email.active24.com. Číslované varianty (email01.active24.com, email02.active24.com) a webmail DKIM nepodporují.
Změny DKIM záznamů u Active24 se projeví až následující den po propagaci na servery. Stav ověříte DKIM analyzérem.
DMARC záznam
Vytvořte TXT záznam s názvem _dmarc:
v=DMARC1; p=none; rua=mailto:firma.cz@rua.spfmonitor.com,mailto:dmarc@firma.cz
Ověřte záznam DMARC analyzérem.
Kombinace českého providera s externími službami
Typický scénář: doménu a e-mail máte u WEDOS, Forpsi nebo Active24, ale e-maily odesíláte i z dalších služeb — Google Workspace, Microsoft 365, Mailchimp, fakturační systém nebo helpdesk.
SPF — jeden záznam pro všechny služby
Všechny include mechanismy musí být v jednom SPF záznamu. Příklad pro WEDOS s Google Workspace a Mailchimp:
v=spf1 mx a include:_spf.we.wedos.net include:_spf.google.com include:servers.mcsv.net -all
Pozor na limit 10 DNS lookupů. Každý include spotřebuje minimálně jeden lookup. Překročení limitu způsobí chybu PermError a selhání SPF. Zkontrolujte počet lookupů SPF analyzérem.
DKIM — každá služba vlastní klíč
Každá odesílací služba potřebuje vlastní DKIM konfiguraci. Například pokud odesíláte přes Google Workspace i WEDOS, budete mít v DNS DKIM záznamy od obou služeb — každý s jiným selektorem. To je správně, DKIM záznamů může být na doméně více.
Podrobný postup nastavení DKIM pro Google Workspace a Microsoft 365 najdete v samostatných článcích.
Srovnání providerů
| WEDOS | Forpsi | Active24 | |
|---|---|---|---|
| SPF include | _spf.we.wedos.net |
_spf.forpsi.com |
spf.active24.com |
| DKIM typ | CNAME (PHP mail) / automatický (SMTP) | TXT (automatický nebo ruční) | TXT (sdílený klíč a24) |
| DKIM délka klíče | závisí na konfiguraci | 1024 nebo 2048 bitů | 1024 bitů |
| DKIM selektor | key1.wedos-dkim / key2.wedos-dkim |
z administrace | a24 |
| Propagace DNS | do 1 hodiny | ~30 minut | do dalšího dne (DKIM) |
| DKIM omezení | sdílený klíč pro SMTP | jen pro smtp.forpsi.com | jen pro email.active24.com |
Časté chyby a jak je řešit
Dva SPF záznamy na doméně
Nejčastější chyba u všech providerů. Administrátor přidá nový SPF záznam pro externí službu místo úpravy existujícího. Výsledek: oba záznamy jsou neplatné.
Řešení: Zkontrolujte DNS záznamy domény. Pokud máte dva TXT záznamy začínající v=spf1, sloučte je do jednoho.
DKIM nefunguje po změně DNS poskytovatele
Po migraci domény na jiné DNS servery (např. z providera na Cloudflare) se ztratí automaticky nastavené záznamy včetně DKIM.
Řešení: Po migraci DNS ručně přidejte DKIM záznamy podle pokynů vašeho e-mailového providera. Ověřte DKIM analyzérem.
DMARC alignment selhává se sdíleným DKIM
Čeští provideři často používají sdílené DKIM klíče. E-mail je podepsán doménou providera, ne vaší doménou — DKIM alignment pak nesedí. Pokud máte správně nastavený SPF, DMARC projde díky SPF alignment. Problém nastane, pokud selže i SPF (například při přeposílání).
Řešení: Nasaďte DMARC s politikou p=none, sledujte DMARC reporty a vyhodnoťte, zda alignment funguje. Pokud ne, zvažte přechod na e-mailovou službu s plnou podporou vlastního DKIM (Google Workspace, Microsoft 365).
E-maily z webového formuláře nejsou autentizovány
Kontaktní formulář na webu odesílá e-maily přes PHP mail() bez DKIM podpisu (Forpsi, Active24) nebo se sdíleným podpisem (WEDOS).
Řešení: Nastavte formulář tak, aby odesílal e-maily přes SMTP vašeho providera, nebo použijte transakční e-mailovou službu (SendGrid, Mailgun, Amazon SES) s vlastní DKIM konfigurací.
Kontrolní seznam
- SPF záznam přidán s odpovídajícím
includepro vašeho providera - SPF ověřen analyzérem — jeden záznam, správná syntaxe, pod 10 lookupů
- DKIM aktivován podle postupu vašeho providera
- DKIM ověřen analyzérem
- DMARC nasazen s
p=nonea reportovací adresou - DMARC ověřen analyzérem
- Testovací e-mail odeslán — zkontrolovány hlavičky
spf=passadkim=pass - Všechny externí odesílací služby zahrnuty v SPF záznamu
- Plán postupného zpřísnění DMARC politiky stanoven
