Běžíme v testovacím provozu, prosíme o shovívavost a zpětnou vazbu.
Nastavení SPF, DKIM a DMARC pro Google Workspace

Nastavení SPF, DKIM a DMARC pro Google Workspace

· 9 min čtení · Tomas Hojgr · email-security
spf dkim dmarc email-authentication google-workspace

Proč Google Workspace vyžaduje správnou autentizaci

Google od února 2024 vyžaduje, aby všichni odesílatelé měli nastavený SPF nebo DKIM. Odesílatelé nad 5 000 zpráv denně musí mít oboje plus DMARC. Bez správné autentizace riskujete, že vaše e-maily skončí ve spamu nebo budou odmítnuty.

Tento průvodce vás provede nastavením všech tří protokolů pro Google Workspace krok za krokem — od SPF přes DKIM až po DMARC.

Než začnete

Pro nastavení potřebujete:

  • Přístup do Google Admin konzole (admin.google.com) s oprávněním super administrátora
  • Přístup k DNS správci vaší domény (registrátor nebo služba jako Cloudflare)
  • Seznam všech služeb, které odesílají e-maily z vaší domény — kromě Google Workspace to mohou být marketingové platformy, helpdesk, fakturační systém nebo CRM

Pokud nevíte, jaké služby odesílají e-maily z vaší domény, spusťte kompletní analýzu domény — ukáže vám všechny odesílající zdroje.

Krok 1: Nastavení SPF

SPF (Sender Policy Framework) říká přijímajícím serverům, které servery smí odesílat e-maily z vaší domény. Pro Google Workspace přidáte do DNS jediný TXT záznam.

SPF záznam pro Google Workspace

Pokud odesíláte e-maily pouze přes Google Workspace, přidejte tento TXT záznam na kořen domény (@):

v=spf1 include:_spf.google.com ~all

Mechanismus include:_spf.google.com autorizuje všechny IP adresy serverů Google, ze kterých se odesílají e-maily Workspace.

SPF záznam s dalšími službami

Pokud kromě Google Workspace odesíláte e-maily i z jiných služeb, přidejte jejich include mechanismy do stejného záznamu. Příklad s Mailgun a vlastním serverem:

v=spf1 include:_spf.google.com include:mailgun.org ip4:203.0.113.10 ~all

Důležité: Doména smí mít pouze jeden SPF záznam. Dva samostatné TXT záznamy začínající v=spf1 způsobí selhání SPF kontroly (RFC 7208, sekce 4.5). Všechny odesílající zdroje musí být v jednom záznamu.

Přidání do DNS

  1. Přihlaste se ke správci DNS vaší domény
  2. Přejděte do sekce DNS záznamů
  3. Vytvořte nový TXT záznam:
    • Host/Název: @ (kořen domény)
    • Typ: TXT
    • Hodnota: váš SPF záznam
  4. Uložte změny

Propagace DNS trvá obvykle minuty, maximálně 48 hodin. Ověřte správnost záznamu SPF analyzérem.

~all versus -all

Google v dokumentaci doporučuje ~all (softfail). V praxi je rozdíl mezi ~all a -all (hardfail) minimální — velcí poskytovatelé jako Google nebo Microsoft se řídí primárně DMARC politikou, ne kvalifikátorem SPF. Přesto doporučujeme ~all během zavádění a přechod na -all až po ověření, že všechny legitimní zdroje jsou v záznamu zahrnuty.

Krok 2: Nastavení DKIM

DKIM (DomainKeys Identified Mail) přidává ke každému e-mailu kryptografický podpis. Příjemce ověří podpis pomocí veřejného klíče v DNS a potvrdí, že zpráva nebyla cestou změněna a pochází z vaší domény.

Vygenerování DKIM klíče v Admin konzoli

  1. Přihlaste se do Google Admin konzole
  2. Přejděte na AplikaceGoogle WorkspaceGmailOvěřit e-mail (Authenticate email)
  3. V menu Vybraná doména zvolte doménu, pro kterou nastavujete DKIM
  4. Klikněte na Vygenerovat nový záznam
  5. Zvolte délku klíče 2048 bitů (doporučeno) — pokud váš DNS poskytovatel nepodporuje tak dlouhé TXT záznamy, zvolte 1024 bitů
  6. Prefix selektoru ponechte na výchozím google, pokud nemáte důvod ho měnit
  7. Klikněte na Vygenerovat

Admin konzole zobrazí TXT záznam, který přidáte do DNS.

Přidání DKIM záznamu do DNS

  1. Přejděte ke správci DNS vaší domény
  2. Vytvořte nový TXT záznam:
    • Host/Název: google._domainkey (nebo jiný prefix, pokud jste ho změnili)
    • Typ: TXT
    • Hodnota: kompletní řetězec začínající v=DKIM1; k=rsa; p=... zkopírovaný z Admin konzole
  3. Uložte změny

Aktivace DKIM podepisování

Samotné přidání DNS záznamu nestačí — musíte se vrátit do Admin konzole a podepisování explicitně zapnout:

  1. Přejděte zpět na AplikaceGoogle WorkspaceGmailOvěřit e-mail
  2. Klikněte na Zahájit ověřování (Start authentication)

Pokud tlačítko není aktivní, DNS záznam se ještě nepropagoval. Počkejte a zkuste to znovu — propagace trvá obvykle minuty, ale může trvat až 48 hodin.

Ověření funkčnosti DKIM

Po aktivaci odešlete testovací e-mail na adresu mimo vaši doménu (např. na osobní Gmail) a zkontrolujte hlavičky přijatého e-mailu:

Authentication-Results: mx.google.com;
    dkim=pass header.d=firma.cz header.s=google

Pokud vidíte dkim=pass, podepisování funguje. Můžete také ověřit DNS záznam naším DKIM analyzérem.

Krok 3: Nastavení DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance) propojuje SPF a DKIM s adresou odesílatele v hlavičce From. Říká přijímajícím serverům, co dělat s e-maily, které autentizací neprojdou, a posílá vám reporty o výsledcích.

Počkejte minimálně 48 hodin po nastavení SPF a DKIM, než DMARC nasadíte. Přijímající servery potřebují čas na rozpoznání vašich nových záznamů.

DMARC záznam pro začátek

Začněte s politikou none — DMARC bude pouze monitorovat a posílat reporty, aniž by ovlivňoval doručování:

v=DMARC1; p=none; rua=mailto:firma.cz@rua.spfmonitor.com,mailto:dmarc@firma.cz
  • p=none — monitorovací režim, e-maily se doručují normálně
  • rua= — adresy pro příjem souhrnných (aggregate) reportů

Pokud zadáte adresu SPF Monitoru (firma.cz@rua.spfmonitor.com), reporty se automaticky zpracují, vizualizují a při problémech dostanete upozornění — nemusíte ručně parsovat XML soubory.

Přidání do DNS

  1. Přejděte ke správci DNS vaší domény
  2. Vytvořte nový TXT záznam:
    • Host/Název: _dmarc
    • Typ: TXT
    • Hodnota: váš DMARC záznam
  3. Uložte změny

Ověřte správnost záznamu DMARC analyzérem.

Postupné zpřísnění politiky

Po 2–4 týdnech monitorování analyzujte DMARC reporty. Pokud legitimní e-maily procházejí autentizací bez problémů, zpřísněte politiku postupně:

  1. p=none — monitorování (2–4 týdny)
  2. p=quarantine; pct=10 — 10 % neautentizovaných zpráv do karantény
  3. p=quarantine; pct=100 — všechny neautentizované do karantény
  4. p=reject — plné odmítání neautentizovaných zpráv

Parametr pct umožňuje postupný náběh — můžete začít na 10 % a postupně zvyšovat. Jak číst DMARC reporty a vyhodnocovat výsledky, popisujeme v samostatném článku.

Další odesílací služby

Google Workspace není jediný zdroj e-mailů z vaší domény. Marketingové platformy (Mailchimp, Brevo), transakční služby (SendGrid, Mailgun, Amazon SES), helpdesk (Zendesk, Freshdesk) nebo fakturační systémy — každá z těchto služeb potřebuje vlastní autentizaci.

SPF pro další služby

Přidejte include mechanismus každé služby do vašeho SPF záznamu. Každá služba uvádí svou include adresu v dokumentaci. Příklad se třemi službami:

v=spf1 include:_spf.google.com include:mailgun.org include:sendgrid.net ~all

Pozor na limit 10 DNS lookupů v SPF záznamu. Každý include spotřebuje minimálně jeden lookup. Pokud limit překročíte, SPF kontrola selže s chybou PermError. Zkontrolujte počet lookupů SPF analyzérem.

DKIM pro další služby

Každá služba má v administraci sekci pro ověření domény (Domain Authentication / Domain Verification). Služba vygeneruje DNS záznamy (TXT nebo CNAME), které přidáte ke své doméně. Po ověření bude služba podepisovat e-maily DKIM klíčem vaší domény místo svého výchozího.

Bez DKIM ověření služba podepisuje e-maily vlastní doménou — příjemce vidí „podepsáno: sendgrid.net" místo vaší domény. To narušuje důvěryhodnost a způsobuje selhání DMARC alignment.

Časté chyby a jak je řešit

Dva SPF záznamy na doméně

Častá chyba při přidávání Google Workspace ke stávajícímu e-mailu: administrátor vytvoří nový SPF záznam místo úpravy existujícího. Dva v=spf1 záznamy na jedné doméně znamenají automatické selhání SPF.

Řešení: Zkontrolujte DNS záznamy vaší domény. Pokud existuje SPF záznam, upravte ho — nepřidávejte nový.

DKIM zapomenutá aktivace

DNS záznam s DKIM klíčem existuje, ale v Google Admin konzoli nebylo kliknuto na Zahájit ověřování. E-maily se nepodepisují, i když klíč je v DNS správně.

Řešení: Vraťte se do Admin konzole → Gmail → Ověřit e-mail a klikněte na Zahájit ověřování.

DMARC nasazený příliš brzy

Přeskočení monitorovací fáze (p=none) a přímé nasazení p=reject může zablokovat legitimní e-maily od služeb, které nemají správně nastavený SPF nebo DKIM.

Řešení: Vždy začněte s p=none a zpřísňujte až po analýze DMARC reportů.

Chybějící autentizace třetích stran

DMARC reporty ukazují selhání u e-mailů odeslaných z marketingové platformy nebo helpdesku. Služba odesílá z vaší domény, ale nemá nastavenou autentizaci.

Řešení: Zmapujte všechny odesílací služby, nastavte pro každou SPF (include) i DKIM. Kompletní analýza domény vám ukáže všechny zdroje e-mailů.

Kontrolní seznam

  • SPF záznam přidán do DNS (include:_spf.google.com)
  • SPF záznam ověřen analyzérem — syntaxe, počet lookupů
  • DKIM klíč vygenerován v Admin konzoli (2048 bitů)
  • DKIM TXT záznam přidán do DNS (google._domainkey)
  • DKIM podepisování aktivováno v Admin konzoli (Zahájit ověřování)
  • Testovací e-mail potvrzen — spf=pass a dkim=pass
  • DMARC záznam nasazen s p=none a reportovací adresou
  • DMARC záznam ověřen analyzérem
  • Všechny další odesílací služby autentizovány (SPF + DKIM)
  • Plán postupného zpřísnění DMARC politiky stanoven
Číst v jiném jazyce: English

Související články

Co je SPF záznam a proč ho potřebujete
spf

Co je SPF záznam a proč ho potřebujete

SPF záznam chrání vaši doménu před zneužitím k rozesílání podvodných e-mailů. Zjistěte, jak funguje, jak ho nastavit a proč je nezbytný pro…

· 6 min čtení
Jak nastavit DKIM záznam krok za krokem
dkim

Jak nastavit DKIM záznam krok za krokem

Praktický návod na nastavení DKIM záznamu. Od generování klíčů přes DNS publikaci po konfiguraci Google Workspace, Microsoft 365 a vlastního serveru.

· 9 min čtení
Jak nastavit DMARC záznam pro vaši doménu
dmarc

Jak nastavit DMARC záznam pro vaši doménu

Praktický návod na nastavení DMARC záznamu krok za krokem. Od prvního záznamu s p=none přes analýzu reportů až po plnou ochranu s p=reject.

· 10 min čtení