Běžíme v testovacím provozu, prosíme o shovívavost a zpětnou vazbu.
Proč e-maily padají do spamu a jak to napravit

Proč e-maily padají do spamu a jak to napravit

· 7 min čtení · Tomas Hojgr · email-security
email-deliverability spf dkim dmarc email-authentication

Proč vaše e-maily končí ve spamu

Odesíláte faktury, nabídky nebo důležité zprávy — a příjemce je nenajde ve schránce. Místo toho leží ve složce spam. Problém přitom většinou není v obsahu zprávy, ale v nastavení vaší domény.

Doručitelnost e-mailů závisí na kombinaci technických faktorů: autentizaci odesílatele, reputaci domény a chování příjemců. Pokud některý z nich selže, mailové servery vaše zprávy penalizují — tiše, bez upozornění.

Chybějící nebo špatná e-mailová autentizace

Nejčastější příčina nedoručených e-mailů je chybějící nebo nesprávně nastavená autentizace. Gmail a Yahoo od února 2024 vyžadují e-mailovou autentizaci, Microsoft od května 2025. Tři protokoly tvoří základ:

  • SPF — definuje, které servery smějí odesílat e-maily za vaši doménu
  • DKIM — přidává k e-mailu digitální podpis, který ověřuje integritu zprávy a původ odesílatele
  • DMARC — propojuje SPF a DKIM s adresou v hlavičce From a určuje, co se má stát, když ověření selže

Bez těchto záznamů vaše e-maily nemají žádný důkaz legitimity. Mailový server příjemce je nemůže odlišit od podvržených zpráv, a proto je řadí do spamu — nebo rovnou odmítá.

Požadavky Googlu a Yahoo od roku 2024

Od února 2024 platí pro odesílatele zpřísněná pravidla. Pro všechny odesílatele:

  • SPF nebo DKIM musí být nastaveno

Pro hromadné odesílatele (nad 5 000 zpráv denně na Gmail adresy):

  • SPF i DKIM musí být nastaveno současně
  • DMARC záznam s politikou alespoň p=none a alignmentem u jednoho z protokolů
  • Snadné odhlášení jedním kliknutím (one-click unsubscribe)
  • Míra stížností na spam pod 0,3 %

Od listopadu 2025 Gmail přešel od varovných hlášení k aktivnímu vynucování — e-maily bez správné autentizace dostávají trvalé kódy odmítnutí a vracejí se odesílateli jako nedoručitelné.

Problém s alignmentem

Nastavit SPF, DKIM a DMARC nestačí — musí být správně propojené. DMARC vyžaduje, aby doména v hlavičce From odpovídala doméně ověřené přes SPF nebo DKIM. Tomuto propojení se říká alignment.

Častý scénář: firma používá externí službu pro rozesílání e-mailů (marketing, helpdesk, fakturace). Služba odesílá e-maily s adresou firmy v hlavičce From, ale SPF a DKIM jsou nastavené na doménu poskytovatele služby. SPF i DKIM projdou — ale DMARC selže, protože domény nejsou zarovnané.

Řešení:

  1. Nastavte DKIM podpis s použitím vaší domény (většina služeb to umožňuje přes CNAME záznamy v DNS)
  2. Ověřte alignment pomocí DMARC reportů — ty přesně ukáží, které zprávy procházejí a které ne

Reputace odesílatele

Každá doména a IP adresa má u mailových providerů reputaci. Reputace se buduje postupně na základě historie odesílání a chování příjemců.

Co reputaci poškozuje:

  • Vysoká míra stížností — příjemci označují vaše e-maily jako spam. Překročení 0,3 % u Gmailu vede k omezení doručování.
  • Bounce rate — odesílání na neexistující adresy. Vysoká míra bounců (obecně nad 2–5 %) výrazně snižuje reputaci a může vést k blacklistování.
  • Náhlý nárůst objemu — pokud běžně posíláte 50 e-mailů denně a najednou odešlete 5 000, spamové filtry to vyhodnotí jako podezřelé.
  • Zneužití domény — pokud někdo vaši doménu využije k spoofingu nebo phishingu, reputace klesne i pro legitimní e-maily.

Co reputaci zlepšuje:

  • Správně nastavená autentizace (SPF, DKIM, DMARC)
  • Nízká míra stížností a bounců
  • Postupné navyšování objemu odesílání (warm-up)
  • Aktivní správa seznamu příjemců — odstraňování neaktivních a neexistujících adres

Obsah a formátování zprávy

I s perfektní autentizací a reputací může konkrétní e-mail skončit ve spamu kvůli svému obsahu:

  • Podezřelé formátování — samý obrázek bez textu, skryté texty, přebytek HTML kódu
  • Podezřelé odkazy — zkracovače URL, odkazy na doménu jinou než odesílatel, příliš mnoho odkazů
  • Přílohy — zejména spustitelné soubory (.exe, .js, .bat) nebo makra v Office dokumentech
  • Chybějící textová verze — e-mail obsahuje pouze HTML bez alternativní textové verze (multipart/alternative)

Spamové filtry vyhodnocují obsah v kontextu — stejný text od odesílatele s dobrou reputací projde, od neznámého odesílatele ne. Autentizace a reputace jsou proto vždy důležitější než ladění obsahu.

Technické problémy s DNS

Správně fungující DNS záznamy jsou předpokladem pro e-mailovou autentizaci. Časté problémy:

  • Chybějící nebo neplatný SPF záznam — překlep v syntaxi, chybějící v=spf1, duplicitní TXT záznamy
  • Překročení limitu 10 DNS dotazů v SPF — složitější konfigurace s mnoha include mechanismy způsobí PermError a SPF kontrola selže
  • Expirovaný DKIM klíč — veřejný klíč v DNS neodpovídá privátnímu klíči na serveru, podpis se neověří
  • DMARC záznam bez správného formátu — chybějící v=DMARC1, špatná syntaxe parametrů p, rua nebo ruf
  • Pomalá DNS odpověď — pokud DNS server neodpoví včas, autentizace může selhat s výsledkem temperror

Všechny tyto problémy se projeví tichým selháním — e-mail se odešle, odesílatel nevidí chybu, ale zpráva skončí ve spamu nebo se nedoručí.

Jak zjistit příčinu

Diagnostika vyžaduje systematický přístup:

  1. Zkontrolujte autentizaci — ověřte SPF záznam, DKIM podpis a DMARC záznam vaší domény. Všechny tři musí být přítomné a správně nastavené.

  2. Projděte DMARC reporty — pokud máte v DMARC záznamu nastavenou adresu pro reporty (rua), dostáváte denní XML reporty od mailových providerů. Tyto reporty ukáží, které e-maily prošly a které selhaly na SPF, DKIM nebo alignmentu. Tyto reporty přijdou na adresu uvedenou v tagu rua.

  3. Zkontrolujte hlavičky e-mailu — v doručeném (i spam) e-mailu najděte hlavičky Authentication-Results, Received-SPF a DKIM-Signature. Ukáží přesný výsledek každé kontroly.

  4. Ověřte reputaci — Google nabízí Postmaster Tools, kde zjistíte reputaci vaší domény a IP adresy u Gmailu.

  5. Zkontrolujte blacklisty — ověřte, zda vaše IP adresa nebo doména není na veřejných blacklistech (Spamhaus, Barracuda, SORBS).

Prevence — jak se spamové složce vyhnout

Jednorázové nastavení autentizace je dobrý začátek, ale nestačí. DNS záznamy se mění, přibývají nové odesílací služby, klíče expirují.

Systematická prevence zahrnuje:

  • Nastavte SPF, DKIM a DMARC — pokud ještě nemáte, začněte s nastavením SPF, DKIM a DMARC
  • Aktivujte DMARC reporty — bez nich netušíte, co se s vašimi e-maily děje
  • Monitorujte průběžně — změna DNS, nový mailový provider nebo expirovaný klíč může doručitelnost narušit kdykoli
  • Udržujte čistý seznam příjemců — pravidelně odstraňujte neexistující adresy a neaktivní kontakty
  • Postupně navyšujte objem — při spuštění nové kampaně nebo přechodu na novou IP adresu začněte s malým objemem

Kompletní analýza domény vám ukáže stav všech záznamů na jednom místě a pomůže identifikovat konkrétní problémy dříve, než se projeví nedoručenými e-maily.

Číst v jiném jazyce: English

Související články

Co je SPF záznam a proč ho potřebujete
spf

Co je SPF záznam a proč ho potřebujete

SPF záznam chrání vaši doménu před zneužitím k rozesílání podvodných e-mailů. Zjistěte, jak funguje, jak ho nastavit a proč je nezbytný pro…

· 6 min čtení
Co je DKIM a jak funguje
dkim

Co je DKIM a jak funguje

DKIM ověřuje integritu a původ e-mailů digitálním podpisem. Zjistěte, jak funguje, jak ho nastavit a proč je nezbytný pro DMARC a doručitelnost.

· 8 min čtení
Co je DMARC a jak funguje
dmarc

Co je DMARC a jak funguje

DMARC propojuje SPF a DKIM a přidává politiku pro neautentizované e-maily. Zjistěte, jak funguje, jak ho nasadit a proč ho vyžadují Google i Yahoo.

· 8 min čtení