Běžíme v testovacím provozu, prosíme o shovívavost a zpětnou vazbu.
Proč e-maily padají do spamu a jak to napravit

Proč e-maily padají do spamu a jak to napravit

· 11 min čtení · Tomas Hojgr · Zabezpečení e-mailu
Doručitelnost e-mailů SPF DKIM DMARC E-mailová autentizace Řešení problémů

Proč vaše e-maily končí ve spamu

Odesíláte faktury, nabídky nebo důležité zprávy — a příjemce je nenajde ve schránce. Místo toho leží ve složce spam. Problém přitom většinou není v obsahu zprávy, ale v nastavení vaší domény.

Doručitelnost e-mailů závisí na kombinaci technických faktorů: autentizaci odesílatele, reputaci domény a chování příjemců. Pokud některý z nich selže, mailové servery vaše zprávy penalizují — tiše, bez upozornění.

Následující tabulka shrnuje nejčastější příčiny a jejich řešení:

Příčina Dopad Řešení
Chybějící SPF záznam Server příjemce nemůže ověřit oprávněnost odesílatele Vytvořit SPF záznam
Chybějící DKIM podpis E-mail nemá ověřitelný digitální podpis Nastavit DKIM
Chybějící DMARC Příjemce nemá instrukci, jak nakládat s neautentizovanými e-maily Nastavit DMARC
Selhání alignmentu DMARC kontrola selže, i když SPF/DKIM projdou Nakonfigurovat DKIM s vlastní doménou u odesílající služby
Špatná reputace domény E-maily filtrované do spamu i při správné autentizaci Zlepšit reputaci odesílatele
Překročení 10 DNS lookupů v SPF SPF kontrola skončí chybou PermError Zkontrolovat SPF záznam a zredukovat include mechanismy
Obsah e-mailu Spamové filtry vyhodnotí obsah jako podezřelý Opravit formátování, odstranit podezřelé odkazy

Chybějící nebo špatná e-mailová autentizace

Nejčastější příčina nedoručených e-mailů je chybějící nebo nesprávně nastavená autentizace. Gmail a Yahoo od února 2024 vyžadují e-mailovou autentizaci, Microsoft od května 2025. Tři protokoly tvoří základ:

  • SPF — definuje, které servery smějí odesílat e-maily za vaši doménu
  • DKIM — přidává k e-mailu digitální podpis, který ověřuje integritu zprávy a původ odesílatele
  • DMARC — propojuje SPF a DKIM s adresou v hlavičce From a určuje, co se má stát, když ověření selže

Bez těchto záznamů vaše e-maily nemají žádný důkaz legitimity. Mailový server příjemce je nemůže odlišit od podvržených zpráv, a proto je řadí do spamu — nebo rovnou odmítá.

Jak vypadá správný a chybný SPF záznam:

; Správně — obsahuje všechny oprávněné odesílatele, končí -all
v=spf1 include:_spf.google.com include:servers.mcsv.net -all

; Chybně — chybí include pro Mailchimp, e-maily z něj selžou na SPF
v=spf1 include:_spf.google.com -all

Pokud si nejste jistí, zda je váš SPF záznam kompletní, zkontrolujte ho analyzérem. Ten ověří syntaxi, počet DNS lookupů i pokrytí odesílajících serverů.

Požadavky Googlu, Yahoo a Microsoftu

Od února 2024 platí pro odesílatele zpřísněná pravidla. Pro všechny odesílatele:

  • SPF nebo DKIM musí být nastaveno

Pro hromadné odesílatele (nad 5 000 zpráv denně na Gmail adresy):

  • SPF i DKIM musí být nastaveno současně
  • DMARC záznam s politikou alespoň p=none a alignmentem u jednoho z protokolů
  • Snadné odhlášení jedním kliknutím (one-click unsubscribe)
  • Míra stížností na spam pod 0,3 %

Od listopadu 2025 Gmail přešel od varovných hlášení k aktivnímu vynucování — e-maily bez správné autentizace dostávají trvalé kódy odmítnutí a vracejí se odesílateli jako nedoručitelné. Microsoft od května 2025 uplatňuje obdobná pravidla pro domény odesílající více než 5 000 zpráv denně. Podrobný přehled najdete v článku Požadavky Googlu a Yahoo na odesílatele e-mailů.

Problém s alignmentem

Nastavit SPF, DKIM a DMARC nestačí — musí být správně propojené. DMARC vyžaduje, aby doména v hlavičce From odpovídala doméně ověřené přes SPF nebo DKIM. Tomuto propojení se říká alignment.

Častý scénář: firma používá externí službu pro rozesílání e-mailů (marketing, helpdesk, fakturace). Služba odesílá e-maily s adresou firmy v hlavičce From, ale SPF a DKIM jsou nastavené na doménu poskytovatele služby. SPF i DKIM projdou — ale DMARC selže, protože domény nejsou zarovnané.

Příklad selhání alignmentu:

From: info@firma.cz
Return-Path: bounce@emailsluzba.com     → SPF pass pro emailsluzba.com, alignment FAIL
DKIM-Signature: d=emailsluzba.com       → DKIM pass pro emailsluzba.com, alignment FAIL
→ DMARC FAIL (žádný protokol není alignovaný s firma.cz)

Řešení:

  1. Nastavte DKIM podpis s použitím vaší domény (většina služeb to umožňuje přes CNAME záznamy v DNS)
  2. Ověřte alignment pomocí DMARC reportů — ty přesně ukáží, které zprávy procházejí a které ne
  3. Zkontrolujte DKIM záznam vaší domény — analyzér ověří, zda je podpis platný a odpovídá vaší doméně

Reputace odesílatele

Každá doména a IP adresa má u mailových providerů reputaci. Reputace se buduje postupně na základě historie odesílání a chování příjemců. I s perfektní autentizací vám špatná reputace doručitelnost zničí.

Co reputaci poškozuje:

  • Vysoká míra stížností — příjemci označují vaše e-maily jako spam. Překročení 0,3 % u Gmailu vede k omezení doručování.
  • Bounce rate — odesílání na neexistující adresy. Vysoká míra bounců (obecně nad 2–5 %) výrazně snižuje reputaci a může vést k blacklistování. Podrobnosti najdete v článku Bounce rate e-mailů.
  • Náhlý nárůst objemu — pokud běžně posíláte 50 e-mailů denně a najednou odešlete 5 000, spamové filtry to vyhodnotí jako podezřelé.
  • Zneužití domény — pokud někdo vaši doménu využije k spoofingu nebo phishingu, reputace klesne i pro legitimní e-maily. DMARC s politikou p=reject tomuto zneužití zabrání.

Co reputaci zlepšuje:

  • Správně nastavená autentizace (SPF, DKIM, DMARC)
  • Nízká míra stížností a bounců
  • Postupné navyšování objemu odesílání (IP warmup)
  • Aktivní správa seznamu příjemců — odstraňování neaktivních a neexistujících adres
  • Pozitivní engagement příjemců — otevírání e-mailů, klikání na odkazy

Obsah a formátování zprávy

I s perfektní autentizací a reputací může konkrétní e-mail skončit ve spamu kvůli svému obsahu:

  • Podezřelé formátování — samý obrázek bez textu, skryté texty, přebytek HTML kódu
  • Podezřelé odkazy — zkracovače URL, odkazy na doménu jinou než odesílatel, příliš mnoho odkazů
  • Přílohy — zejména spustitelné soubory (.exe, .js, .bat) nebo makra v Office dokumentech
  • Chybějící textová verze — e-mail obsahuje pouze HTML bez alternativní textové verze (multipart/alternative)
  • Spamová klíčová slova — nadměrné použití slov jako „zdarma", „sleva", „výhra" v kombinaci s agresivním formátováním (velká písmena, vykřičníky, červený text)

Spamové filtry vyhodnocují obsah v kontextu — stejný text od odesílatele s dobrou reputací projde, od neznámého odesílatele ne. Autentizace a reputace jsou proto vždy důležitější než ladění obsahu.

Technické problémy s DNS

Správně fungující DNS záznamy jsou předpokladem pro e-mailovou autentizaci. Časté problémy:

  • Chybějící nebo neplatný SPF záznam — překlep v syntaxi, chybějící v=spf1, duplicitní TXT záznamy
  • Překročení limitu 10 DNS dotazů v SPF — složitější konfigurace s mnoha include mechanismy způsobí PermError a SPF kontrola selže
  • Expirovaný DKIM klíč — veřejný klíč v DNS neodpovídá privátnímu klíči na serveru, podpis se neověří
  • DMARC záznam bez správného formátu — chybějící v=DMARC1, špatná syntaxe parametrů p, rua nebo ruf
  • Pomalá DNS odpověď — pokud DNS server neodpoví včas, autentizace může selhat s výsledkem temperror

Všechny tyto problémy se projeví tichým selháním — e-mail se odešle, odesílatel nevidí chybu, ale zpráva skončí ve spamu nebo se nedoručí. Příklad chybného DMARC záznamu:

; Chybně — chybí povinný tag v=DMARC1, špatný formát rua
_dmarc.firma.cz TXT "p=none; rua=dmarc@firma.cz"

; Správně — kompletní záznam s reportovací adresou
_dmarc.firma.cz TXT "v=DMARC1; p=none; rua=mailto:firma.cz@rua.spfmonitor.com"

Jak zjistit příčinu

Diagnostika vyžaduje systematický přístup. Následující postup pokrývá nejčastější scénáře:

  1. Zkontrolujte autentizaci — ověřte SPF záznam, DKIM podpis a DMARC záznam vaší domény. Všechny tři musí být přítomné a správně nastavené.

  2. Projděte DMARC reporty — pokud máte v DMARC záznamu nastavenou adresu pro reporty (rua), dostáváte denní XML reporty od mailových providerů. Tyto reporty ukáží, které e-maily prošly a které selhaly na SPF, DKIM nebo alignmentu. Pokud reporty ještě nemáte, nastavte si je.

  3. Zkontrolujte hlavičky e-mailu — v doručeném (i spam) e-mailu najděte hlavičku Authentication-Results. Ukáže přesný výsledek každé kontroly:

Authentication-Results: mx.google.com;
  spf=pass smtp.mailfrom=firma.cz;
  dkim=pass header.d=firma.cz;
  dmarc=pass header.from=firma.cz

Pokud místo pass vidíte fail nebo none, problém je v odpovídajícím protokolu. DMARC fail článek podrobně rozebírá všechny příčiny a řešení.

  1. Ověřte reputaci — Google nabízí Postmaster Tools, kde zjistíte reputaci vaší domény a IP adresy u Gmailu.

  2. Zkontrolujte blacklisty — ověřte, zda vaše IP adresa nebo doména není na veřejných blacklistech (Spamhaus, Barracuda, SORBS).

Kontrolní seznam doručitelnosti

Projděte tento checklist a ověřte, že máte pokryté všechny klíčové oblasti:

Autentizace:

  • SPF záznam existuje a obsahuje všechny oprávněné odesílatele — ověřit SPF
  • SPF záznam nepřekračuje limit 10 DNS lookupů
  • DKIM podpis je aktivní a klíč v DNS je platný — ověřit DKIM
  • DMARC záznam existuje minimálně s politikou p=noneověřit DMARC
  • DMARC záznam obsahuje adresu pro reporty (rua=)
  • Alignment funguje — doména v SPF/DKIM odpovídá doméně v hlavičce From

Reputace a seznam příjemců:

  • Bounce rate je pod 2 %
  • Míra stížností na spam je pod 0,1 % (max 0,3 %)
  • Neexistující adresy (hard bouncy) jsou okamžitě odstraňovány
  • Neaktivní příjemci (6–12 měsíců bez otevření) jsou odebíráni
  • Doména ani IP adresa není na blacklistu

Obsah a technické nastavení:

  • E-maily obsahují textovou i HTML verzi (multipart/alternative)
  • Odhlášení z odběru funguje jedním kliknutím
  • Odkazy vedou na důvěryhodné domény (žádné zkracovače)
  • DNS server odpovídá rychle a spolehlivě

Prevence — jak se spamové složce vyhnout

Jednorázové nastavení autentizace je dobrý začátek, ale nestačí. DNS záznamy se mění, přibývají nové odesílací služby, klíče expirují.

Systematická prevence zahrnuje:

  • Nastavte SPF, DKIM a DMARC — pokud ještě nemáte, začněte s nastavením SPF, DKIM a DMARC
  • Aktivujte DMARC reporty — bez nich netušíte, co se s vašimi e-maily děje. SPF Monitor reporty automaticky zpracuje a vizualizuje — nemusíte ručně parsovat XML soubory.
  • Monitorujte průběžně — změna DNS, nový mailový provider nebo expirovaný klíč může doručitelnost narušit kdykoli
  • Při přidání nové odesílací služby nejdříve aktualizujte SPF záznam a nastavte DKIM — teprve potom začněte odesílat
  • Udržujte čistý seznam příjemců — pravidelně odstraňujte neexistující adresy a neaktivní kontakty
  • Postupně navyšujte objem — při spuštění nové kampaně nebo přechodu na novou IP adresu začněte s malým objemem a postupně zvyšujte

Kompletní analýza domény vám ukáže stav všech záznamů na jednom místě a pomůže identifikovat konkrétní problémy dříve, než se projeví nedoručenými e-maily.

Související články

Co je SPF záznam a proč ho potřebujete
SPF

Co je SPF záznam a proč ho potřebujete

SPF záznam chrání vaši doménu před zneužitím k rozesílání podvodných e-mailů. Zjistěte, jak funguje, jak ho nastavit a proč je nezbytný pro…

· 6 min čtení
Co je DKIM a jak funguje
DKIM

Co je DKIM a jak funguje

DKIM ověřuje integritu a původ e-mailů digitálním podpisem. Zjistěte, jak funguje, jak ho nastavit a proč je nezbytný pro DMARC a doručitelnost.

· 8 min čtení
Co je DMARC a jak funguje
DMARC

Co je DMARC a jak funguje

DMARC propojuje SPF a DKIM a přidává politiku pro neautentizované e-maily. Zjistěte, jak funguje, jak ho nasadit a proč ho vyžadují Google i Yahoo.

· 8 min čtení