Běžíme v testovacím provozu, prosíme o shovívavost a zpětnou vazbu.

SPF Checker (analýza)

Analyzujte a validujte SPF záznamy pro libovolnou doménu.

SPF Generátor

Sestavte svůj SPF záznam krok za krokem s pomocí průvodce.

Základní politika

Doporučení: Pro většinu domén použijte Soft fail (~all). Poskytuje ochranu a zároveň je tolerantní k menším chybám v konfiguraci.

Autorizované zdroje e-mailů

Domény, které smějí odesílat e-maily za vás. Jedna doména na řádek. Předpona "a:" bude doplněna automaticky.
Adresy IPv4 nebo rozsahy CIDR. Jeden záznam na řádek.
Adresy IPv6 nebo rozsahy CIDR. Jeden záznam na řádek.
Externí SPF záznamy k zahrnutí. Běžné služby: Google (_spf.google.com), Microsoft (spf.protection.outlook.com), Salesforce (_spf.salesforce.com). Jeden na řádek.

Zóna pro experty: Tato nastavení jsou určena pro pokročilé uživatele, kteří rozumějí mechanismům SPF. Většina domén může tuto sekci přeskočit.
Pokročilá validace založená na DNS. Používejte pouze pokud rozumíte makrům SPF.
Vlastní SPF mechanismy. Pouze pro pokročilé uživatele.

Editor SPF záznamu

Zadejte nebo upravte SPF záznam a ověřte jeho syntaxi.

SPF

Stručně: na této stránce si zkontrolujete SPF záznam své domény, pochopíte, k čemu slouží, jak se nastavuje a čemu se vyhnout. Přidáváme i rychlý návod pro ne-IT a technické shrnutí pro IT.

Co je SPF a proč je důležitý

SPF (Sender Policy Framework) je seznam serverů, které smějí posílat e‑maily za vaši doménu. Příjemci podle něj snáze rozpoznají podvržené zprávy a zlepšuje se doručitelnost.

Prakticky pro ne‑IT

Když se pokusí poslat email vašim jménem někdo z cizího serveru, který není v SPF uveden, pak je email označen za neautorizovaný.

Ve spojení s DKIM a DMARC lze takové emaily s jistotou označit za spam a není potřeba je vůbec doručovat. Záleží na nastavení domény.

Pokud posíláte poštu přes hosting, Google Workspace, Microsoft 365 či newsletter nástroj, stačí postupovat podle jejich návodu. Většinou jen přidáte SPF záznam jako TXT v DNS a ověříte změny. Začněte pozvolna (~all), později zpřísněte na -all.

Technické shrnutí pro IT

Jediný TXT záznam na kořeni domény (např. example.cz) s v=spf1. Dodržte limit 10 DNS lookupů, vyhněte se +all, preferujte ~all při nasazení a -all po stabilizaci. Mechanismy: a, mx, ip4, ip6, include, exists, redirect.

Tip: poskytovatele (GW/M365/newsletter) přidejte přes include:, u více systémů hlídejte lookup budget. PTR nepoužívejte.
Časté chyby a jejich důsledky
  • Více SPF záznamů → příjemce odmítne (berou se jako neplatné).
  • Překročení 10 lookupů → selhání evaluace u příjemce.
  • Chybí all → výsledek je nejasný (neutral).
  • Příliš dlouhý řetězec → problémy s DNS segmentací.
  • Nesprávná kombinace redirectall → konflikty.

Jak nastavit SPF na své doméně (jednoduše)

  1. Zapište si, odkud posíláte poštu (hosting, Google Workspace, Microsoft 365, newsletter nástroje, vlastní SMTP). Podrobný postup najdete v návodu jak vytvořit SPF záznam krok za krokem.
  2. V DNS vytvořte TXT záznam pro kořen domény (např. example.cz) s v=spf1 a pravidly pro vaše odesílatele. Používáte-li WEDOS, pomůže vám návod pro WEDOS.
  3. Začněte s měkčím ~all, otestujte, a po ověření přejděte na -all.
  4. Zkontrolujte výsledek v této analýze a u hlavních poskytovatelů (např. Gmail Postmaster, Microsoft SNDS).
  5. Průběžně sledujte změny a obnovte záznam při změně poskytovatele.
Příklad: v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all

FAQ

Co je SPF a k čemu slouží?
SPF (Sender Policy Framework) je DNS záznam, který určuje, které servery smějí odesílat e‑maily za vaši doménu. Přijímající server porovná IP adresu odesílatele se seznamem v SPF — pokud tam není, e‑mail je označen jako neautorizovaný.
Proč nestačí jen SPF?
SPF kontroluje pouze IP adresu odesílajícího serveru, ne obsah zprávy ani hlavičku „From", kterou vidí příjemce. Bez DKIM chybí ověření integrity zprávy a bez DMARC chybí politika — příjemce neví, co s neautentizovaným e‑mailem udělat.
Jaký je rozdíl mezi ~all a -all?
~all (soft fail) označí neautorizované e‑maily jako podezřelé, ale umožní doručení — vhodné při nasazování. -all (hard fail) říká příjemci, aby neautorizované e‑maily odmítl. Po ověření, že všechny legitimní zdroje jsou v záznamu, přejděte na -all.
Co je limit 10 DNS lookupů a jak ho řešit?
Každý mechanismus include, a, mxredirect vyžaduje DNS dotaz. RFC povoluje maximálně 10 — po překročení vrátí SPF chybu PermError. Řešení: nahraďte amx přímými IP adresami, konsolidujte include mechanismy, nebo zvažte SPF flattening. Podrobně v článku jak spočítat a vyřešit limit DNS lookupů.
Co když mám více poskytovatelů e‑mailu?
Pro každého poskytovatele přidejte příslušný include: mechanismus (např. include:_spf.google.com pro Google Workspace). Hlídejte si celkový počet DNS lookupů — nesmí překročit 10.
Mám v analýze chybu „více SPF záznamů"
Doména smí mít pouze jeden SPF záznam (TXT začínající v=spf1). Pokud jich máte víc, sloučte pravidla do jednoho záznamu. Více SPF záznamů je dle RFC neplatných a příjemci je odmítnou.
Funguje SPF při přeposílání e‑mailů?
Ne — při přeposílání se změní odesílající server a nový server není v SPF záznamu původní domény. Proto SPF selže. Jako záložní mechanismus slouží DKIM (podpis přežívá přeposílání) a protokol ARC, který zachovává výsledky autentizace přes celý řetězec.
Potřebuji SPF i pro doménu, ze které neodesílám?
Ano. Publikujte v=spf1 -all — tím řeknete příjemcům, že z domény se žádné e‑maily neodesílají. Bez tohoto záznamu může útočník vaši doménu zneužít k odesílání podvržených zpráv.

Související

Analýza domény DKIM DMARC Slovník: SPF a pojmy

Návody a řešení problémů

Limit 10 DNS lookupů Jak vytvořit SPF krok za krokem SPF nastavení ve WEDOS

Poslední aktualizace: 18. 3. 2026