Defaults.Exposed

Defaults.ExposedOpravyGuides

Nastavení e-mailu na nové doméně: 20minutový kontrolní seznam SPF, DKIM a DMARC (2026)

Publikováno 2026-07-08

Údaje k 2026-06-29 · metodologie v7. Souhrnná data ze sčítání napříč 261 miliony ohodnocených domén. Viz jak hodnotíme.

Nová doména potřebuje čtyři věci před prvním e-mailem: výchozí skenování, jeden SPF záznam pojmenovávající vašeho skutečného poskytovatele, DKIM podepisování vlastní domény a DMARC záznam s hlášením od prvního dne. Většina domén se tam nikdy nedostane — 46.4% (121,145,609 z 261,086,232 ohodnocených domén) nemá vůbec žádný SPF, podle sčítání Defaults.Exposed (k 2026-06-29).

Publikování všeho trvá asi 20 minut: naskenujte pro výchozí stav, přidejte jeden SPF záznam, zapněte DKIM vlastní domény vašeho poskytovatele, publikujte DMARC p=none s adresou pro hlášení, volitelně přidejte MTA-STS, poté znovu naskenujte a uschovejte zprávu. Co trvá déle, je to, co žádný kontrolní seznam nemůže uspěchat — šíření DNS a reputace odesílatele — a tento průvodce je k oběma upřímný.

Je opravdu 20 minut dost?

Pro publikování záznamů, ano — každý krok níže je DNS záznam plus pár kliknutí v administrační konzoli vašeho poskytovatele. Dvě věci trvají déle a předstírání opaku je důvod, proč nové domény končí ve spamu:

Upřímné tvrzení: 20 minut zajistí správně publikované ověřování. Následující pár týdnů rozumného odesílání zajistí doručitelnost.

20minutový kontrolní seznam

  1. Nejprve spusťte bezplatnou kontrolu na defaults.exposed. Naskenujte novou doménu před dotykem DNS. Ohodnocený výchozí stav „nic není nakonfigurováno” zachytíte za sekundy a zpráva po dá smysl — budete chtít pár před a po (krok 6).
  2. Publikujte jeden SPF záznam pro vašeho skutečného poskytovatele. Přesně jeden TXT záznam začínající v=spf1, obsahující include poskytovatele — například v=spf1 include:_spf.google.com ~all pro Google Workspace, nebo include:spf.protection.outlook.com pro Microsoft 365; pokud váš DNS sídlí v panelu registrátora, průvodce GoDaddy pokrývá zvláštnosti UI. Pouze jeden záznam: dva záznamy v=spf1 jsou trvalá chyba, která zcela ruší SPF — stav, v němž uvízlo 1,013,416 domén, přibližně jedna z 138 domén, které se o SPF pokusí (sčítání k 2026-06-29), obvykle pozůstatek migrace. Nepřidávejte includes „pro jistotu”: SPF omezuje DNS vyhledávání na 10 a alespoň 797,263 domén tím zrušilo svůj záznam. A vězte, co SPF skutečně kontroluje: příjemci ho vyhodnocují vůči doméně Return-Path (RFC5321.MailFrom) — bounce adrese — nikoli záhlaví From, které vidí vaši příjemci.
  3. Zapněte DKIM podepisování vlastní domény. Váš poskytovatel podepisuje poštu tak či onak; otázkou je která doména je v podpisu jmenována. Dokud tento krok nedokončíte, Google Workspace podepisuje výchozí doménou gappssmtp.com a Microsoft 365 doménou onmicrosoft.com — podpisy, které procházejí DKIM, ale nejsou zarovnány s vaší doménou, takže DMARC stále selhává. Vygenerujte klíč v administrační konzoli a publikujte to, co vám poskytovatel dá: 2048bitový TXT záznam pro Google, dva CNAME záznamy (selector1/selector2) pro Microsoft 365. Pokud záznam nevejde do vašeho DNS panelu, viz opravit DKIM — dlouhé klíče poškozené uživatelskými rozhraními jsou klasikou.
  4. Publikujte DMARC od prvního dne — p=none s adresou pro hlášení. Jeden TXT záznam u _dmarc.vasadomena.cz: v=DMARC1; p=none; rua=mailto:[email protected]. Buďte si jasní, co to dělá: p=none zatím nic nechrání — je to monitorovací režim. Ale nic nestojí a souhrnné zprávy pak pokrývají historii odesílání vaší domény od úplně první zprávy. Zavedené domény stráví týdny hlášení jen tím, že objevují odesílatele, na které zapomněly; vy si kupujete tuto viditelnost zdarma, od nultého dne. Viz opravit DMARC pro anatomii záznamu.
  5. Volitelné, ale levné na nové doméně: MTA-STS a TLS-RPT. MTA-STS říká odesílajícím serverům, že vaše doména vyžaduje TLS pro příchozí poštu (DNS záznam plus malý hostovaný soubor politiky); TLS-RPT hlásí selhání šifrování doručení. Na zavedené doméně to vyžaduje péči; na nové doméně s jedním poskytovatelem pošty není co rozbít a mode: testing je prakticky bez rizika. Nastavte to nyní nebo přeskočte — ale rozhodněte se, nenechte to náhodě.
  6. Znovu naskenujte a zprávu uschovejte. Spusťte skenování znovu — SPF, DKIM a DMARC by měly být zelené. Uložte ohodnocenou zprávu: datovaný důkaz stavu domény při spuštění a přesně to, co bude chtít pojistitel nebo dotazník klienta.

Kolik domén skutečně dokončí tento kontrolní seznam?

Velmi málo — a většina padne na prvním překážce. Z 261,086,232 domén ohodnocených ve sčítání Defaults.Exposed (k 2026-06-29):

Milník kontrolního seznamuRealita sčítání (z 261,086,232 ohodnocených domén, k 2026-06-29)
Krok 2 — publikujte jakýkoliv SPF záznam46.4% to nikdy neudělá: 121,145,609 domén nemá vůbec žádný SPF
Krok 4+ — DMARC s vymáhanou politikou10.59% (27,640,987 domén); 89.41% nemá vymáhanou politiku
Úplná trojice — SPF + DKIM + vymáhané DMARC3.87% (10,092,481 domén)

20 minut, které tato stránka popisuje, dostane zcela novou doménu před přibližně 96% internetu na úplné trojici. Model zralosti adopce SPF rozebírá každý stupeň tohoto žebříčku.

Jak rychle může nová doména dosáhnout p=reject?

Týdny, nikoli měsíce — skutečná výhoda začátku od nuly. Co dělá vymáhání DMARC pomalým na zavedených doménách, je dědictví: zapomenuté CRM konektory, fakturační nástroje, které někdo zapojil v roce 2019, platforma newsletterů, kterou nikdo nedokumentoval. Každý musí být nalezen ve zprávách a opraven, než lze politiku zpřísnit — odtud standardní měsíce trvající zavádění.

Nová doména nemá žádné starší odesílatele: každý odesílající zdroj jste nakonfigurovali sami, tento týden, a zprávy z kroku 4 to potvrdí. Provozujte p=none dva až čtyři týdny skutečného odesílání, zkontrolujte, zda zprávy pokrývají vše, co skutečně používáte (poštovní schránky, faktury, příjmy, kontaktní formulář webu), poté přejděte na p=quarantine a dále na p=reject, jakmile zprávy budou čisté. Postupná mechanika — rampy pct, politika subdomén, co sledovat — je v z p=none na p=reject; na nové doméně jimi projdete rychle, na místo, kam dospělo pouze 10.59% ohodnocených domén.

Co se starou doménou, kterou nahrazujete?

Pokud je tato nová doména součástí rebrandu, doména, kterou opouštíte, je nyní vaším největším e-mailovým rizikem: stále vaše, stále důvěryhodná u protistran, již nesledovaná. Neopouštějte ji — uzamkněte ji explicitně. To je vlastní krátká práce: ta stará doména z vaší rebrandu jsou dveře, které jste nechali otevřené.

Nejčastější dotazy

Mohu publikovat tyto záznamy před výběrem poskytovatele pošty? DMARC, ano — p=none s rua je nezávislé na poskytovateli, takže ho publikujte den, kdy registrujete. SPF potřebuje include vašeho poskytovatele; dokud jste si nevybrali, publikujte v=spf1 -all (nic není autorizováno odesílat) a v kroku 2 ho nahraďte. To je přísně lepší než stav bez záznamu, v němž sedí 121,145,609 domén (46.4% z 261,086,232 ohodnocených, k 2026-06-29).

Potřebuji DKIM, pokud SPF již prochází? Ano. SPF se záměrně rozbije při přeposílání a validuje doménu Return-Path, která u mnoha nástrojů není vaše — zarovnaný DKIM je ta noha, která přežije obojí. Pouze 3.87% ohodnocených domén dokončí úplnou trojici SPF+DKIM+vymáhané-DMARC (sčítání k 2026-06-29); DKIM je krok, který většina vzdávajících přeskočí. Začněte u opravit DKIM, pokud to skenování označí.

Měla by nová doména používat ~all nebo -all? Na zavedené doméně je ~all opatrná volba, zatímco hledáte zapomenuté odesílatele. Nová doména žádné nemá: jakmile je include vašeho poskytovatele zapnutý a DKIM podepisuje, je -all bezpečné mnohem dříve. Chcete mít jistotu? Nejprve potvrďte dvěma čistými týdny zpráv DMARC.

Všechny tři záznamy procházejí — proč moje pošta stále jde do spamu? Protože ověřování a reputace jsou různé věci: procházející záznamy znamenají, že příjemci mohou ověřit, že pošta je vaše, nikoli že vám již důvěřují. Nové domény získávají důvěru konzistentním, žádaným, nízkoobjemovým odesíláním a postupným navyšováním. Pokud pošta selhává v kontrolách, nikoli jen přistává ve spamu, začněte u opravit SPF a propracujte výsledky skenování.

Pošlete vlastníkovi zprávu

Pokud nastavujete tuto doménu pro klienta, uzavřete práci s důkazem. Znovu spusťte bezplatnou kontrolu po kroku 6 a přepošlete ohodnocenou zprávu obchodnímu vlastníkovi: SPF, DKIM a DMARC procházejí, v srozumitelném jazyce, datovaně při spuštění. Je to artefakt, který bude potřebovat pro obnovu kybernetického pojištění a příští dotazník bezpečnosti dodavatele — a dokazuje, že doména začala život způsobem, jakým se 96% internetu nikdy nepodaří.

Zkontrolujte svou doménu → · Z p=none na p=reject bez ztráty legitimní pošty → · Pouze souhrnná data. Data uložena a zpracována v EU.