Defaults.Exposed › Opravy › Guides
Nastavení e-mailu na nové doméně: 20minutový kontrolní seznam SPF, DKIM a DMARC (2026)
Publikováno 2026-07-08
Údaje k 2026-06-29 · metodologie v7. Souhrnná data ze sčítání napříč 261 miliony ohodnocených domén. Viz jak hodnotíme.
Nová doména potřebuje čtyři věci před prvním e-mailem: výchozí skenování, jeden SPF záznam pojmenovávající vašeho skutečného poskytovatele, DKIM podepisování vlastní domény a DMARC záznam s hlášením od prvního dne. Většina domén se tam nikdy nedostane — 46.4% (121,145,609 z 261,086,232 ohodnocených domén) nemá vůbec žádný SPF, podle sčítání Defaults.Exposed (k 2026-06-29).
Publikování všeho trvá asi 20 minut: naskenujte pro výchozí stav, přidejte jeden SPF záznam, zapněte DKIM vlastní domény vašeho poskytovatele, publikujte DMARC p=none s adresou pro hlášení, volitelně přidejte MTA-STS, poté znovu naskenujte a uschovejte zprávu. Co trvá déle, je to, co žádný kontrolní seznam nemůže uspěchat — šíření DNS a reputace odesílatele — a tento průvodce je k oběma upřímný.
Je opravdu 20 minut dost?
Pro publikování záznamů, ano — každý krok níže je DNS záznam plus pár kliknutí v administrační konzoli vašeho poskytovatele. Dvě věci trvají déle a předstírání opaku je důvod, proč nové domény končí ve spamu:
- Šíření. Nové záznamy se obvykle vyřeší v průběhu minut, ale resolvery ukládají do mezipaměti podle TTL a čerstvě delegovaná doména může trvat hodiny, než odpoví konzistentně. Ověřte pomocí
dig; nepanikařte s úpravami, zatímco mezipaměti dohání. - Zahřívání. Nová doména má nulovou reputaci odesílatele a ověřování je podmínkou reputace, nikoli náhradou. Začněte s nízkým, lidsky měřítkovým objemem a postupně navyšujte v průběhu týdnů.
Upřímné tvrzení: 20 minut zajistí správně publikované ověřování. Následující pár týdnů rozumného odesílání zajistí doručitelnost.
20minutový kontrolní seznam
- Nejprve spusťte bezplatnou kontrolu na defaults.exposed. Naskenujte novou doménu před dotykem DNS. Ohodnocený výchozí stav „nic není nakonfigurováno” zachytíte za sekundy a zpráva po dá smysl — budete chtít pár před a po (krok 6).
- Publikujte jeden SPF záznam pro vašeho skutečného poskytovatele. Přesně jeden TXT záznam začínající
v=spf1, obsahující include poskytovatele — napříkladv=spf1 include:_spf.google.com ~allpro Google Workspace, neboinclude:spf.protection.outlook.compro Microsoft 365; pokud váš DNS sídlí v panelu registrátora, průvodce GoDaddy pokrývá zvláštnosti UI. Pouze jeden záznam: dva záznamyv=spf1jsou trvalá chyba, která zcela ruší SPF — stav, v němž uvízlo 1,013,416 domén, přibližně jedna z 138 domén, které se o SPF pokusí (sčítání k 2026-06-29), obvykle pozůstatek migrace. Nepřidávejte includes „pro jistotu”: SPF omezuje DNS vyhledávání na 10 a alespoň 797,263 domén tím zrušilo svůj záznam. A vězte, co SPF skutečně kontroluje: příjemci ho vyhodnocují vůči doméně Return-Path (RFC5321.MailFrom) — bounce adrese — nikoli záhlaví From, které vidí vaši příjemci. - Zapněte DKIM podepisování vlastní domény. Váš poskytovatel podepisuje poštu tak či onak; otázkou je která doména je v podpisu jmenována. Dokud tento krok nedokončíte, Google Workspace podepisuje výchozí doménou
gappssmtp.coma Microsoft 365 doménouonmicrosoft.com— podpisy, které procházejí DKIM, ale nejsou zarovnány s vaší doménou, takže DMARC stále selhává. Vygenerujte klíč v administrační konzoli a publikujte to, co vám poskytovatel dá: 2048bitový TXT záznam pro Google, dva CNAME záznamy (selector1/selector2) pro Microsoft 365. Pokud záznam nevejde do vašeho DNS panelu, viz opravit DKIM — dlouhé klíče poškozené uživatelskými rozhraními jsou klasikou. - Publikujte DMARC od prvního dne —
p=nones adresou pro hlášení. Jeden TXT záznam u_dmarc.vasadomena.cz:v=DMARC1; p=none; rua=mailto:[email protected]. Buďte si jasní, co to dělá:p=nonezatím nic nechrání — je to monitorovací režim. Ale nic nestojí a souhrnné zprávy pak pokrývají historii odesílání vaší domény od úplně první zprávy. Zavedené domény stráví týdny hlášení jen tím, že objevují odesílatele, na které zapomněly; vy si kupujete tuto viditelnost zdarma, od nultého dne. Viz opravit DMARC pro anatomii záznamu. - Volitelné, ale levné na nové doméně: MTA-STS a TLS-RPT. MTA-STS říká odesílajícím serverům, že vaše doména vyžaduje TLS pro příchozí poštu (DNS záznam plus malý hostovaný soubor politiky); TLS-RPT hlásí selhání šifrování doručení. Na zavedené doméně to vyžaduje péči; na nové doméně s jedním poskytovatelem pošty není co rozbít a
mode: testingje prakticky bez rizika. Nastavte to nyní nebo přeskočte — ale rozhodněte se, nenechte to náhodě. - Znovu naskenujte a zprávu uschovejte. Spusťte skenování znovu — SPF, DKIM a DMARC by měly být zelené. Uložte ohodnocenou zprávu: datovaný důkaz stavu domény při spuštění a přesně to, co bude chtít pojistitel nebo dotazník klienta.
Kolik domén skutečně dokončí tento kontrolní seznam?
Velmi málo — a většina padne na prvním překážce. Z 261,086,232 domén ohodnocených ve sčítání Defaults.Exposed (k 2026-06-29):
| Milník kontrolního seznamu | Realita sčítání (z 261,086,232 ohodnocených domén, k 2026-06-29) |
|---|---|
| Krok 2 — publikujte jakýkoliv SPF záznam | 46.4% to nikdy neudělá: 121,145,609 domén nemá vůbec žádný SPF |
| Krok 4+ — DMARC s vymáhanou politikou | 10.59% (27,640,987 domén); 89.41% nemá vymáhanou politiku |
| Úplná trojice — SPF + DKIM + vymáhané DMARC | 3.87% (10,092,481 domén) |
20 minut, které tato stránka popisuje, dostane zcela novou doménu před přibližně 96% internetu na úplné trojici. Model zralosti adopce SPF rozebírá každý stupeň tohoto žebříčku.
Jak rychle může nová doména dosáhnout p=reject?
Týdny, nikoli měsíce — skutečná výhoda začátku od nuly. Co dělá vymáhání DMARC pomalým na zavedených doménách, je dědictví: zapomenuté CRM konektory, fakturační nástroje, které někdo zapojil v roce 2019, platforma newsletterů, kterou nikdo nedokumentoval. Každý musí být nalezen ve zprávách a opraven, než lze politiku zpřísnit — odtud standardní měsíce trvající zavádění.
Nová doména nemá žádné starší odesílatele: každý odesílající zdroj jste nakonfigurovali sami, tento týden, a zprávy z kroku 4 to potvrdí. Provozujte p=none dva až čtyři týdny skutečného odesílání, zkontrolujte, zda zprávy pokrývají vše, co skutečně používáte (poštovní schránky, faktury, příjmy, kontaktní formulář webu), poté přejděte na p=quarantine a dále na p=reject, jakmile zprávy budou čisté. Postupná mechanika — rampy pct, politika subdomén, co sledovat — je v z p=none na p=reject; na nové doméně jimi projdete rychle, na místo, kam dospělo pouze 10.59% ohodnocených domén.
Co se starou doménou, kterou nahrazujete?
Pokud je tato nová doména součástí rebrandu, doména, kterou opouštíte, je nyní vaším největším e-mailovým rizikem: stále vaše, stále důvěryhodná u protistran, již nesledovaná. Neopouštějte ji — uzamkněte ji explicitně. To je vlastní krátká práce: ta stará doména z vaší rebrandu jsou dveře, které jste nechali otevřené.
Nejčastější dotazy
Mohu publikovat tyto záznamy před výběrem poskytovatele pošty?
DMARC, ano — p=none s rua je nezávislé na poskytovateli, takže ho publikujte den, kdy registrujete. SPF potřebuje include vašeho poskytovatele; dokud jste si nevybrali, publikujte v=spf1 -all (nic není autorizováno odesílat) a v kroku 2 ho nahraďte. To je přísně lepší než stav bez záznamu, v němž sedí 121,145,609 domén (46.4% z 261,086,232 ohodnocených, k 2026-06-29).
Potřebuji DKIM, pokud SPF již prochází? Ano. SPF se záměrně rozbije při přeposílání a validuje doménu Return-Path, která u mnoha nástrojů není vaše — zarovnaný DKIM je ta noha, která přežije obojí. Pouze 3.87% ohodnocených domén dokončí úplnou trojici SPF+DKIM+vymáhané-DMARC (sčítání k 2026-06-29); DKIM je krok, který většina vzdávajících přeskočí. Začněte u opravit DKIM, pokud to skenování označí.
Měla by nová doména používat ~all nebo -all?
Na zavedené doméně je ~all opatrná volba, zatímco hledáte zapomenuté odesílatele. Nová doména žádné nemá: jakmile je include vašeho poskytovatele zapnutý a DKIM podepisuje, je -all bezpečné mnohem dříve. Chcete mít jistotu? Nejprve potvrďte dvěma čistými týdny zpráv DMARC.
Všechny tři záznamy procházejí — proč moje pošta stále jde do spamu? Protože ověřování a reputace jsou různé věci: procházející záznamy znamenají, že příjemci mohou ověřit, že pošta je vaše, nikoli že vám již důvěřují. Nové domény získávají důvěru konzistentním, žádaným, nízkoobjemovým odesíláním a postupným navyšováním. Pokud pošta selhává v kontrolách, nikoli jen přistává ve spamu, začněte u opravit SPF a propracujte výsledky skenování.
Pošlete vlastníkovi zprávu
Pokud nastavujete tuto doménu pro klienta, uzavřete práci s důkazem. Znovu spusťte bezplatnou kontrolu po kroku 6 a přepošlete ohodnocenou zprávu obchodnímu vlastníkovi: SPF, DKIM a DMARC procházejí, v srozumitelném jazyce, datovaně při spuštění. Je to artefakt, který bude potřebovat pro obnovu kybernetického pojištění a příští dotazník bezpečnosti dodavatele — a dokazuje, že doména začala život způsobem, jakým se 96% internetu nikdy nepodaří.
Zkontrolujte svou doménu → · Z p=none na p=reject bez ztráty legitimní pošty → · Pouze souhrnná data. Data uložena a zpracována v EU.