Rubriky

Nejnovější články

Videonávody

Youtube
← Zpět

Nastavení DNS pro e-maily na službě EmailProfi od Seznamu – DKIM, DMARC, SPF

Rubrika: ,

emailprofi

Máte firemní e-maily na vlastní doméně s využitím služby Email Profi od Seznamu? Pak se vám dřív nebo později ozve doručitelnost: e-maily padají do spamu, příjemci je odmítají, nebo se jen „tváří podezřele“. MX záznamy směřují na servery Email Profi. Navazující řešení je standardní trojice DNS záznamů: SPF + DKIM + DMARC.

Níže máte jednoduchý postup a konkrétní hodnoty záznamů pro situaci, kdy odesíláte poštu jen přes Seznam Email Profi (tj. žádný jiný SMTP/rozesílkový nástroj). V případě, že posíláte i z WordPressu přes externí SMTP, newsletter nástroj apod., upozorníme, co upravit.

Pokud máte doménu zaparkovanou na ziveweby.cz, potom je to pro vás úplně nejjednodušší, všechno nastavíme za vás.

Co řeší SPF, DKIM a DMARC (a proč to chcete mít)

SPF (TXT): říká příjemci „které servery smí odesílat poštu za moji doménu“. U Seznamu to typicky vyřeší include:spf.seznam.cz. Standardně na našci sevrerech používáme tento zápis:

v=spf1 a mx include:_spf.google.com include:spf.seznam.cz include:spf.blueboard.cz ip4:178.251.187.25 -all

DKIM (CNAME/TXT): kryptografický podpis e-mailů. U napojených domén Seznam může podepisovat i jako emailprofi.seznam.cz, ale pro nejlepší shodu (alignment) je výhodné přidat záznam pro „vlastní“ DKIM přes CNAME.

DMARC (TXT): navazuje na SPF/DKIM a definuje politiku (co dělat, když kontrola neprojde) + umožní reporty o zneužití domény.

Než začnete: rychlá kontrola

  1. MX záznamy už máte nastavené na Email Profi (to je váš předpoklad).
  2. DNS spravujete mimo Seznam (typicky ziveweby.cz / jiný registrátor) → záznamy přidáte tam.
  3. Pokud posíláte e-maily i jinudy než přes Seznam (např. WordPress přes SMTP, marketingový nástroj), musíte to zahrnout do SPF a často i DKIM/DMARC strategie (viz níže).

1) SPF pro Email Profi (TXT záznam)

Pokud odesíláte pouze přes Seznam Email Profi, přidejte do DNS tento TXT záznam:

  • Název/Host: @ (nebo prázdné pole = kořen domény)
  • Typ: TXT
  • Hodnota/Data:
v=spf1 include:spf.seznam.cz ~all
  • TTL: klidně 1800 (30 min), nebo nechte výchozí

Důležité: na doméně má být jen jeden SPF záznam. Pokud už nějaký máte (třeba kvůli newsletterům), musí se sloučit do jednoho.

2) DKIM pro Email Profi (CNAME záznam)

U „napojené“ domény (DNS mimo Seznam) Seznam standardně podepisuje DKIMem jako emailprofi.seznam.cz, ale zároveň umožňuje použít vlastní DKIM přes CNAME záznam.

Přidejte:

  • Název/Host:
szn20221014._domainkey
  • Typ: CNAME
  • Cíl / Hodnota:
szn20221014._domainkey.seznam.cz.
  • TTL: 1800 (nebo výchozí)

Poznámky z praxe:

  • Do pole „Název“ typicky píšete jen szn20221014._domainkey (bez domény).
  • Tečka na konci cílové hodnoty (...seznam.cz.) je v DNS běžná; pokud ji administrace nechce, zadejte bez tečky.

3) DMARC pro Email Profi (TXT záznam)

DMARC přidáte jako TXT záznam na subdoménu _dmarc. Seznam uvádí, že podmínkou je mít nastavené SPF a DKIM a popisuje i politiky none / quarantine / reject.

Jednoduché a funkční DMARC (doporučený start)
  • Název/Host: _dmarc
  • Typ: TXT
  • Hodnota/Data (minimální užitečná varianta):
v=DMARC1; p=quarantine; adkim=r; aspf=r;
  • TTL: 1800
Jakou politiku zvolit?

Seznam popisuje:

  • p=none = jen sběr reportů (testovací režim)
  • p=quarantine = zprávy, co neprojdou, typicky skončí ve spamu
  • p=reject = zprávy, co neprojdou, se odmítnou

Prakticky:

  • Pokud si nejste jistí, jestli neodesíláte i „bokem“ (web, CRM, fakturační systém), začněte na pár dní p=none, sledujte reporty, pak přepněte na quarantine a později případně na reject.

Nejčastější chyby (a proč pak „to stejně nefunguje“)

  • Dva SPF záznamy na jedné doméně → SPF se vyhodnocuje chybně. (Řešení: sloučit do jednoho.)
  • WordPress/eshop posílá poštu přes jiný server (SMTP plugin, hosting, transakční služba) → SPF/DKIM alignment nevychází a DMARC může začít poštu „trestat“. (Řešení: zahrnout službu do SPF a ideálně používat její DKIM.)
  • Špatně zadaný host u DKIM (szn20221014._domainkey.vasedomena.cz vs. jen szn20221014._domainkey) – záleží na administraci DNS.
  • DMARC bez funkčního SPF a DKIM – DMARC na tom stojí.

Jak ověřit, že je vše správně

  • Počkejte na propsání DNS (běžně minuty až hodiny podle TTL).
  • Pošlete testovací e-mail na Gmail/Outlook a v „zobrazit originál“ hledejte:
    • SPF: PASS
    • DKIM: PASS
    • DMARC: PASS
  • Pokud máte DMARC reporty (rua=), první reporty obvykle chodí jednou denně (dle ri, pokud ho nastavíte).

Tip pro WordPress weby (aby vám DMARC nezačal rozbíjet notifikace)

Pokud z webu odchází transakční pošta (objednávky, reset hesla), ideální je:

  • buď posílat přes SMTP Seznamu (pak vám sedí SPF i DKIM na Seznam),
  • nebo používat transakční službu (Mailgun/SendGrid/Elementor Site Mailer): přidat její SPF include + DKIM záznamy a DMARC postupně utahovat.

Sdílejte článek