Jedna doména nestačí: Oddělte e‑mailovou komunikaci a maximalizujte doručitelnost

Nová pravidla hry od roku 2024: Proč je autentizace nutností, ne volbou

Od února 2024 zavedli hlavní poskytovatelé e‑mailových schránek jako Google a Yahoo nová, přísnější pravidla pro odesílatele hromadné pošty. To, co bylo dříve jen doporučením, se stalo povinností. Pokud posíláte více než 5 000 e‑mailů denně na jejich adresy, tyto požadavky se vás přímo týkají. Ignorovat je znamená riskovat, že vaše e‑maily nebudou vůbec doručeny.

Klíčové požadavky:

• Povinná autentizace e-mailů (SPF, DKIM, DMARC): Musíte prokázat, že jste legitimní odesílatel. K tomu slouží tři základní technologie:
  
  • SPF (Sender Policy Framework) je jako seznam povolených odesílacích serverů. Ve svém DNS záznamu definujete, které servery (IP adresy) smí odesílat e‑maily jménem vaší domény. 
  • DKIM (DomainKeys Identified Mail) funguje jako digitální podpis. Každý odeslaný e‑mail je podepsán soukromým klíčem a přijímající server si pomocí veřejného klíče ve vašem DNS ověří, že podepsaná část e-mailu nebyla cestou pozměněna. 
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance) je nadstavba, která propojuje SPF a DKIM. Nestačí, aby SPF a DKIM pouze prošly – DMARC navíc kontroluje, zda se doména v hlavičce From: (ta, kterou vidí uživatel) shoduje s doménou ověřenou přes SPF a DKIM. Tomuto procesu se říká „zarovnání“ (alignment) a je klíčový pro ochranu proti phishingu. DMARC pak říká přijímajícím serverům, co mají dělat s e‑maily, které neprojdou kontrolou (např. je ignorovat, dát do karantény, nebo zamítnout). Navíc vám posílá reporty o tom, kdo se snaží posílat e‑maily vaším jménem. Pro hromadné odesílatele je nyní DMARC povinný. Pro začátek je ideální nastavit DMARC v monitorovacím režimu, který nic neblokuje, ale pouze sbírá data. Příklad základního záznamu: v=DMARC1; p=none; rua=mailto:report@mojefirma.cz

• Odhlášení jedním kliknutím (One-Click Unsubscribe): Marketingové e‑maily musí obsahovat snadno dostupný odkaz pro odhlášení, který provede akci na jedno kliknutí.
• Nízká míra stížností na spam: Odesílatelé musí udržovat míru stížností pod hranicí 0,3 %. Překročení této hranice vede k poškození reputace a blokování doručení.

Tento článek a následná strategie oddělování komunikace na subdomény jsou proto relevantnější než kdy dřív. Správné nastavení vám nejen zlepší doručitelnost, ale je dnes již základním předpokladem pro to, aby vaše e‑maily vůbec došly do té správné schránky příjemce (Inbox / Hromadná).

Představte si svou hlavní doménu (např. mojefirma.cz) jako sídlo vaší firmy. Je to adresa pro důležitou, osobní a obchodní korespondenci. Marketingové a automatizované zprávy jsou jako specializovaná oddělení – je efektivnější jim dát vlastní adresu (subdoménu), aby jejich provoz neovlivňoval ten hlavní.

• Osobní komunikace: Zůstává na hlavní doméně (mojefirma.cz).
• Marketingová komunikace: Přesouvá se na subdoménu (např. newsletter.mojefirma.cz).
• Transakční komunikace: Dostává vlastní subdoménu (např. eshop.mojefirma.cz).

Tímto krokem izolujete reputaci jednotlivých kanálů a můžete ovlivnit nastavení pravidel pro různé (sub)domény. Pokud bude mít marketingová kampaň nízkou odezvu, nebude to mít takový vliv na reputaci vaší hlavní domény ani doručitelnost transakčních e‑mailů.

1. Osobní komunikace na hlavní doméně (@mojefirma.cz)

Charakteristika: Přímá komunikace mezi kolegy, s klienty a partnery. Je základem důvěry a identity vaší značky. 

Proč hlavní doména? Reputace hlavní domény je váš digitální poklad. Musí zůstat co nejčistší. Používá se pro standardní e‑mailovou komunikaci zaměstnanců mezi sebou, s klienty nebo partnery. 

Nastavení a nástroje: Obvykle se používají služby jako Google Workspace nebo Microsoft 365. Základní nastavení SPF a DKIM je zde standardem, ale je klíčové ho správně dokončit. Poskytovatelé často používají výchozí (fallback) konfiguraci, která sice funguje, ale není ideální pro vaši reputaci.

• Google Workspace: Pokud si nenastavíte vlastní DKIM klíč, Google podepíše vaše e‑maily sdíleným klíčem s doménou .gappssmtp.com. To je sice funkční, ale pro budování vlastní reputace je zásadní vygenerovat a nastavit si vlastní DKIM klíč s vlastním selektorem (výchozí je google). (Podrobný návod naleznete v oficiální nápovědě Google).
  Příklad SPF záznamu: v=spf1 include:_spf.google.com ~all

• Microsoft 365: Ve výchozím stavu používá pro odchozí poštu vaši .onmicrosoft.com doménu. Pro maximální ochranu a reputaci je nutné nastavit si vlastní DKIM pro vaši doménu. Microsoft používá dva selektory (selector1 a selector2), které je třeba nakonfigurovat pomocí CNAME záznamů. (Podrobný návod naleznete v oficiální dokumentaci Microsoftu).
  Příklad SPF záznamu: v=spf1 include:spf.protection.outlook.com ~all

2. Marketingová komunikace na subdoméně (@newsletter.mojefirma.cz)

Charakteristika: Hromadné newslettery, akční nabídky a další propagační sdělení. 

Proč subdoména? Marketingové e‑maily mají vyšší riziko označení za spam nebo nízké míry otevření. Také jsou obvykle doručovány do složek jako Hromadná nebo Promotions. Oddělením na subdoménu chráníte reputaci hlavní domény. Případné problémy zůstanou izolované. 

‍

Nastavení a nástroje: Využívají se specializované platformy jako Mailchimp, Mailkit, SmartEmailing, Ecomail, HubSpot apod. 

‍

Pro subdoménu newsletter.mojefirma.cz je nutné nastavit vlastní sadu DNS záznamů (SPF, DKIM, DMARC), které autorizují danou platformu.

• Příklad SPF pro subdoménu: v=spf1 include:servers.mailchimp.com ~all
• DKIM: Unikátní klíč vygenerovaný v marketingovém nástroji a vložený do DNS vaší subdomény.

3. Transakční komunikace na subdoméně (@eshop.mojefirma.cz)

Charakteristika: E‑maily spouštěné akcí uživatele – reset hesla, potvrzení objednávky, systémové notifikace. Uživatelé je očekávají a jsou pro ně klíčové. Mají končit v hlavní složce (Inbox).‍

‍

Proč subdoména? Tyto e‑maily musí být doručeny okamžitě a spolehlivě. Jejich doručitelnost nesmí být ovlivněna žádnou marketingovou aktivitou. Oddělená subdoména s vlastní, skvělou reputací je zárukou nejvyšší možné doručitelnosti. ‍

‍

Nastavení a nástroje: Ideální jsou služby jako Omnivery, Mailkit, SmartEmailing apod. se speciálním transakčním nastavením. Opět je třeba pro subdoménu eshop.mojefirma.cz nastavit specifické DNS záznamy dle pokynů poskytovatele.

• Příklad SPF pro subdoménu: v=spf1 include:omnivery.net ~all
• DKIM: Klíč vygenerovaný v transakční službě a vložený do DNS subdomény.

Jedním z nejčastějších technických problémů, na které firmy narazí, je limit 10 DNS dotazů v rámci jednoho SPF záznamu. Každý mechanismus jako include, a, mx nebo exists se počítá jako jeden dotaz. Pokud vaše hlavní doména odesílá e‑maily přes více služeb (např. Google Workspace, účetní systém, CRM, helpdesk), můžete tohoto limitu snadno dosáhnout.

• Důsledek: Pokud SPF záznam překročí 10 dotazů, stává se pro přijímající servery neplatným. Výsledkem je selhání autentizace a dramatické zhoršení doručitelnosti.
• Jak to řešit?
  
  • Strategie subdomén: Tento článek je sám o sobě nejlepším řešením. Tím, že oddělíte služby na subdomény, má každá z nich svůj vlastní, jednoduchý SPF záznam s jedním include, čímž se limitu snadno vyhnete. 
  • Specializované služby: Existují nástroje, které umí spravovat váš SPF záznam dynamicky a „schovat“ více služeb pod jediný include, čímž technicky obejdou limit.
  • SPF Flattening (Zploštění): Můžete ručně nebo pomocí nástrojů nahradit include mechanismy za konkrétní IP adresy. Nevýhodou je, že pokud poskytovatel služby změní své IP adresy, váš SPF záznam přestane fungovat. Navíc je to velmi nepřehledné. Takže tuhle variantu doporučujeme jen pokud už není jiné zbytí.

Vytvoření nových subdomén je jen polovina úspěchu. Poskytovatelé e‑mailových schránek (jako Gmail nebo Seznam) jsou přirozeně podezřívaví vůči doménám, které nikdy předtím neviděli. Pokud z úplně nové subdomény (např. newsletter.mojefirma.cz) okamžitě odešlete tisíce e‑mailů, je velmi pravděpodobné, že je vyhodnotí jako spam. Proto je klíčové provést tzv. zahřátí domény (domain warming). Jde o proces postupného budování pozitivní odesílací reputace. Začnete s malým objemem e‑mailů a ten postupně, den za dnem, navyšujete. Tím dáváte poskytovatelům signál, že jste legitimní odesílatel. Bez správného zahřátí riskujete, že si reputaci nové subdomény poškodíte hned na začátku a veškerá snaha s oddělením komunikace přijde vniveč.

Oddělení komunikace vám dává další obrovskou výhodu: možnost nastavit různě přísnou DMARC politiku pro hlavní doménu a pro subdomény.

‍

Hlavní doména (@mojefirma.cz): Opatrnost na prvním místě.

Z vaší hlavní domény může odesílat e‑maily celá řada nástrojů a lidí – od účetního softwaru po jednotlivé zaměstnance. Okamžité nastavení přísné DMARC politiky (p=reject) by mohlo zablokovat legitimní zprávy. Proto je zde nejlepší strategií začít s monitorovací politikou (p=none), analyzovat DMARC reporty a postupně identifikovat všechny oprávněné odesílatele. Teprve poté můžete bezpečně přejít na přísnější úroveň ochrany.

‍

Nové subdomény (@newsletter.mojefirma.cz nebo @eshop.mojefirma.cz): Okamžitá a přísná ochrana.

U nově vytvořených specializovaných subdomén máte situaci plně pod kontrolou. Víte, že např. e‑maily z adresy @newsletter.mojefirma.cz bude odesílat pouze jeden konkrétní nástroj (např. Mailkit). Můžete si tedy být jistí, že jakýkoli jiný pokus o odeslání z této adresy je podvod. Proto je bezpečné a vysoce doporučené nastavit DMARC politiku rovnou na nejvyšší úroveň: p=reject. Tím okamžitě zabráníte jakémukoli zneužití této subdomény pro phishing nebo spoofing. 

‍

Tip pro pokročilé: Nastavení politiky pro všechny subdomény najednou 

Pro zjednodušení můžete v DMARC záznamu na hlavní doméně použít tag sp (subdomain policy). Tím nastavíte výchozí politiku pro všechny subdomény, které nemají vlastní DMARC záznam. Například záznam v=DMARC1; p=none; sp=reject; na doméně mojefirma.cz znamená, že zatímco hlavní doména bude pouze monitorována, jakýkoli neautorizovaný e‑mail z jakékoli subdomény (např. cokoliv.mojefirma.cz) bude automaticky zamítnut. To je skvělý způsob, jak plošně ochránit všechny nepoužívané subdomény. Pokud má subdoména (např. newsletter.mojefirma.cz) vlastní DMARC záznam, má tento záznam přednost před sp politikou.

Strategie oddělení funguje, protože e‑mailoví poskytovatelé (Gmail, Seznam) hodnotí reputaci pro každou subdoménu zvlášť (byť se pochopitelně z nějaké části můžou i navzájem ovlivňovat). Dáváte jim tak jasný signál, jaký typ komunikace mohou z dané adresy očekávat.

1. Rozhodněte o struktuře: Zvolte si názvy subdomén pro marketing a transakce.
2. Vytvořte subdomény: U svého registrátora nebo DNS poskytovatele vytvořte potřebné subdomény.
3. Vyberte nástroje: Zvolte platformy pro marketingovou a transakční komunikaci.
4. Nastavte DNS záznamy pro každou subdoménu: Podle instrukcí z vašich nástrojů nastavte pro každou subdoménu zvlášť SPF, DKIM a DMARC záznamy.
   Tip: Při úpravách DNS záznamů dočasně snižte hodnotu TTL (např. na 300 sekund), aby se změny projevily co nejrychleji. Po ověření funkčnosti ji vraťte na původní hodnotu.
5. Zahřejte nové subdomény: Než začnete posílat velké objemy, postupně budujte jejich reputaci (proces tzv. warming up).
6. Informujte uživatele: Pokud měníte doménu pro existující komunikaci (např. transakční e‑maily), dejte o tom vědět svým uživatelům. Mohou si tak aktualizovat své filtry nebo whitelist a zajistit, že jim vaše e-maily budou i nadále chodit.
7. Zaregistrujte se do Google Postmaster Tools: Pro každou odesílací (sub)doménu si nastavte tento bezplatný nástroj. Získáte tak cenná data o reputaci, doručitelnosti a stížnostech na spam přímo od Googlu.
8. Monitorujte reputaci: Pravidelně sledujte doručitelnost a reputaci všech svých domén a subdomén.

Závěr

Správné nastavení e‑mailové komunikace není jen technická nutnost, ale strategická investice do budoucnosti vaší značky. Oddělením komunikace na subdomény nejenže vyřešíte aktuální problémy s doručitelností, ale budujete pevný základ pro dlouhodobý úspěch. Každý spolehlivě doručený transakční e‑mail posiluje důvěru zákazníka. Každá promyšlená marketingová kampaň buduje vztah, aniž by ohrozila vaši hlavní reputaci. V digitálním světě, kde se pravidla neustále zpřísňují, je proaktivní ochrana značky a příprava na budoucnost klíčová. Nečekejte, až problémy s doručitelností poškodí vaše podnikání. Udělejte první krok ještě dnes – analyzujte své e‑mailové toky a naplánujte si strategii subdomén. Je to investice, která se vám do budoucna vyplatí a čím dřív ji uděláte, tím líp pro vás.

‍