Proč e-maily z Google Workspace selhávají na DMARC při přeposílání a jak to opravit

Pokud vaše společnost odesílá e-maily přes Google Workspace, část vaší pošty může selhávat na DMARC, aniž by si toho kdokoli všiml, konkrétně zprávy, které jsou přeposílány. Příčinou je výchozí DKIM klíč, kterým Google podepisuje, dokud nezveřejníte svůj vlastní. Tento průvodce vysvětluje, proč k tomu dochází, jak je to časté a jak to opravit, a jako příklad z praxe používá data jednoho z klientů DMARCeye.

Co najdete v tomto průvodci

• Čím Google Workspace podepisuje vaše e-maily
• Proč výchozí klíč selhává na DMARC při přeposílání
• Jak časté to je?
• Jak to vypadá v praxi: případ společnosti Saleshero
• Jak to opravit

Čím Google Workspace podepisuje vaše e-maily

Google Workspace vždy podepisuje vaši odchozí poštu DKIM podpisem, ať už máte nastavený vlastní klíč, nebo ne. Pokud žádný nemáte nastavený, podepisuje výchozím klíčem na technické doméně Google, něčím jako yourcompany.20230601.gappssmtp.com, místo vaší vlastní domény. Nic nevypadá špatně: pošta se odešle a při přímém doručení obvykle projde.

Proč výchozí klíč selhává na DMARC při přeposílání

DMARC projde pouze tehdy, když se doména v shodě DKIM podpisu shoduje s doménou, ze které je vaše pošta skutečně odeslána. Výchozí klíč Google podepisuje pod gappssmtp.com, zatímco vaše pošta je z vaší vlastní domény, takže se nikdy neshoduje. Při přímém doručení to zůstane nepovšimnuto, protože SPF stále projde. Jakmile je ale zpráva přeposlána, SPF se rozbije, DKIM nemá nic shodného, na co by se mohl spolehnout, a DMARC selže. Zpráva může skončit ve spamu a odesílatel nikdy neuvidí žádné odmítnutí.

Sázky jsou vyšší než dříve. Od doby, kdy Google a Yahoo v roce 2024 zpřísnily své požadavky na hromadné odesílatele, znamená selhání na DMARC stále častěji skončení ve spamu.

Jak časté to je?

V datasetu DMARCeye za první čtvrtletí 2026 přibližně 11 % veškeré pošty odeslané přes Google, tedy zhruba 1 z 9 zpráv, selhává na DKIM stejným způsobem. Téměř vždy to pochází ze strany odesílatele, nikoli ze strany Google, protože někdo nikdy nenahradil výchozí klíč.

Tato čísla pocházejí z průmyslové zprávy DMARCeye za první čtvrtletí 2026 o stavu DMARC.

Jak to vypadá v praxi: případ společnosti Saleshero

Saleshero je B2B prodejní akademie pro menší firmy a klient DMARCeye. Pomáhá zakladatelům, ředitelům a prodejním týmům růst - od nastavení prodejní strategie přes školení prodejních týmů až po dlouhodobý koučink lídrů. Jejich prodejní komunikace, follow-upy i nabídky probíhají přes Google Workspace, takže pro Saleshero má doručitelnost přímý dopad na tržby.

DMARC reporty společnosti Saleshero ukázaly tento vzorec zcela jasně. Napříč odesíláním přes Google selhávalo na DMARC 1 109 z 8 216 zpráv, tedy 86,5 % shody. Na jedné cílové doméně, která přeposílala poštu na osobní Gmail, prošlo pouze 2,3 % zpráv.

Saleshero zveřejnilo svůj vlastní DKIM klíč a během přibližně dvou pracovních dnů klesla míra selhání na DMARC z 13,5 % na 0,11 %, přičemž shoda dosáhla 99,9 % a přeposílaná pošta již neselhávala. Týdenní pohled z DMARCeye ukazuje tento obrat: měsíce selhání a poté téměř nula v týdnu, kdy byl nasazen nový klíč.

"Předpokládali jsme, že když používáme Google Workspace, je všechno kolem DMARC automaticky vyřešené. Bylo velkým překvapením zjistit, že významná část našich e-mailů mohla skončit někde jinde než ve schránkách našich klientů."

Alexander Raiman

Spoluzakladatel, Saleshero

Jak to opravit

Řešením je zveřejnit svůj vlastní DKIM klíč, aby Google podepisoval pod vaší doménou místo výchozí domény Google.

Vlastními silami: nastavte si vlastní DKIM klíč

Pokud to chcete vyřešit sami, nastavení najdete v konzoli Google Admin a zabere pár minut plus jednu změnu v DNS:

1. V konzoli Google Admin přejděte do sekce Aplikace, poté Google Workspace, poté Gmail, poté Ověřit e-mail a vygenerujte DKIM klíč pro svou doménu.
2. Přidejte TXT záznam, který vám Google poskytne, do DNS své domény u poskytovatele, který ji hostuje.
3. Zpět v konzoli Admin klikněte na Spustit ověřování, aby Google podepisoval vaším vlastním klíčem místo výchozího klíče gappssmtp.com.

Druhý krok vyžaduje přístup k DNS vaší domény. Pokud DNS nespravujete sami, což je u marketingových týmů běžné, předejte to tomu, kdo to má na starosti: vašemu IT týmu, vašemu webhostingu nebo tomu, kdo vaši doménu nastavil.

Oficiální návod od Google obsahuje veškeré podrobnosti: Zapnutí DKIM pro vaši doménu.

Pokud odesíláte přes Google Workspace a nikdy jste nezveřejnili svůj vlastní DKIM klíč, vyplatí se podívat, jak vaše doména vypadá právě teď.

Usnadněte si to s DMARCeye

Postup vlastními silami funguje, ale zveřejnění klíče nikdy nebylo tím těžkým. Těžké je vědět, že ta mezera vůbec existuje, a zachytit tu příští dřív, než vás bude stát obchod.

A přesně tady přichází DMARCeye. Čte vaše DMARC reporty a převádí je na srozumitelné pokyny: ukazuje, kde vaše ověřování e-mailů selhává, vysvětluje proč a říká vám přesný další krok k nápravě. Mezera jako výchozí klíč Google se objeví sama a DMARCeye dál hlídá, takže se příští chybná konfigurace objeví ještě v době, kdy je pro všechny ostatní neviditelná.