PŘÍPADOVÁ STUDIE

Jak Saleshero opravilo DKIM a zvýšilo DMARC compliance z 86 % na 99 %

DMARCeye odhalilo, že Google Workspace podepisoval Saleshero e-maily výchozím klíčem, který selhává pokaždé, když e-mail projde přeposláním nebo třetí stranou. Po nasazení vlastního DKIM klíče klesla míra selhání téměř na nulu.

saleshero
KLIENT

O společnosti Saleshero

Saleshero je "sales akademie" pro menší firmy. Pomáhá founderům, ředitelům a obchodním týmům růst — od nastavení obchodní strategie přes školení zaměstnanců v obchodních dovednostech až po dlouhodobý koučink lídrů.

Frame 427319730

Saleshero založili Alexander Raiman a Fares Měchura — bývalí obchodní lídři z firem jako Socialbakers, Khoros a AnyDesk. Od roku 2020 vyškolili přes 150 firemních lídrů. 

NAVŠTÍVIT WEB

Co Saleshero nabízí

Saleshero Bootcamp — 3měsíční intenzivní B2B obchodní školení s online lekcemi a samostudijním kurzem.

Elite Program — 12měsíční podpůrný program pro ředitele, majitele a vrcholové manažery.

Saleshero Podcast — Týdenní B2B obchodní tipy od zakladatelů Saleshera Alexe a Farese. 

 

Výsledky v číslech

E-mail je pro Saleshero zásadní nástroj, protože veškerá komunikace s leady, klienty a partnery probíhá primárně právě přes něj. Pokud se obchodní zpráva nedoručí nebo skončí ve spamu, Saleshero přichází o příležitost. Proto musela být doručitelnost a autentizace e-mailů v naprostém pořádku.

PŘED OPRAVOU

86,50 %

DMARC compliance pro odesílání přes Google. Z 8216 e-mailů jich 1109 selhalo, což vedlo k výrazným ztrátám v doručitelnosti.

PO NASAZENÍ DKIM

99,89 %

Doručování e-mailů se stabilizovalo — z 2803 e-mailů neprošly kontrolami DMARC pouze 3.

Pokles míry selhání

−99,2 %

z 13,50 % na 0,11 %

Nárůst compliance

+13,4 %

napříč zdroji Google

Dny s ≥1 selháním DMARC

72 % → 6 %

před / po opravě

První den po opravě:

675 / 0

e-mailů prošlo / selhalo v DMARC

Výchozí situace

Saleshero odesílá z domény saleshero.cz primárně přes Google Workspace — obchodní komunikaci, follow-upy, obchodní nabídky. Doména měla nasazené SPF a DMARC v monitorovacím režimu (p=none) a Google podepisoval odchozí e-maily DKIM podpisem. Problém byl v tom, že Google podepisoval e-maily výchozím klíčem z technické subdomény saleshero-cz.20230601.gappssmtp.com — nikoli přímo z domény saleshero.cz. To je standardní záložní řešení v případě, kdy si zákazník Google Workspace nenastaví vlastní DKIM klíč.

Z pohledu validace DMARC je to problém, protože DMARC vyžaduje, aby se doména v DKIM podpisu shodovala s doménou v poli <From> (tzv. DKIM alignment). V případě Saleshera podepisoval výchozí klíč pod doménou gappssmtp.com, ale e-maily přicházely z @saleshero.cz. Alignment selhal, a tím selhal i DMARC.

Co DMARCeye odhalil

Reporty ukázaly, že 4651 z 5877 e-mailů z jediné Google IP (209.85.220.41) bylo podepsáno výchozím klíčem gappssmtp.com; DKIM zde technicky procházel, ale DMARC selhával kvůli neshodě domény. Naproti tomu 1 226 e-mailů se správným selektorem google._domainkey.saleshero.cz prošlo jak DKIM, tak DMARC.

11,1 %

Nešlo o náhodu jen u Saleshera. Zhruba 11 % (1 z 9) zpráv odeslaných přes Google v datasetu DMARCeye za Q1 2026 selhává v DKIM stejným způsobem. Jak uvádí náš report, téměř vždy to pochází ze strany odesílatele, nikoli ze strany Google. Pokud zákazník nikdy nenahradí výchozí DKIM klíč Google Workspace, e-mail selže v alignmentu ve chvíli, kdy je přeposlán nebo přenesen přes relay.

 
 

Scénář, který to odhalil

Názorný příklad z dat: Saleshero zaznamenalo 177 selhaných e-mailů z IP adresy 2a00:1450:4864:20::149, z nichž většina mířila do jediné firmy.

Jak to obvykle vypadá

  1. Obchodní e-mail jde od salesperson@saleshero.cz přes Google Workspace na john.doe@testcompany.eu
  2. Server testcompany.eu přepošle e-mail na něčí osobní Gmail
  3. Během přeposlání se odesílatel změní z Google (Saleshero) na server testcompany.eu a SPF selže
  4. Bez správně nastaveného DKIM podpisu nemá DMARC na co navázat, takže selže a Gmail Johna Doea označí za podezřelý.

Takto selhalo v DMARC 177 e-mailů Saleshera do jediné klientské firmy; stejný vzorec se opakoval u desítek dalších.

To je bohužel běžná B2B realita. Klienti mají aliasy, asistentky s přeposílanými schránkami, mailing listy, kontaktní formuláře, platformy třetích stran odesílající jejich jménem a další.

Přeposílání je pravidlo, ne výjimka. A pro Saleshero, které uzavírá obchodní schůzky a posílá nabídky e-mailem, je doručitelnost přímo spojená s tržbami.

POSTUP

Řešení krok za krokem

Saleshero se od identifikace problému k finálnímu řešení dostalo v pouhých 5 krocích, díky monitoringu DMARCeye, s plnou viditelností a kontrolou po celou dobu procesu.

 

KROK 1

Identifikace v DMARCeye. V detailním rozpadu pro saleshero.cz jsme viděli, že e-maily byly podepsané výchozím klíčem gappssmtp.com, který se neshoduje s odesílací doménou.

KROK 2

Vygenerování vlastního DKIM klíče. V administrační konzoli Google Workspace jsme vygenerovali 2048bitový DKIM klíč přímo pro doménu saleshero.cz.

KROK 3

Publikace TXT záznamu v DNS. U poskytovatele DNS jsme přidali záznam pro selektor google._domainkey.saleshero.cz.

KROK 4

Aktivace podepisování. Po rozšíření DNS jsme v Google Workspace zapnuli podepisování novým DKIM klíčem, čímž jsme vyřadili výchozí klíč.

KROK 5

Ověření v DMARCeye. Hned první den po aktivaci prošlo přes Google 675 e-mailů s nulovým počtem selhání. V následujících týdnech zůstala míra selhání prakticky na nule.

REFERENCE

Skryté riziko: odhaleno a opraveno

DMARCeye pomohlo Saleshero odhalit skryté riziko doručitelnosti v Google Workspace a bez jakýchkoli pochybností jej opravit.

Než jsme začali používat DMARCeye, vůbec jsme netušili, že bychom mohli mít s DMARC problém. Předpokládali jsme, že když používáme Google Workspace, je všechno kolem DMARC automaticky vyřešené. Bylo ale skutečným překvapením zjistit, že významná část našich e-mailů může skončit jinde než ve schránkách našich klientů. Klíčovým momentem pro nás bylo zařazení služby pro monitoring DMARC, jako je DMARCeye, do našeho tech stacku — právě to nám pomohlo mezeru najít a vyřešit.

1758127399783
Spoluzakladatel, Saleshero Alexander Raiman
KLÍČOVÉ POZNATKY

Skrytý problém DKIM v Google Workspace

DKIM v Google Workspace „funguje“ automaticky — Google e-maily vždy podepisuje, ať už si vlastní klíč nastavíte, nebo ne. A v tom je past. Výchozí klíč pod doménou gappssmtp.com neprojde DMARC alignmentem, takže autentizace každého e-mailu, který narazí na forwarder nebo službu třetí strany, může selhat.

V monitorovacím režimu DMARC (p=none) se neděje nic kromě monitorování. E-maily se stále doručují a problém zůstává skrytý do chvíle, než Gmail nebo Yahoo začnou ve velkém směrovat obchodní zprávy do spamu.

Salesheru trvalo zhruba dva pracovní dny od identifikace problému po aktivaci vlastního DKIM klíče. Bez DMARCeye by se problém pravděpodobně projevil teprve ve chvíli, kdy by některý významný klient řekl „nechodí mi vaše e-maily“.