2026. je email deliverability postala teža nego ikad. Google i Yahoo su u 2024. postrožili zahtjeve za bulk pošiljatelje, Microsoft Outlook slijedi iste prakse, a BIMI polako prelazi iz marketinške prednosti u praktičan signal legitimacije pošiljatelja. Ovo je kratak, konkretan vodič — što svaka od ovih kratica radi, što vam stvarno treba i kako izgleda ispravna postavka.
SPF — tko smije slati u tvoje ime
Sender Policy Framework je TXT zapis u DNS-u koji nabraja IP adrese i domene koje smiju slati email s tvoje domene. Primalac provjerava Envelope-From (Return-Path) protiv ovog zapisa.
Tipičan zapis:
v=spf1 +a +mx include:_spf.google.com include:spf.mailgun.org -allKljučne zamke:
SPF ima limit od 10 DNS lookups — ako imaš previše
include:zapisa, provjera pada u permerror. Koristi SPF flattening alate kad se zagušiš.Završavaj s
-all(hard fail) kad si siguran u listu.~all(soft fail) je za fazu testiranja.SPF ne preživljava forwarding — zato DKIM postaje važan.
DKIM — digitalni potpis sadržaja
DomainKeys Identified Mail potpisuje zaglavlja i tijelo emaila privatnim ključem. Primalac dohvaća javni ključ iz DNS-a i verificira potpis. Za razliku od SPF-a, DKIM preživljava većinu forwardinga.
Moderna pravila:
Koristi 2048-bitne ključeve minimalno. 1024-bit više nije dovoljno.
Rotiraj ključeve najmanje jednom godišnje — držite dva aktivna selektora (starih i novih), dajte vrijeme za propagaciju, pa isključite stari.
Selektor je proizvoljan naziv (
default,mail,s1) — važno je da je konzistentan s konfiguracijom pošiljatelja.
DNS zapis izgleda ovako:
default._domainkey.tvojadomena.com TXT "v=DKIM1; k=rsa; p=MIIB..."DMARC — politika i izvještavanje
Domain-based Message Authentication, Reporting & Conformance spaja SPF i DKIM u jedno pravilo i govori primateljima što učiniti s porukama koje padnu. Dodatno, DMARC šalje izvještaje koji pokazuju tko šalje u tvoje ime.
Minimalni početni zapis:
v=DMARC1; p=none; rua=mailto:dmarc@tvojadomena.com; fo=1Trofazna strategija koju svi preporučuju:
p=none — nekoliko tjedana, samo skupljaš rua izvještaje da vidiš tko sve šalje
p=quarantine — sumnjive poruke idu u spam
p=reject — poruke koje padnu DMARC kompletno se odbijaju
Od 2024. Google i Yahoo zahtijevaju barem p=none za pošiljatelje s više od 5000 poruka dnevno prema njihovim primateljima. U 2026. očekujemo da će se prag spuštati — postavi DMARC odmah, ne čekaj.
BIMI — logo u inboxu
Brand Indicators for Message Identification dozvoljava da se tvoj logo prikazuje pored poruke u podržanim klijentima (Gmail, Yahoo, Apple Mail na iOS-u/macOS-u u nekim konfiguracijama).
Uvjeti:
DMARC mora biti na
p=quarantineilip=rejectspct=100Logo mora biti u SVG Tiny 1.2 formatu, javno dostupan preko HTTPS-a
Za Gmail i Yahoo treba VMC certifikat (Verified Mark Certificate) — plaća se godišnje, izdaju DigiCert i Entrust
BIMI bez VMC-a je moguć, ali većina primatelja ga neće prikazati. Ako si ozbiljan brand, VMC se isplati — deliverability signal je jak.
Što danas moraš napraviti
Provjeri postojeće zapise —
mxtoolbox.com,dmarcian.com, ilidig TXT tvojadomena.comiz terminalaPostavi DMARC na p=none ako ga još nemaš. Ovo se može napraviti u 10 minuta
Analiziraj rua izvještaje 2-4 tjedna — postoje besplatni alati (Postmark DMARC Digests, DMARC Report) i komercijalni (dmarcian, Valimail, EasyDMARC)
Pomjeri na p=quarantine pa p=reject čim si siguran da su svi legitimni pošiljatelji ispravno potpisani
BIMI + VMC — napravi kad imaš stabilan p=quarantine ili p=reject i konzistentan brand
Česte greške
Postavljanje p=reject bez analize rua izvještaja — legitimna pošta ode u reject, posljedice su ozbiljne
Više SPF zapisa u DNS-u — SPF mora biti samo jedan TXT zapis
DKIM selektor koji se ne podudara s konfiguracijom na mail serveru — potpis ne verificira
Zaboravljeno obnoviti DKIM ključ nakon rotacije na servisu, pa potpis pada tjednima
WMD hosting podržava SPF, DKIM i DMARC kroz cPanel email autentikaciju — postavi u par minuta. Za poslovne mail streamove preporučujemo dedicated IP i eksplicitno DMARC monitoring setup prije prelaska na p=reject.
