Co je DMARC a jak funguje
Co je DMARC
DMARC (Domain-based Message Authentication, Reporting and Conformance) je e-mailový autentizační protokol definovaný v RFC 7489. Propojuje dva starší protokoly — SPF a DKIM — a přidává k nim dvě zásadní věci: politiku (co dělat s neautentizovanými e-maily) a reporting (zpětnou vazbu o tom, kdo odesílá e-maily z vaší domény).
SPF a DKIM samy o sobě pouze ověřují — ale neříkají příjemci, co má dělat, když ověření selže. DMARC tento krok doplňuje. Vlastník domény publikuje v DNS záznam, který říká: „Pokud e-mail z mé domény neprojde autentizací, udělejte s ním tohle."
Jak DMARC funguje
DMARC pracuje v pěti krocích:
- Odešlete e-mail z domény
firma.cz. - Přijímající server zjistí doménu z hlavičky „From" a dotáže se DNS na DMARC záznam
_dmarc.firma.cz. - Server provede kontrolu SPF a DKIM.
- Server zkontroluje alignment — zda doména z výsledku SPF nebo DKIM odpovídá doméně v hlavičce „From" podle pravidel v DMARC záznamu.
- Podle politiky e-mail doručí, přesune do karantény, nebo odmítne. Zároveň odešle vlastníkovi domény report.
Proč záleží na alignmentu
SPF kontroluje adresu v obálce e-mailu (envelope sender), nikoli adresu v hlavičce „From". DKIM ověřuje doménu, která zprávu podepsala — ta se také může lišit od domény v hlavičce „From".
DMARC vyžaduje, aby alespoň jeden z protokolů (SPF nebo DKIM) prošel kontrolou a zároveň aby doména z úspěšné kontroly odpovídala doméně v hlavičce „From". Tomuto propojení se říká identifier alignment.
DMARC rozlišuje dva režimy alignmentu:
| Režim | Tag | Chování |
|---|---|---|
| Relaxed (výchozí) | aspf=r / adkim=r |
Stačí shoda organizační domény (např. mail.firma.cz vyhovuje pro firma.cz) |
| Strict | aspf=s / adkim=s |
Vyžaduje přesnou shodu domén |
Pro většinu organizací je relaxed alignment dostačující.
Anatomie DMARC záznamu
DMARC záznam se publikuje jako TXT záznam v DNS na subdoméně _dmarc. Pro doménu firma.cz je to:
_dmarc.firma.cz TXT "v=DMARC1; p=reject; rua=mailto:firma.cz@rua.spfmonitor.com; pct=100"
Povinné tagy
| Tag | Význam | Příklad |
|---|---|---|
v=DMARC1 |
Verze protokolu (povinné, vždy první) | v=DMARC1 |
p= |
Politika pro doménu | none, quarantine, reject |
Volitelné tagy
| Tag | Význam | Výchozí hodnota |
|---|---|---|
rua= |
Adresa pro agregované reporty (denní přehledy) | žádná |
ruf= |
Adresa pro forensní reporty (detail jednotlivých selhání) | žádná |
sp= |
Politika pro subdomény | hodnota z p= |
pct= |
Procento e-mailů, na které se politika aplikuje | 100 |
adkim= |
Alignment pro DKIM (r = relaxed, s = strict) |
r |
aspf= |
Alignment pro SPF (r = relaxed, s = strict) |
r |
fo= |
Kdy generovat forensní reporty (0, 1, d, s) |
0 |
DMARC politiky
Politika (p=) určuje, co má přijímající server udělat s e-maily, které neprojdou DMARC kontrolou:
| Politika | Chování | Kdy použít |
|---|---|---|
p=none |
Pouze monitorovat, e-maily doručit normálně | Při zavádění — sběr dat bez rizika |
p=quarantine |
Přesunout do spamu/karantény | Přechodná fáze, když máte přehled o odesílatelích |
p=reject |
Odmítnout na úrovni SMTP | Cílový stav — maximální ochrana |
Proč DMARC potřebujete
Ochrana proti spoofingu a phishingu
Bez DMARC záznamu s politikou quarantine nebo reject může útočník odeslat e-mail s vaší doménou v hlavičce „From" — a příjemce nemá instrukci, jak s takovým e-mailem naložit. I když SPF nebo DKIM kontrola selže, e-mail může být doručen.
DMARC s politikou reject říká příjemcům: „Pokud e-mail z mé domény neprojde autentizací, odmítněte ho." Tím eliminujete většinu spoofingových a phishingových útoků zneužívajících vaši doménu.
Požadavky Googlu a Yahoo
Od února 2024 Google a Yahoo vyžadují alespoň SPF nebo DKIM autentizaci pro všechny odesílatele. Hromadní odesílatelé (nad 5 000 zpráv denně na Gmail) musí mít navíc DMARC záznam (minimálně p=none) a SPF i DKIM současně. Od listopadu 2025 Gmail zpřísnil vynucování — nevyhovující e-maily čelí odmítnutí.
Bez e-mailové autentizace riskujete problémy s doručitelností u největších světových poskytovatelů.
Viditelnost a kontrola nad vaší doménou
DMARC reporty poskytují přehled o tom, kdo odesílá e-maily z vaší domény. Agregované reporty (rua) přicházejí denně ve formátu XML a obsahují:
- IP adresy odesílajících serverů
- Výsledky SPF a DKIM kontrol
- Počty zpráv a výsledky alignmentu
Díky reportům zjistíte, které legitimní služby jste zapomněli zahrnout do SPF záznamu, a odhalíte případné zneužití vaší domény.
Jak DMARC nasadit
Nasazení DMARC probíhá ve třech fázích. Přeskočení rovnou na p=reject bez předchozího monitoringu může zablokovat legitimní e-maily.
1. Připravte SPF a DKIM
DMARC staví na SPF a DKIM — bez nich nemá smysl. Zkontrolujte, že máte:
- Funkční SPF záznam se všemi oprávněnými odesílateli
- Aktivní DKIM podepisování pro všechny odesílací služby
2. Začněte s p=none
Publikujte DMARC záznam s politikou none a adresou pro reporty:
_dmarc.firma.cz TXT "v=DMARC1; p=none; rua=mailto:firma.cz@rua.spfmonitor.com"
Adresa firma.cz@rua.spfmonitor.com směřuje reporty do SPF Monitoru, který je automaticky zpracuje a vizualizuje — nemusíte ručně parsovat XML soubory. Pokud chcete kopii reportů i na vlastní e-mail, oddělte adresy čárkou:
_dmarc.firma.cz TXT "v=DMARC1; p=none; rua=mailto:firma.cz@rua.spfmonitor.com,mailto:dmarc@firma.cz"
V tomto režimu se e-maily doručují normálně, ale dostáváte reporty. Analyzujte je několik týdnů — identifikujte všechny legitimní odesílatele a opravte případné problémy s SPF nebo DKIM.
3. Zpřísněte politiku
Jakmile reporty ukazují, že všechny legitimní e-maily procházejí autentizací:
- Přejděte na
p=quarantine— neautentizované e-maily půjdou do spamu. - Sledujte reporty a ověřte, že žádný legitimní provoz není blokován.
- Přejděte na
p=reject— neautentizované e-maily budou odmítnuty na úrovni SMTP.
Tag pct= umožňuje postupné zavádění. Například pct=10 aplikuje politiku jen na 10 % e-mailů — zbývající zprávy se vyhodnocují jako p=none (monitorování bez zásahu). Postupně zvyšujte na 100 %.
Časté problémy s DMARC
Přeposílání e-mailů
Při přeposílání se mění odesílající server, takže SPF kontrola selže (nový server není v SPF záznamu původní domény). Pokud e-mail nemá platný DKIM podpis, DMARC kontrola selže celá. Proto je důležité mít funkční DKIM — ten přežívá přeposílání, pokud se obsah zprávy nezmění.
Protokol ARC (Authenticated Received Chain) pomáhá tento problém řešit zachováním výsledků autentizace přes celý řetězec přeposílání.
Třetí strany odesílající za vaši doménu
Marketingové platformy, helpdesk systémy nebo fakturační služby odesílají e-maily jménem vaší domény. Každá taková služba musí být:
- Zahrnuta v SPF záznamu (mechanismus
include) - Nakonfigurována pro DKIM podepisování vaší doménou
Pokud některou službu opomenete, její e-maily po zpřísnění DMARC politiky přestanou docházet.
Subdomain policy
DMARC záznam na hlavní doméně se vztahuje i na subdomény (pokud nemají vlastní DMARC záznam). Tag sp= umožňuje nastavit pro subdomény jinou politiku. Běžný vzor: p=reject na hlavní doméně a sp=reject pro subdomény — tak zabráníte útočníkům ve spoofingu z neexistujících subdomén.
DMARC doplňuje SPF a DKIM
DMARC není náhradou za SPF nebo DKIM — je jejich orchestrátorem. Bez SPF a DKIM nemá DMARC co vyhodnocovat. Bez DMARC nemáte kontrolu nad tím, co se děje s neautentizovanými e-maily.
| Protokol | Co ověřuje | Co chybí |
|---|---|---|
| SPF | Oprávněnost odesílajícího serveru | Neověřuje hlavičku From, nenastavuje politiku |
| DKIM | Integritu a původ zprávy | Nenastavuje politiku pro selhání |
| DMARC | Alignment + politika + reporting | Potřebuje SPF a/nebo DKIM |
Kompletní ochrana vyžaduje všechny tři protokoly. Zkontrolujte si svůj DMARC záznam a zjistěte, zda je vaše doména chráněna.
