Běžíme v testovacím provozu, prosíme o shovívavost a zpětnou vazbu.
DMARC fail — co to znamená a co dělat

DMARC fail — co to znamená a co dělat

· 8 min čtení · Tomas Hojgr · dmarc
dmarc email-authentication troubleshooting

Co znamená DMARC fail

DMARC fail nastane, když e-mail odeslaný z vaší domény neprojde autentizační kontrolou na straně příjemce. Přijímající server vyhodnotil, že e-mail nesplňuje podmínky vaší DMARC politiky — buď selhal SPF, selhal DKIM, nebo výsledky autentizace neodpovídají doméně v hlavičce From.

Důsledky závisí na nastavené politice:

Politika Co se stane při DMARC failu
p=none E-mail se doručí, příjemce pouze reportuje selhání
p=quarantine E-mail skončí ve spamu nebo karanténě
p=reject E-mail se odmítne na úrovni SMTP — nedoručí se vůbec

Pokud máte politiku p=none, DMARC fail neovlivní doručení e-mailů, ale signalizuje problém v konfiguraci. U politik p=quarantine a p=reject vede DMARC fail k nedoručení legitimních e-mailů — faktur, notifikací, marketingových kampaní.

Jak DMARC vyhodnocuje e-mail

DMARC nestojí samostatně. Propojuje výsledky SPF a DKIM s doménou v hlavičce From prostřednictvím mechanismu zvaného alignment (srovnání domén).

E-mail projde DMARC kontrolou, pokud splní alespoň jednu z těchto podmínek:

  1. SPF pass + SPF alignment — doména z envelope sender (Return-Path) odpovídá doméně v hlavičce From
  2. DKIM pass + DKIM alignment — doména v DKIM podpisu (d=) odpovídá doméně v hlavičce From

Alignment má dva režimy:

  • Relaxed (výchozí, aspf=r / adkim=r) — stačí shoda na úrovni organizační domény. E-mail z news.firma.cz projde alignmentem pro firma.cz.
  • Strict (aspf=s / adkim=s) — vyžaduje přesnou shodu domén. E-mail z news.firma.cz neprojde alignmentem pro firma.cz.

DMARC fail tedy neznamená jen „SPF nebo DKIM selhaly". Může nastat i situace, kdy SPF i DKIM projdou, ale žádný z nich není alignovaný s doménou v hlavičce From.

Nejčastější příčiny DMARC failu

Chybějící nebo neúplný SPF záznam

Odesílající server není zahrnutý v SPF záznamu vaší domény. Typicky se to stane po přidání nové služby (helpdesk, fakturační systém, CRM), která začne odesílat e-maily z vaší domény, ale její IP adresa nebo include mechanismus chybí v SPF.

v=spf1 include:_spf.google.com -all

Pokud Mailchimp odesílá e-maily za firma.cz a v záznamu chybí include:servers.mcsv.net, SPF pro tyto e-maily selže.

Chybějící nebo nesprávný DKIM podpis

E-mail nemá DKIM podpis vůbec, nebo je podepsaný klíčem jiné domény. Bez DKIM je e-mail závislý výhradně na SPF — a pokud selže i ten (např. při přeposílání), DMARC nemá co vyhodnotit jako pass.

Zkontrolujte svůj DKIM záznam a ověřte, že každá služba odesílající e-maily z vaší domény podepisuje DKIM vaší doménou (nikoliv výchozí doménou poskytovatele).

Selhání alignmentu

SPF i DKIM mohou technicky projít, ale DMARC přesto selže. Příklad:

  • Hlavička From: info@firma.cz
  • Return-Path: bounce@mailservice.com (SPF pass pro mailservice.com, ale alignment fail pro firma.cz)
  • DKIM podpis: d=mailservice.com (DKIM pass pro mailservice.com, ale alignment fail pro firma.cz)

Obě kontroly prošly — ale ani jedna se nevztahuje k doméně firma.cz. DMARC vyhodnotí e-mail jako fail.

Řešení: nakonfigurujte odesílající službu tak, aby používala vaši doménu v Return-Path (SPF alignment) nebo v DKIM podpisu (d=firma.cz). Většina moderních ESP (e-mail service providerů) obojí podporuje.

Překročení limitu 10 DNS lookupů v SPF

SPF má limit 10 DNS lookupů na jeden záznam (RFC 7208, sekce 4.6.4). Mechanismy include:, a:, mx:, ptr:, exists: a modifikátor redirect= generují DNS lookup. Překročení limitu způsobí PermError — SPF se vyhodnotí jako selhání bez ohledu na to, zda je odesílatel oprávněný.

Zkontrolujte počet lookupů naším SPF analyzérem. Pokud limit překračujete, zvažte SPF flattening nebo konsolidaci odesílacích služeb.

Přeposílání e-mailů

Přeposílání je klasický problém pro SPF. Když server přepošle e-mail, změní se odesílající IP adresa — nová IP není v SPF záznamu původní domény, a SPF selže. Pokud e-mail nemá platný DKIM podpis alignovaný s doménou v hlavičce From, DMARC selže také.

DKIM je odolnější — podpis přežije přeposílání, pokud přeposílající server nezmění tělo nebo podepsané hlavičky e-mailu. Proto je DKIM klíčový pro spolehlivý průchod DMARC kontrolou.

Přijímající servery, které podporují ARC (Authenticated Received Chain), dokážou ověřit řetězec autentizace i přes přeposílání. Podpora ARC roste, ale není univerzální.

Třetí strany bez správné konfigurace

SaaS nástroje (helpdesk, CRM, marketingové platformy) často odesílají e-maily „jménem" vaší domény. Pokud nemají nakonfigurovaný DKIM s vaší doménou a jejich odesílací servery nejsou v SPF záznamu, DMARC fail je nevyhnutelný.

Typické služby, u kterých se to stává:

  • Fakturační systémy (Fakturoid, iDoklad)
  • Helpdesk a ticketing (Freshdesk, Zendesk)
  • CRM systémy (HubSpot, Salesforce)
  • Marketingové nástroje (Mailchimp, Ecomail)
  • Transakční e-maily (SendGrid, Amazon SES)

U každé služby ověřte, zda podporuje vlastní DKIM doménu a zda je zahrnuta v SPF.

Jak zjistit příčinu DMARC failu

DMARC reporty

Agregované DMARC reporty (rua) jsou primární diagnostický nástroj. Obsahují IP adresy odesílajících serverů, výsledky SPF a DKIM kontrol a stav alignmentu.

Pokud máte reporty směřované do SPF Monitoru, získáte přehlednou vizualizaci — nemusíte ručně parsovat XML. Hledejte záznamy s dmarc=fail a identifikujte:

  1. IP adresu odesílatele — patří vašemu serveru nebo službě? Nebo je neznámá?
  2. SPF výsledek — pass, fail, nebo permerror?
  3. DKIM výsledek — pass, fail, nebo chybí?
  4. Alignment — odpovídají domény v SPF/DKIM hlavičce From?

Pokud nemáte nastavený rua= tag v DMARC záznamu, nemáte žádná data. Přidejte reportovací adresu — bez ní diagnostiku neprovedete. Postup najdete v článku Jak nastavit DMARC záznam.

Hlavičky e-mailu

U konkrétního e-mailu, který selhal, zkontrolujte hlavičku Authentication-Results. Obsahuje výsledky SPF, DKIM a DMARC kontroly provedené přijímajícím serverem:

Authentication-Results: mx.google.com;
  dmarc=fail (p=REJECT sp=REJECT dis=REJECT) header.from=firma.cz;
  spf=pass (google.com: domain of bounce@mailservice.com designates 192.0.2.1 as permitted sender) smtp.mailfrom=mailservice.com;
  dkim=pass header.i=@mailservice.com header.s=selector1

V tomto příkladu SPF i DKIM prošly, ale pro doménu mailservice.com — ne pro firma.cz z hlavičky From. Alignment selhal, proto DMARC fail.

Typické chybové hlášky

Při DMARC rejectu příjemce vrátí SMTP chybovou odpověď. Nejčastější formáty:

  • 550 5.7.1 Email rejected per DMARC policy — standardní odmítnutí podle DMARC politiky příjemce
  • 550 5.7.0 Email rejected per DMARC policy for firma.cz — explicitně uvádí doménu, jejíž politika způsobila odmítnutí
  • 550 5.7.26 This message fails authentication checks — Gmail specifická chybová hláška

Číslo 550 znamená trvalé odmítnutí — odesílající server by neměl e-mail opakovat.

Co dělat při DMARC failu

Systematický postup

  1. Identifikujte zdroj — z DMARC reportů nebo hlaviček zjistěte, který server e-mail odeslal a proč autentizace selhala.

  2. Rozlište legitimní odesílatele od spoofingu — pokud IP adresa patří vaší službě, jde o konfigurační problém. Pokud je neznámá, pravděpodobně jde o spoofing — a DMARC funguje správně.

  3. Opravte konfiguraci podle typu selhání:

    • SPF fail → přidejte odesílající server do SPF záznamu
    • DKIM fail → nakonfigurujte DKIM podepisování vaší doménou u dané služby
    • Alignment fail → nastavte vlastní doménu v Return-Path nebo DKIM podpisu u odesílající služby
    • SPF PermError → zredukujte počet DNS lookupů pod limit 10

  4. Ověřte opravu — po změně DNS záznamů počkejte na propagaci (minuty až hodiny) a zkontrolujte SPF, DKIM a DMARC analyzérem.

  5. Sledujte reporty — ověřte v následujících DMARC reportech, že selhání zmizelo.

Když je DMARC fail žádoucí

Ne každý DMARC fail vyžaduje opravu. Pokud neznámá IP adresa odesílá e-maily za vaši doménu a vy tuto službu nepoužíváte, jde o pokus o spoofing. DMARC v tomto případě funguje přesně tak, jak má — chrání vaši doménu.

Prevence DMARC failů

  • Před nasazením nové odesílací služby vždy nejdříve přidejte její záznamy do SPF a nakonfigurujte DKIM. Teprve potom začněte odesílat e-maily.
  • Monitorujte průběžně — DMARC reporty pravidelně kontrolujte. Konfigurace se mění, služby přidávají nové odesílací servery, DKIM klíče expirují.
  • Udržujte SPF záznam pod limitem — při každé změně ověřte počet DNS lookupů SPF analyzérem.
  • Preferujte DKIM — DKIM je odolnější než SPF, přežije přeposílání a není omezený počtem lookupů. U každé služby nastavte DKIM s vlastní doménou.
  • Začněte s p=none — pokud teprve nasazujete DMARC, začněte monitorovací politikou. Zpřísňujte teprve po důkladné analýze reportů. Postup najdete v článku Jak nastavit DMARC záznam.

Kompletní analýza vaší domény odhalí problémy v SPF, DKIM i DMARC konfiguraci na jednom místě — včetně alignmentu a DNS lookup limitu.

Číst v jiném jazyce: English

Související články

Jak nastavit DMARC záznam pro vaši doménu
dmarc

Jak nastavit DMARC záznam pro vaši doménu

Praktický návod na nastavení DMARC záznamu krok za krokem. Od prvního záznamu s p=none přes analýzu reportů až po plnou ochranu s p=reject.

· 10 min čtení
Co je DMARC a jak funguje
dmarc

Co je DMARC a jak funguje

DMARC propojuje SPF a DKIM a přidává politiku pro neautentizované e-maily. Zjistěte, jak funguje, jak ho nasadit a proč ho vyžadují Google i Yahoo.

· 8 min čtení
Jak číst a interpretovat DMARC reporty
dmarc

Jak číst a interpretovat DMARC reporty

DMARC agregované reporty v XML vypadají nepřehledně. Naučte se číst jednotlivé záznamy, rozlišit spoofing od chybné konfigurace a systematicky…

· 7 min čtení