Běžíme v testovacím provozu, prosíme o shovívavost a zpětnou vazbu.
DMARC fail — co to znamená a co dělat

DMARC fail — co to znamená a co dělat

· 9 min čtení · Tomas Hojgr · DMARC
DMARC E-mailová autentizace Řešení problémů SPF DKIM

Co znamená DMARC fail

DMARC fail nastane, když e-mail odeslaný z vaší domény neprojde autentizační kontrolou na straně příjemce. Přijímající server vyhodnotil, že e-mail nesplňuje podmínky vaší DMARC politiky — buď selhal SPF, selhal DKIM, nebo výsledky autentizace neodpovídají doméně v hlavičce From.

Důsledky závisí na nastavené politice:

Politika Co se stane při DMARC failu
p=none E-mail se doručí, příjemce pouze reportuje selhání
p=quarantine E-mail skončí ve spamu nebo karanténě
p=reject E-mail se odmítne na úrovni SMTP — nedoručí se vůbec

Pokud máte politiku p=none, DMARC fail neovlivní doručení e-mailů, ale signalizuje problém v konfiguraci. U politik p=quarantine a p=reject vede DMARC fail k nedoručení legitimních e-mailů — faktur, notifikací, marketingových kampaní.

Jak DMARC vyhodnocuje e-mail

DMARC nestojí samostatně. Propojuje výsledky SPF a DKIM s doménou v hlavičce From prostřednictvím mechanismu zvaného alignment (srovnání domén).

E-mail projde DMARC kontrolou, pokud splní alespoň jednu z těchto podmínek:

  1. SPF pass + SPF alignment — doména z envelope sender (Return-Path) odpovídá doméně v hlavičce From
  2. DKIM pass + DKIM alignment — doména v DKIM podpisu (d=) odpovídá doméně v hlavičce From

Alignment má dva režimy:

  • Relaxed (výchozí, aspf=r / adkim=r) — stačí shoda na úrovni organizační domény. E-mail z news.firma.cz projde alignmentem pro firma.cz.
  • Strict (aspf=s / adkim=s) — vyžaduje přesnou shodu domén. E-mail z news.firma.cz neprojde alignmentem pro firma.cz.

DMARC fail tedy neznamená jen „SPF nebo DKIM selhaly". Může nastat i situace, kdy SPF i DKIM projdou, ale žádný z nich není alignovaný s doménou v hlavičce From.

Nejčastější příčiny DMARC failu

Chybějící nebo neúplný SPF záznam

Odesílající server není zahrnutý v SPF záznamu vaší domény. Typicky se to stane po přidání nové služby (helpdesk, fakturační systém, CRM), která začne odesílat e-maily z vaší domény, ale její IP adresa nebo include mechanismus chybí v SPF.

v=spf1 include:_spf.google.com -all

Pokud Mailchimp odesílá e-maily za firma.cz a v záznamu chybí include:servers.mcsv.net, SPF pro tyto e-maily selže.

Chybějící nebo nesprávný DKIM podpis

E-mail nemá DKIM podpis vůbec, nebo je podepsaný klíčem jiné domény. Bez DKIM je e-mail závislý výhradně na SPF — a pokud selže i ten (např. při přeposílání), DMARC nemá co vyhodnotit jako pass.

Zkontrolujte svůj DKIM záznam a ověřte, že každá služba odesílající e-maily z vaší domény podepisuje DKIM vaší doménou (nikoliv výchozí doménou poskytovatele). Pokud DKIM selhává i samostatně, podívejte se na článek DKIM fail — příčiny a řešení.

Selhání alignmentu

SPF i DKIM mohou technicky projít, ale DMARC přesto selže. Příklad:

  • Hlavička From: info@firma.cz
  • Return-Path: bounce@mailservice.com (SPF pass pro mailservice.com, ale alignment fail pro firma.cz)
  • DKIM podpis: d=mailservice.com (DKIM pass pro mailservice.com, ale alignment fail pro firma.cz)

Obě kontroly prošly — ale ani jedna se nevztahuje k doméně firma.cz. DMARC vyhodnotí e-mail jako fail.

Řešení: nakonfigurujte odesílající službu tak, aby používala vaši doménu v Return-Path (SPF alignment) nebo v DKIM podpisu (d=firma.cz). Většina moderních ESP (e-mail service providerů) obojí podporuje.

Překročení limitu 10 DNS lookupů v SPF

SPF má limit 10 DNS lookupů na jeden záznam (RFC 7208, sekce 4.6.4). Mechanismy include:, a:, mx:, ptr:, exists: a modifikátor redirect= generují DNS lookup. Překročení limitu způsobí PermError — SPF se vyhodnotí jako selhání bez ohledu na to, zda je odesílatel oprávněný.

Zkontrolujte počet lookupů naším SPF analyzérem. Pokud limit překračujete, zvažte SPF flattening nebo konsolidaci odesílacích služeb.

Přeposílání e-mailů

Přeposílání je klasický problém pro SPF. Když server přepošle e-mail, změní se odesílající IP adresa — nová IP není v SPF záznamu původní domény, a SPF selže. Pokud e-mail nemá platný DKIM podpis alignovaný s doménou v hlavičce From, DMARC selže také.

DKIM je odolnější — podpis přežije přeposílání, pokud přeposílající server nezmění tělo nebo podepsané hlavičky e-mailu. Proto je DKIM klíčový pro spolehlivý průchod DMARC kontrolou.

Přijímající servery, které podporují ARC (Authenticated Received Chain), dokážou ověřit řetězec autentizace i přes přeposílání — více o tom, jak ARC funguje, najdete v článku ARC: ověření e-mailů při přeposílání. Podpora ARC roste, ale není univerzální.

Třetí strany bez správné konfigurace

SaaS nástroje (helpdesk, CRM, marketingové platformy) často odesílají e-maily „jménem" vaší domény. Pokud nemají nakonfigurovaný DKIM s vaší doménou a jejich odesílací servery nejsou v SPF záznamu, DMARC fail je nevyhnutelný.

Typické služby, u kterých se to stává:

  • Fakturační systémy (Fakturoid, iDoklad)
  • Helpdesk a ticketing (Freshdesk, Zendesk)
  • CRM systémy (HubSpot, Salesforce)
  • Marketingové nástroje (Mailchimp, Ecomail)
  • Transakční e-maily (SendGrid, Amazon SES)

U každé služby ověřte, zda podporuje vlastní DKIM doménu a zda je zahrnuta v SPF.

Jak zjistit příčinu DMARC failu

DMARC reporty

Agregované DMARC reporty (rua) jsou primární diagnostický nástroj. Obsahují IP adresy odesílajících serverů, výsledky SPF a DKIM kontrol a stav alignmentu.

Pokud máte reporty směřované do SPF Monitoru, získáte přehlednou vizualizaci — nemusíte ručně parsovat XML. Hledejte záznamy s dmarc=fail a identifikujte:

  1. IP adresu odesílatele — patří vašemu serveru nebo službě? Nebo je neznámá?
  2. SPF výsledek — pass, fail, nebo permerror?
  3. DKIM výsledek — pass, fail, nebo chybí?
  4. Alignment — odpovídají domény v SPF/DKIM hlavičce From?

Pokud nemáte nastavený rua= tag v DMARC záznamu, nemáte žádná data. Přidejte reportovací adresu — bez ní diagnostiku neprovedete. Postup najdete v článku Jak nastavit DMARC záznam.

Hlavičky e-mailu

U konkrétního e-mailu, který selhal, zkontrolujte hlavičku Authentication-Results. Obsahuje výsledky SPF, DKIM a DMARC kontroly provedené přijímajícím serverem:

Authentication-Results: mx.google.com;
  dmarc=fail (p=REJECT sp=REJECT dis=REJECT) header.from=firma.cz;
  spf=pass (google.com: domain of bounce@mailservice.com designates 192.0.2.1 as permitted sender) smtp.mailfrom=mailservice.com;
  dkim=pass header.i=@mailservice.com header.s=selector1

V tomto příkladu SPF i DKIM prošly, ale pro doménu mailservice.com — ne pro firma.cz z hlavičky From. Alignment selhal, proto DMARC fail.

Typické chybové hlášky

Při DMARC rejectu příjemce vrátí SMTP chybovou odpověď. Nejčastější formáty:

  • 550 5.7.1 Email rejected per DMARC policy — standardní odmítnutí podle DMARC politiky příjemce
  • 550 5.7.0 Email rejected per DMARC policy for firma.cz — explicitně uvádí doménu, jejíž politika způsobila odmítnutí
  • 550 5.7.26 This message fails authentication checks — Gmail specifická chybová hláška

Číslo 550 znamená trvalé odmítnutí — odesílající server by neměl e-mail opakovat.

Co dělat při DMARC failu

Systematický postup

  1. Identifikujte zdroj — z DMARC reportů nebo hlaviček zjistěte, který server e-mail odeslal a proč autentizace selhala.

  2. Rozlište legitimní odesílatele od spoofingu — pokud IP adresa patří vaší službě, jde o konfigurační problém. Pokud je neznámá, pravděpodobně jde o spoofing — a DMARC funguje správně.

  3. Opravte konfiguraci podle typu selhání:

    • SPF fail → přidejte odesílající server do SPF záznamu
    • DKIM fail → nakonfigurujte DKIM podepisování vaší doménou u dané služby
    • Alignment fail → nastavte vlastní doménu v Return-Path nebo DKIM podpisu u odesílající služby
    • SPF PermError → zredukujte počet DNS lookupů pod limit 10

  4. Ověřte opravu — po změně DNS záznamů počkejte na propagaci (minuty až hodiny) a zkontrolujte SPF, DKIM a DMARC analyzérem.

  5. Sledujte reporty — ověřte v následujících DMARC reportech, že selhání zmizelo.

Když je DMARC fail žádoucí

Ne každý DMARC fail vyžaduje opravu. Pokud neznámá IP adresa odesílá e-maily za vaši doménu a vy tuto službu nepoužíváte, jde o pokus o spoofing. DMARC v tomto případě funguje přesně tak, jak má — chrání vaši doménu.

Prevence DMARC failů

  • Před nasazením nové odesílací služby vždy nejdříve přidejte její záznamy do SPF a nakonfigurujte DKIM. Teprve potom začněte odesílat e-maily.
  • Monitorujte průběžně — DMARC reporty pravidelně kontrolujte. Konfigurace se mění, služby přidávají nové odesílací servery, DKIM klíče expirují.
  • Udržujte SPF záznam pod limitem — při každé změně ověřte počet DNS lookupů SPF analyzérem.
  • Preferujte DKIM — DKIM je odolnější než SPF, přežije přeposílání a není omezený počtem lookupů. U každé služby nastavte DKIM s vlastní doménou.
  • Začněte s p=none — pokud teprve nasazujete DMARC, začněte monitorovací politikou. Zpřísňujte teprve po důkladné analýze reportů. Postup najdete v článku Jak nastavit DMARC záznam.

Kompletní analýza vaší domény odhalí problémy v SPF, DKIM i DMARC konfiguraci na jednom místě — včetně alignmentu a DNS lookup limitu.

Související články

Jak nastavit DMARC záznam pro vaši doménu
DMARC

Jak nastavit DMARC záznam pro vaši doménu

Praktický návod na nastavení DMARC záznamu krok za krokem. Od prvního záznamu s p=none přes analýzu reportů až po plnou ochranu s p=reject.

· 10 min čtení
Co je DMARC a jak funguje
DMARC

Co je DMARC a jak funguje

DMARC propojuje SPF a DKIM a přidává politiku pro neautentizované e-maily. Zjistěte, jak funguje, jak ho nasadit a proč ho vyžadují Google i Yahoo.

· 8 min čtení
Jak číst a interpretovat DMARC reporty
DMARC

Jak číst a interpretovat DMARC reporty

DMARC agregované reporty v XML vypadají nepřehledně. Naučte se číst jednotlivé záznamy, rozlišit spoofing od chybné konfigurace a systematicky…

· 7 min čtení