Jak nastavit DMARC záznam pro vaši doménu
Předpoklady: SPF a DKIM
DMARC staví na dvou starších protokolech — SPF a DKIM. Bez nich nemá DMARC co vyhodnocovat. Pokud se chcete nejdříve seznámit s principy DMARC, přečtěte si Co je DMARC a jak funguje. Než začnete s nastavením DMARC záznamu, ověřte:
- SPF záznam je publikovaný a obsahuje všechny oprávněné odesílatele. Pokud ho nemáte, začněte článkem Jak vytvořit SPF záznam krok za krokem.
- DKIM podepisování je aktivní pro všechny služby odesílající e-maily z vaší domény. Ověřit můžete přes DKIM analyzer.
SPF a DKIM by měly fungovat minimálně 48 hodin, než publikujete DMARC záznam — potřebujete jistotu, že legitimní e-maily procházejí autentizací.
Zmapujte odesílatele e-mailů
Před nasazením DMARC záznamu potřebujete kompletní přehled o tom, kdo odesílá e-maily z vaší domény. Vynechaný odesílatel znamená problémy s doručitelností po zpřísnění politiky.
Typičtí odesílatelé:
- Firemní mailserver nebo hosting (vlastní server, Google Workspace, Microsoft 365)
- Marketingové nástroje (Mailchimp, Ecomail, SmartEmailing)
- Helpdesk a CRM systémy (Freshdesk, HubSpot, Salesforce)
- Fakturační a účetní systémy (Fakturoid, iDoklad, Pohoda)
- Transakční e-maily (SendGrid, Amazon SES, Mailgun)
Každá služba musí být zahrnuta v SPF záznamu a nakonfigurována pro DKIM podepisování vaší doménou. Pokud si nejste jistí, které služby odesílají e-maily za vaši doménu, právě DMARC reporty vám to odhalí — proto začínáte s monitorovací politikou p=none.
Sestavte DMARC záznam
DMARC záznam je TXT záznam v DNS publikovaný na subdoméně _dmarc. Pro doménu firma.cz tedy vytváříte záznam pro _dmarc.firma.cz.
Minimální záznam pro začátek
v=DMARC1; p=none; rua=mailto:firma.cz@rua.spfmonitor.com
Adresa firma.cz@rua.spfmonitor.com směřuje reporty do SPF Monitoru, který je automaticky zpracuje, vizualizuje a upozorní vás na problémy — nemusíte ručně parsovat XML soubory. Tento záznam říká přijímajícím serverům: „Posílejte mi reporty o e-mailech z mé domény, ale zatím s nimi nic nedělejte." Tři části záznamu:
| Tag | Hodnota | Význam |
|---|---|---|
v=DMARC1 |
povinné | Identifikátor DMARC záznamu, vždy na prvním místě |
p=none |
none / quarantine / reject |
Politika — co dělat s neautentizovanými e-maily |
rua=mailto: |
e-mailová adresa | Kam posílat agregované reporty (denní přehledy ve formátu XML) |
Doporučený záznam s rozšířenou konfigurací
v=DMARC1; p=none; rua=mailto:firma.cz@rua.spfmonitor.com; ruf=mailto:firma.cz@ruf.spfmonitor.com; fo=1; adkim=r; aspf=r
Rozšířené tagy:
| Tag | Hodnota | Co dělá |
|---|---|---|
ruf=mailto: |
e-mailová adresa | Adresa pro forensní reporty (detail jednotlivých selhání) |
fo=1 |
0, 1, d, s |
0 = report při selhání obou; 1 = při jakémkoliv selhání; d = jen DKIM selhání; s = jen SPF selhání |
adkim=r |
r (relaxed) / s (strict) |
Režim alignmentu pro DKIM — r toleruje shodu na úrovni organizační domény |
aspf=r |
r (relaxed) / s (strict) |
Režim alignmentu pro SPF — r toleruje shodu na úrovni organizační domény |
Pro začátek je relaxed alignment (r) správná volba. Strict alignment (s) vyžaduje přesnou shodu domén — to může způsobit problémy u služeb, které odesílají z subdomén.
Kombinace SPF Monitor reportů a vlastní adresy
Reporty můžete posílat na více adres současně — oddělte je čárkou. Tím získáte automatické zpracování v SPF Monitoru a zároveň kopii reportů na vlastní e-mail:
v=DMARC1; p=none; rua=mailto:firma.cz@rua.spfmonitor.com,mailto:dmarc@firma.cz; ruf=mailto:firma.cz@ruf.spfmonitor.com,mailto:dmarc-forensic@firma.cz; fo=1
Autorizace reportů na jiné doméně
Když reportovací adresa patří k jiné doméně než vaše (což je i případ SPF Monitoru — adresa firma.cz@rua.spfmonitor.com patří doméně spfmonitor.com), cílová doména musí toto explicitně povolit. SPF Monitor má tuto autorizaci nastavenou — nemusíte nic řešit.
Pokud byste chtěli reporty posílat na vlastní jinou doménu (např. dmarc@monitoring.cz pro doménu firma.cz), na doméně monitoring.cz publikujte TXT záznam:
firma.cz._report._dmarc.monitoring.cz TXT "v=DMARC1"
Bez tohoto záznamu přijímající servery reporty na cizí doménu neodešlou — jde o ochranu proti zneužití definovanou v RFC 7489, sekce 7.1.
Publikujte záznam v DNS
Přihlaste se do správy DNS vaší domény a vytvořte nový TXT záznam:
| Pole | Hodnota |
|---|---|
| Název/Host | _dmarc |
| Typ | TXT |
| Hodnota/Data | v=DMARC1; p=none; rua=mailto:firma.cz@rua.spfmonitor.com |
| TTL | 3600 (1 hodina) nebo výchozí hodnota registrátora |
Pozor na specifika jednotlivých DNS poskytovatelů:
- Někteří automaticky přidávají doménu k názvu záznamu — zadáváte jen
_dmarc, ne_dmarc.firma.cz. - Hodnotu záznamu vkládejte bez uvozovek — většina panelů je přidá automaticky. Dvojité uvozovky v záznamu způsobí chybu.
- Pokud DNS panel vyžaduje výběr typu záznamu, vyberte
TXT.
Ověřte DMARC záznam
Po publikaci počkejte na propagaci DNS (obvykle minuty až hodiny, maximálně 48 hodin). Poté ověřte záznam:
DMARC analyzérem
Zkontrolujte svůj DMARC záznam naším analyzérem — kromě existence záznamu ověří i syntaxi, validitu reportovacích adres a upozorní na potenciální problémy.
Alternativně v terminálu
dig TXT _dmarc.firma.cz +short
Očekávaný výstup:
"v=DMARC1; p=none; rua=mailto:firma.cz@rua.spfmonitor.com"
Na Windows:
nslookup -type=TXT _dmarc.firma.cz
Analyzujte reporty
S politikou p=none začnete během 24–72 hodin dostávat agregované reporty (rua) od poskytovatelů jako Gmail, Yahoo nebo Outlook. Reporty přicházejí ve formátu XML a obsahují:
- IP adresy odesílajících serverů — odhalíte, kdo odesílá e-maily z vaší domény
- Výsledky SPF a DKIM kontrol — zjistíte, které služby procházejí a které selhávají
- Alignment — zda doména v hlavičce „From" odpovídá doméně z SPF/DKIM
Na co se zaměřit:
- Legitimní odesílatelé se selháním — služba, kterou používáte, ale chybí v SPF záznamu nebo nemá nakonfigurovaný DKIM. Opravte konfiguraci.
- Neznámé IP adresy s úspěšnou autentizací — může jít o zapomenutou službu nebo o zneužití. Prověřte.
- Neznámé IP adresy se selháním — pravděpodobně spoofing. Po zpřísnění politiky budou tyto e-maily blokovány.
Monitorovací fázi (p=none) nechte běžet minimálně 2–4 týdny. Potřebujete zachytit všechny odesílatele — některé služby odesílají e-maily jen příležitostně (měsíční fakturace, kvartální newslettery).
Zpřísněte politiku
Jakmile reporty ukazují, že všechny legitimní e-maily procházejí autentizací, postupně zpřísňujte politiku.
Krok 1: Karanténa s postupným zaváděním
v=DMARC1; p=quarantine; pct=10; rua=mailto:firma.cz@rua.spfmonitor.com
Tag pct=10 znamená, že politika quarantine se aplikuje jen na 10 % neautentizovaných e-mailů — na zbylých 90 % se deklarovaná politika neuplatní. Tím omezíte dopad případné chyby v konfiguraci.
Sledujte reporty. Pokud se neobjeví problémy, zvyšte postupně: pct=25 → pct=50 → pct=100 (nebo tag pct úplně odstraňte — výchozí hodnota je 100).
Krok 2: Reject s postupným zaváděním
v=DMARC1; p=reject; pct=10; rua=mailto:firma.cz@rua.spfmonitor.com
Politika reject říká přijímajícím serverům, aby neautentizované e-maily odmítly na úrovni SMTP — nedoručí se vůbec. Opět začněte s pct=10 a postupně zvyšujte.
Krok 3: Plná ochrana
v=DMARC1; p=reject; rua=mailto:firma.cz@rua.spfmonitor.com; ruf=mailto:firma.cz@ruf.spfmonitor.com; fo=1
Toto je cílový stav. Všechny neautentizované e-maily z vaší domény budou odmítnuty. Vaše doména je chráněna proti spoofingu a phishingu.
Zabezpečte subdomény
DMARC záznam na hlavní doméně se vztahuje i na subdomény, pokud nemají vlastní záznam. Ale bez explicitního nastavení mohou být subdomény slabým místem.
Tag sp= nastavuje politiku pro subdomény:
v=DMARC1; p=reject; sp=reject; rua=mailto:firma.cz@rua.spfmonitor.com
Doporučený přístup:
- Subdomény, ze kterých odesíláte e-maily (např.
newsletter.firma.cz) — nastavte vlastní DMARC záznam s odpovídající politikou a zajistěte SPF + DKIM. - Subdomény bez e-mailu —
sp=rejectna hlavní doméně je zablokuje. Útočníci často zneužívají neexistující subdomény ke spoofingu.
Časté chyby při nastavení DMARC záznamu
Přeskočení monitorovací fáze
Nasazení p=reject bez předchozího monitoringu (p=none) je nejčastější chyba. Riskujete zablokování legitimních e-mailů — faktur, notifikací nebo marketingových kampaní — od služeb, které jste zapomněli zahrnout do SPF nebo nakonfigurovat pro DKIM.
Chybějící adresa pro reporty
DMARC záznam bez rua= sice funguje, ale nemáte žádnou zpětnou vazbu. Nevidíte, kdo odesílá e-maily z vaší domény, ani zda autentizace funguje správně. Bez reportů nemůžete bezpečně zpřísnit politiku.
Více DMARC záznamů na doméně
Na jedné doméně smí existovat nejvýše jeden DMARC záznam. Pokud DNS obsahuje dva TXT záznamy pro _dmarc.firma.cz, dle RFC 7489, sekce 6.6.3 se zpracování DMARC ukončí — přijímající servery neuplatní žádnou politiku, jako by DMARC záznam neexistoval.
Syntaktické chyby
Nejčastější syntaktické problémy:
v=DMARC1není na prvním místě v záznamu- Chybějící středník mezi tagy
- Překlep v názvu tagu (např.
p=quarintinemístop=quarantine) - Uvozovky v hodnotě záznamu (pokud je DNS panel přidává automaticky)
Ignorování subdomén
Útočníci mohou spoofit e-maily z libovolné subdomény vaší domény. Pokud máte p=reject na hlavní doméně, ale nemáte nastavený sp=, subdomény dědí politiku hlavní domény. Explicitní sp=reject ale zvyšuje čitelnost záznamu a jasně dokumentuje záměr správce domény.
Průběžný monitoring
Nastavení DMARC záznamu není jednorázová akce. Doména žije — přibývají nové služby, mění se infrastruktura, rotují DKIM klíče. Bez průběžného monitoringu se dozvíte o problému, až když zákazníci nahlásí nedoručené e-maily.
Sledujte:
- DMARC reporty — pravidelně analyzujte, zda se neobjevují nová selhání legitimních odesílatelů
- Změny v DNS — při každé změně SPF nebo DKIM záznamu ověřte, že DMARC autentizace stále funguje
- Nové odesílací služby — při zavedení nového nástroje (helpdesk, fakturační systém) přidejte jeho záznamy do SPF a nastavte DKIM ještě před spuštěním
Kompletní analýza vaší domény odhalí problémy v SPF, DKIM i DMARC konfiguraci na jednom místě.
