SPF, DKIM a DMARC — kompletní průvodce zabezpečením e-mailu
Proč nestačí jen jeden protokol
SPF, DKIM a DMARC tvoří tři vrstvy e-mailové autentizace. Každý řeší jiný problém — a žádný sám o sobě neposkytuje kompletní ochranu.
- SPF ověřuje, zda e-mail odeslal server oprávněný pro danou doménu. Neřeší ale obsah zprávy ani adresu v hlavičce „From", kterou vidí příjemce.
- DKIM kryptograficky podepisuje zprávu a ověřuje, že nebyla pozměněna. Neříká ale, co dělat, když podpis chybí nebo selže.
- DMARC propojuje výsledky SPF a DKIM s doménou v hlavičce „From" (alignment) a určuje politiku — co má příjemce udělat s neautentizovaným e-mailem.
Bez DMARC mohou SPF a DKIM selhat, a příjemce přesto e-mail doručí. Bez SPF a DKIM nemá DMARC co vyhodnocovat. Teprve společně tvoří kompletní řetězec: autorizace serveru → integrita zprávy → politika a reporting.
Jak spolu tři protokoly fungují
Celý proces autentizace probíhá v okamžiku, kdy přijímající server zpracovává příchozí e-mail:
- SPF kontrola — server ověří, zda IP adresa odesílatele odpovídá SPF záznamu domény z obálky (envelope sender).
- DKIM kontrola — server ověří kryptografický podpis v hlavičce zprávy proti veřejnému klíči v DNS domény, která zprávu podepsala.
- DMARC vyhodnocení — server zkontroluje, zda doména z úspěšné SPF nebo DKIM kontroly odpovídá doméně v hlavičce „From" (alignment). Pokud ano, DMARC projde. Pokud ne, aplikuje se DMARC politika —
none,quarantine, neboreject.
Klíčový koncept: alignment
SPF kontroluje doménu z obálky e-mailu (envelope sender), DKIM kontroluje doménu, která zprávu podepsala. Ani jedna nemusí odpovídat doméně v hlavičce „From" — tedy adrese, kterou vidí příjemce.
DMARC tento problém řeší. Vyžaduje, aby alespoň jeden protokol (SPF nebo DKIM) prošel kontrolou a zároveň aby doména z úspěšné kontroly odpovídala doméně v hlavičce „From". Bez alignmentu by útočník mohl odeslat e-mail z vlastního serveru (s platným SPF pro svou doménu), ale s podvrženou adresou „From" vaší firmy.
DMARC rozlišuje dva režimy alignmentu: relaxed (výchozí) vyžaduje shodu organizační domény — news.firma.cz vyhovuje pro firma.cz. Strict vyžaduje přesnou shodu domén. Pro většinu organizací je relaxed alignment dostačující.
Co ověřuje každý protokol
| Protokol | Co kontroluje | Proti čemu chrání | Co neřeší |
|---|---|---|---|
| SPF | Oprávněnost odesílajícího serveru (IP) | Neoprávněné servery odesílající za vaši doménu | Podvržení hlavičky From, integritu obsahu |
| DKIM | Integritu a původ zprávy (podpis) | Pozměnění zprávy při přenosu | Politiku pro selhání, neoprávněné servery |
| DMARC | Alignment + politika + reporting | Spoofing hlavičky From, absence politiky | Potřebuje SPF a/nebo DKIM jako vstup |
Podrobné srovnání protokolů
| Vlastnost | SPF | DKIM | DMARC |
|---|---|---|---|
| Co kontroluje | IP adresu odesílajícího serveru | Kryptografický podpis zprávy | Alignment domén + politika |
| Typ DNS záznamu | TXT (v=spf1 ...) |
TXT (v=DKIM1; ...) |
TXT (v=DMARC1; ...) |
| DNS umístění | domena.cz |
selektor._domainkey.domena.cz |
_dmarc.domena.cz |
| Kde je výsledek vidět | hlavička Authentication-Results |
hlavička Authentication-Results |
hlavička Authentication-Results |
| Přežije přeposílání | Ne — IP se změní | Obvykle ano — podpis zůstává | Závisí na SPF a DKIM |
| Funguje samostatně | Částečně — bez politiky | Částečně — bez politiky | Ne — potřebuje SPF a/nebo DKIM |
| RFC specifikace | RFC 7208 | RFC 6376 | RFC 7489 |
Správné pořadí nasazení
Nasazení všech tří protokolů má logické pořadí. Přeskočení kroků vede k problémům s doručitelností.
1. SPF — autorizujte odesílající servery
Začněte seznamem všech služeb, které odesílají e-maily za vaši doménu: vlastní mailserver, Google Workspace, Microsoft 365, marketingové platformy, helpdesk, fakturační systémy. Publikujte SPF záznam, který je všechny zahrnuje:
v=spf1 include:_spf.google.com include:mail.zendesk.com ip4:203.0.113.10 -all
Zkontrolujte si svůj SPF záznam analyzérem — ověří syntaxi, počet DNS lookupů (limit je 10) a platnost include mechanismů.
2. DKIM — aktivujte podepisování
Pro každou odesílací službu aktivujte DKIM podepisování vaší doménou. Služba vygeneruje pár klíčů — veřejný klíč publikujete jako CNAME nebo TXT záznam v DNS:
selector._domainkey.firma.cz CNAME selector.service.com
Ověřte DKIM záznam pro každý selektor, který používáte.
3. DMARC — přidejte politiku a reporting
Teprve když SPF a DKIM fungují, publikujte DMARC záznam. Začněte v monitorovacím režimu:
_dmarc.firma.cz TXT "v=DMARC1; p=none; rua=mailto:firma.cz@rua.spfmonitor.com"
Adresa firma.cz@rua.spfmonitor.com směřuje DMARC reporty do SPF Monitoru, který je automaticky zpracuje a vizualizuje. Několik týdnů analyzujte data — identifikujte všechny legitimní odesílatele a opravte problémy.
Poté postupně zpřísněte politiku: p=quarantine → p=reject.
Požadavky velkých poskytovatelů
Od roku 2024 vyžadují Google a Yahoo e-mailovou autentizaci od všech odesílatelů. Od května 2025 se přidal Microsoft (Outlook.com, Hotmail). Pravidla se liší podle objemu odesílání:
Všichni odesílatelé
- Platný SPF nebo DKIM záznam
- Platný forward a reverse DNS pro odesílající IP
Hromadní odesílatelé (nad 5 000 zpráv denně)
- SPF a DKIM a DMARC (minimálně
p=none) - Alignment domény v hlavičce „From" s doménou v SPF nebo DKIM
- Snadné odhlášení jedním kliknutím (one-click unsubscribe)
- Míra stížností na spam (spam complaint rate) pod 0,3 %
Nesplnění těchto požadavků znamená problémy s doručitelností — e-maily končí ve spamu nebo jsou odmítnuty.
Časté chyby při kombinaci protokolů
Chybějící služba v SPF záznamu
Když zapomenete zahrnout odesílací službu do SPF, její e-maily projdou DKIM kontrolou (pokud je služba podepisuje), ale SPF selže. Pokud služba DKIM nepodepisuje vaší doménou, DMARC selže celá a při politice quarantine nebo reject se e-maily nedoručí.
Řešení: Před zpřísněním DMARC politiky zkontrolujte DMARC reporty — odhalí všechny zdroje e-mailů, které selhávají na SPF nebo DKIM.
SPF překročení limitu 10 DNS lookupů
Každý mechanismus include, a, mx a redirect v SPF záznamu vyžaduje DNS dotaz. Limit je 10 — po překročení vrátí SPF výsledek PermError a celá kontrola selže.
Řešení: Konsolidujte include mechanismy, nahraďte a a mx přímými IP adresami tam, kde je to možné. SPF Monitor zobrazí aktuální počet lookupů.
DKIM podepisování cizí doménou
Některé služby třetích stran podepisují e-maily vlastní doménou místo vaší. DKIM kontrola projde, ale alignment s doménou v hlavičce „From" selže — a DMARC neschválí.
Řešení: V nastavení služby aktivujte DKIM podepisování vaší doménou (custom DKIM domain).
Přeposílání rozbíjí SPF
Při přeposílání (forwarding) se mění odesílající server. Nový server není v SPF záznamu původní domény, takže SPF selže. DKIM podpis obvykle přežívá přeposílání (pokud se nezmění tělo zprávy), takže DMARC může projít přes DKIM.
Proto je důležité mít funkční DKIM — slouží jako záložní mechanismus pro případy, kdy SPF selže. Protokol ARC pomáhá zachovat výsledky autentizace přes celý řetězec přeposílání.
Praktický checklist
Před zpřísněním DMARC na p=reject ověřte:
- SPF: Záznam zahrnuje všechny oprávněné odesílatele, nepřekračuje 10 DNS lookupů, končí
-all - DKIM: Každá odesílací služba podepisuje vaší doménou, veřejné klíče jsou v DNS
- DMARC reporty: Analyzujete alespoň 2–4 týdny dat z
p=none, žádný legitimní provoz neselhává - Alignment: Doména v envelope sender (SPF) a doména podpisu (DKIM) odpovídají doméně v hlavičce „From"
- Subdomény: Tag
sp=rejectv DMARC záznamu chrání i subdomény, ze kterých neodesíláte
Spusťte kompletní analýzu vaší domény — zkontroluje SPF, DKIM i DMARC najednou a ukáže, kde máte mezery.
Co se stane, když DMARC nemáte
Bez DMARC politiky může kdokoliv odeslat e-mail s vaší doménou v hlavičce „From" — a příjemce nemá jak ověřit, že zpráva není legitimní. Představte si konkrétní scénář:
- Útočník zjistí vaši doménu — stačí navštívit web vaší firmy. Doména je veřejná informace.
- Odešle phishing vašim zákazníkům — e-mail vypadá jako faktura nebo upomínka z vaší firmy. V poli „From" je vaše doména, v podpisu vaše jméno a logo.
- Bez DMARC příjemce nemá politiku — i když SPF selže (útočník odesílá z vlastního serveru), přijímající server nemá instrukci e-mail odmítnout. Zpráva skončí v doručené poště.
- Zákazníci naletí — kliknou na odkaz, zadají přihlašovací údaje nebo zaplatí na podvržený účet.
- Vaše doména trpí — příjemci začnou e-maily z vaší domény označovat jako spam. Vaše reputace odesílatele klesá, legitimní e-maily končí ve spamu. Obnovení reputace trvá měsíce.
S DMARC politikou p=reject by útočníkův e-mail přijímající server rovnou odmítl — zákazník by ho nikdy neviděl. Proto DMARC není jen technický detail, ale ochrana vaší značky a vašich zákazníků.
Časté mýty o e-mailové autentizaci
Mýtus 1: „SPF zabrání spamu"
SPF nefiltruje spam. SPF pouze ověřuje, zda odesílající server má oprávnění odesílat e-maily za danou doménu. Spammer s vlastní doménou a platným SPF záznamem projde SPF kontrolou bez problému. Ochrana proti spamu vyžaduje jiné nástroje — reputační filtry, analýzu obsahu, machine learning.
Mýtus 2: „DKIM šifruje e-maily"
DKIM neprovádí žádné šifrování. Obsah e-mailu zůstává čitelný pro kohokoliv, kdo ho zachytí. DKIM pouze podepisuje zprávu — ověřuje, že obsah nebyl pozměněn při přenosu a že podpis pochází z oprávněné domény. Pro šifrování e-mailů slouží jiné technologie, jako S/MIME nebo PGP.
Mýtus 3: „Stačí mít jen SPF"
SPF samotný nechrání hlavičku „From", kterou vidí příjemce. Útočník může odeslat e-mail s podvrženou adresou v poli „From" a SPF to nezjistí, protože SPF kontroluje envelope sender, ne hlavičku „From". Bez DKIM chybí ověření integrity a bez DMARC chybí politika — příjemce neví, co s neautentizovaným e-mailem udělat.
Mýtus 4: „DMARC p=none mě chrání"
Politika p=none pouze monitoruje — neblokuje žádné e-maily. Přijímající servery doručí i e-maily, které DMARC kontrolou neprojdou. Režim p=none je důležitý první krok, protože umožňuje sbírat DMARC reporty a identifikovat problémy. Ale skutečnou ochranu proti spoofingu poskytne až politika p=quarantine nebo p=reject.
Mýtus 5: „SPF kontroluje adresu v poli From"
SPF kontroluje doménu z envelope sender (MAIL FROM v SMTP konverzaci), ne z hlavičky „From", kterou vidí příjemce v e-mailovém klientu. To jsou dvě různé adresy a mohou se lišit. Právě proto existuje DMARC — propojuje výsledek SPF (nebo DKIM) s doménou v hlavičce „From" prostřednictvím alignmentu.
Mýtus 6: „DKIM sám zabrání spoofingu"
DKIM ověřuje podpis — pokud je přítomný a validní. Ale DKIM neříká, co se má stát, když podpis chybí. Bez DMARC může útočník odeslat e-mail zcela bez DKIM podpisu a příjemce ho přesto doručí. DMARC přidává chybějící vrstvu: politiku, která určuje, jak nakládat s e-maily bez platné autentizace.
Adopce e-mailové autentizace v praxi
Nasazení DMARC celosvětově roste, ale stále existují výrazné rozdíly. Podle dat předních poskytovatelů DMARC monitoringu:
- Většina firem z Fortune 500 již používá DMARC s politikou
p=rejectnebop=quarantine. Velké společnosti si uvědomují riziko spoofingu a aktivně brání svou doménu. - Globálně miliony domén mají publikovaný DMARC záznam, ale značná část stále zůstává na politice
p=none— tedy pouze monitoruje bez aktivní ochrany. - Od roku 2024 požadují Google a Yahoo DMARC od hromadných odesílatelů, což výrazně zrychlilo adopci. Microsoft se přidal v roce 2025 s obdobnými požadavky pro Outlook.com a Hotmail.
Domény bez DMARC jsou dnes v nevýhodě nejen z hlediska bezpečnosti, ale i doručitelnosti. Pokud DMARC ještě nemáte, začněte s p=none a sbírejte data.
Co přichází po SPF, DKIM a DMARC
SPF, DKIM a DMARC jsou základ — ale e-mailová bezpečnost se vyvíjí dál. Po nasazení všech tří protokolů zvažte další vrstvy:
BIMI (Brand Indicators for Message Identification) — umožňuje zobrazit logo vaší firmy přímo v doručené poště příjemce. Vyžaduje DMARC s politikou p=quarantine nebo p=reject. Vizuální identifikace posiluje důvěru příjemců a odlišuje vaše legitimní e-maily od podvrhů.
MTA-STS a TLS-RPT — MTA-STS (Mail Transfer Agent Strict Transport Security) vynucuje šifrované doručování e-mailů přes TLS. TLS-RPT poskytuje reporty o selhání TLS spojení. Společně brání útokům typu man-in-the-middle a downgrade útokům na SMTP.
ARC (Authenticated Received Chain) — zachovává výsledky autentizace přes řetězec přeposílání. Když prostředník (mailing list, forwarder) přepošle e-mail, ARC umožňuje příjemci ověřit původní autentizaci i přesto, že SPF selže kvůli změně odesílajícího serveru.
Kompletní nasazení všech protokolů — od SPF přes DMARC až po BIMI — vytváří vícevrstvou ochranu, která chrání vaši doménu, vaše zákazníky i vaši značku.
Shrnutí
SPF, DKIM a DMARC nejsou tři nezávislé technologie — jsou tři vrstvy jednoho systému. SPF autorizuje servery, DKIM ověřuje integritu, DMARC vynucuje politiku a poskytuje zpětnou vazbu. Nasaďte je v tomto pořadí, monitorujte reporty a postupně zpřísňujte politiku. Kompletní nasazení všech tří protokolů výrazně zlepšuje reputaci odesílatele i doručitelnost vašich e-mailů.
