Běžíme v testovacím provozu, prosíme o shovívavost a zpětnou vazbu.
SPF, DKIM a DMARC — kompletní průvodce zabezpečením e-mailu

SPF, DKIM a DMARC — kompletní průvodce zabezpečením e-mailu

· 7 min čtení · Tomas Hojgr · email-security
spf dkim dmarc email-authentication

Proč nestačí jen jeden protokol

SPF, DKIM a DMARC tvoří tři vrstvy e-mailové autentizace. Každý řeší jiný problém — a žádný sám o sobě neposkytuje kompletní ochranu.

  • SPF ověřuje, zda e-mail odeslal server oprávněný pro danou doménu. Neřeší ale obsah zprávy ani adresu v hlavičce „From", kterou vidí příjemce.
  • DKIM kryptograficky podepisuje zprávu a ověřuje, že nebyla pozměněna. Neříká ale, co dělat, když podpis chybí nebo selže.
  • DMARC propojuje výsledky SPF a DKIM s doménou v hlavičce „From" (alignment) a určuje politiku — co má příjemce udělat s neautentizovaným e-mailem.

Bez DMARC mohou SPF a DKIM selhat, a příjemce přesto e-mail doručí. Bez SPF a DKIM nemá DMARC co vyhodnocovat. Teprve společně tvoří kompletní řetězec: autorizace serveru → integrita zprávy → politika a reporting.

Jak spolu tři protokoly fungují

Celý proces autentizace probíhá v okamžiku, kdy přijímající server zpracovává příchozí e-mail:

  1. SPF kontrola — server ověří, zda IP adresa odesílatele odpovídá SPF záznamu domény z obálky (envelope sender).
  2. DKIM kontrola — server ověří kryptografický podpis v hlavičce zprávy proti veřejnému klíči v DNS domény, která zprávu podepsala.
  3. DMARC vyhodnocení — server zkontroluje, zda doména z úspěšné SPF nebo DKIM kontroly odpovídá doméně v hlavičce „From" (alignment). Pokud ano, DMARC projde. Pokud ne, aplikuje se DMARC politikanone, quarantine, nebo reject.

Klíčový koncept: alignment

SPF kontroluje doménu z obálky e-mailu (envelope sender), DKIM kontroluje doménu, která zprávu podepsala. Ani jedna nemusí odpovídat doméně v hlavičce „From" — tedy adrese, kterou vidí příjemce.

DMARC tento problém řeší. Vyžaduje, aby alespoň jeden protokol (SPF nebo DKIM) prošel kontrolou a zároveň aby doména z úspěšné kontroly odpovídala doméně v hlavičce „From". Bez alignmentu by útočník mohl odeslat e-mail z vlastního serveru (s platným SPF pro svou doménu), ale s podvrženou adresou „From" vaší firmy.

DMARC rozlišuje dva režimy alignmentu: relaxed (výchozí) vyžaduje shodu organizační domény — news.firma.cz vyhovuje pro firma.cz. Strict vyžaduje přesnou shodu domén. Pro většinu organizací je relaxed alignment dostačující.

Co ověřuje každý protokol

Protokol Co kontroluje Proti čemu chrání Co neřeší
SPF Oprávněnost odesílajícího serveru (IP) Neoprávněné servery odesílající za vaši doménu Podvržení hlavičky From, integritu obsahu
DKIM Integritu a původ zprávy (podpis) Pozměnění zprávy při přenosu Politiku pro selhání, neoprávněné servery
DMARC Alignment + politika + reporting Spoofing hlavičky From, absence politiky Potřebuje SPF a/nebo DKIM jako vstup

Správné pořadí nasazení

Nasazení všech tří protokolů má logické pořadí. Přeskočení kroků vede k problémům s doručitelností.

1. SPF — autorizujte odesílající servery

Začněte seznamem všech služeb, které odesílají e-maily za vaši doménu: vlastní mailserver, Google Workspace, Microsoft 365, marketingové platformy, helpdesk, fakturační systémy. Publikujte SPF záznam, který je všechny zahrnuje:

v=spf1 include:_spf.google.com include:mail.zendesk.com ip4:203.0.113.10 -all

Zkontrolujte si svůj SPF záznam analyzérem — ověří syntaxi, počet DNS lookupů (limit je 10) a platnost include mechanismů.

2. DKIM — aktivujte podepisování

Pro každou odesílací službu aktivujte DKIM podepisování vaší doménou. Služba vygeneruje pár klíčů — veřejný klíč publikujete jako CNAME nebo TXT záznam v DNS:

selector._domainkey.firma.cz CNAME selector.service.com

Ověřte DKIM záznam pro každý selektor, který používáte.

3. DMARC — přidejte politiku a reporting

Teprve když SPF a DKIM fungují, publikujte DMARC záznam. Začněte v monitorovacím režimu:

_dmarc.firma.cz TXT "v=DMARC1; p=none; rua=mailto:firma.cz@rua.spfmonitor.com"

Adresa firma.cz@rua.spfmonitor.com směřuje DMARC reporty do SPF Monitoru, který je automaticky zpracuje a vizualizuje. Několik týdnů analyzujte data — identifikujte všechny legitimní odesílatele a opravte problémy.

Poté postupně zpřísněte politiku: p=quarantinep=reject.

Požadavky velkých poskytovatelů

Od roku 2024 vyžadují Google a Yahoo e-mailovou autentizaci od všech odesílatelů. Od května 2025 se přidal Microsoft (Outlook.com, Hotmail). Pravidla se liší podle objemu odesílání:

Všichni odesílatelé

Hromadní odesílatelé (nad 5 000 zpráv denně)

  • SPF a DKIM a DMARC (minimálně p=none)
  • Alignment domény v hlavičce „From" s doménou v SPF nebo DKIM
  • Snadné odhlášení jedním kliknutím (one-click unsubscribe)
  • Míra stížností na spam (spam complaint rate) pod 0,3 %

Nesplnění těchto požadavků znamená problémy s doručitelností — e-maily končí ve spamu nebo jsou odmítnuty.

Časté chyby při kombinaci protokolů

Chybějící služba v SPF záznamu

Když zapomenete zahrnout odesílací službu do SPF, její e-maily projdou DKIM kontrolou (pokud je služba podepisuje), ale SPF selže. Pokud služba DKIM nepodepisuje vaší doménou, DMARC selže celá a při politice quarantine nebo reject se e-maily nedoručí.

Řešení: Před zpřísněním DMARC politiky zkontrolujte DMARC reporty — odhalí všechny zdroje e-mailů, které selhávají na SPF nebo DKIM.

SPF překročení limitu 10 DNS lookupů

Každý mechanismus include, a, mx a redirect v SPF záznamu vyžaduje DNS dotaz. Limit je 10 — po překročení vrátí SPF výsledek PermError a celá kontrola selže.

Řešení: Konsolidujte include mechanismy, nahraďte a a mx přímými IP adresami tam, kde je to možné. SPF Monitor zobrazí aktuální počet lookupů.

DKIM podepisování cizí doménou

Některé služby třetích stran podepisují e-maily vlastní doménou místo vaší. DKIM kontrola projde, ale alignment s doménou v hlavičce „From" selže — a DMARC neschválí.

Řešení: V nastavení služby aktivujte DKIM podepisování vaší doménou (custom DKIM domain).

Přeposílání rozbíjí SPF

Při přeposílání (forwarding) se mění odesílající server. Nový server není v SPF záznamu původní domény, takže SPF selže. DKIM podpis obvykle přežívá přeposílání (pokud se nezmění tělo zprávy), takže DMARC může projít přes DKIM.

Proto je důležité mít funkční DKIM — slouží jako záložní mechanismus pro případy, kdy SPF selže. Protokol ARC pomáhá zachovat výsledky autentizace přes celý řetězec přeposílání.

Praktický checklist

Před zpřísněním DMARC na p=reject ověřte:

  1. SPF: Záznam zahrnuje všechny oprávněné odesílatele, nepřekračuje 10 DNS lookupů, končí -all
  2. DKIM: Každá odesílací služba podepisuje vaší doménou, veřejné klíče jsou v DNS
  3. DMARC reporty: Analyzujete alespoň 2–4 týdny dat z p=none, žádný legitimní provoz neselhává
  4. Alignment: Doména v envelope sender (SPF) a doména podpisu (DKIM) odpovídají doméně v hlavičce „From"
  5. Subdomény: Tag sp=reject v DMARC záznamu chrání i subdomény, ze kterých neodesíláte

Spusťte kompletní analýzu vaší domény — zkontroluje SPF, DKIM i DMARC najednou a ukáže, kde máte mezery.

Shrnutí

SPF, DKIM a DMARC nejsou tři nezávislé technologie — jsou tři vrstvy jednoho systému. SPF autorizuje servery, DKIM ověřuje integritu, DMARC vynucuje politiku a poskytuje zpětnou vazbu. Nasaďte je v tomto pořadí, monitorujte reporty a postupně zpřísňujte politiku. Kompletní nasazení všech tří protokolů výrazně zlepšuje reputaci odesílatele i doručitelnost vašich e-mailů.

Číst v jiném jazyce: English

Související články

Co je SPF záznam a proč ho potřebujete
spf

Co je SPF záznam a proč ho potřebujete

SPF záznam chrání vaši doménu před zneužitím k rozesílání podvodných e-mailů. Zjistěte, jak funguje, jak ho nastavit a proč je nezbytný pro…

· 6 min čtení
Co je DKIM a jak funguje
dkim

Co je DKIM a jak funguje

DKIM ověřuje integritu a původ e-mailů digitálním podpisem. Zjistěte, jak funguje, jak ho nastavit a proč je nezbytný pro DMARC a doručitelnost.

· 8 min čtení
Co je DMARC a jak funguje
dmarc

Co je DMARC a jak funguje

DMARC propojuje SPF a DKIM a přidává politiku pro neautentizované e-maily. Zjistěte, jak funguje, jak ho nasadit a proč ho vyžadují Google i Yahoo.

· 8 min čtení