Běžíme v testovacím provozu, prosíme o shovívavost a zpětnou vazbu.

DMARC Checker (kontrola)

Analyzujte a validujte DMARC záznamy pro libovolnou doménu

DMARC Generátor

Sestavte svůj DMARC záznam krok za krokem s pomocí průvodce.

Politika ochrany e-mailů

Doporučení: Začněte režimem „Monitor Only“, abyste pochopili tok e-mailů, a poté postupně přitvrzujte.

Rozsah politiky

%
Doporučené postupné nasazení:
Začněte na 10 % pro otestování nastavení, poté postupně zvýšte na 25 %, 50 % a nakonec 100 %, až budete mít jistotu.

Co to znamená?

Pokud nastavíte 25 %, jen jeden ze čtyř e-mailů podléhá vaší DMARC politice. Zbývajících 75 % se zpracuje běžně, což umožňuje bezpečné testování.

Nastavení reportování

E-mailové adresy pro denní souhrnné reporty. Jedna na řádek nebo oddělené čárkou. „mailto:“ bude doplněno automaticky.
E-mailové adresy pro detailní reporty selhání. Pozor: mohou obsahovat citlivá data!

Režim autentizace

Co je alignment?
DMARC určuje přísnost kontroly shody SPF a DKIM s vaší doménou. Režim relaxed povoluje subdomény, režim strict vyžaduje přesnou shodu.

Zóna pro experty: Tato nastavení jsou pro pokročilé uživatele, kteří rozumějí forenzním reportům DMARC. Většina domén může tuto sekci přeskočit.
sekundy
Jak často žádat o souhrnné reporty. Výchozí: 86400 s (24 hodin). Minimum: 3600 s (1 hodina).

Editor DMARC záznamu

Zadejte nebo upravte DMARC záznam a ověřte jeho syntaxi

DMARC

Stručně: DMARC říká příjemcům, jak nakládat s e‑maily, které neprojdou SPF nebo DKIM, a posílá vám přehledné reporty. Níže najdete srozumitelné vysvětlení, návod, časté chyby i tipy pro IT.

Co je DMARC a proč je důležitý

DMARC nastavuje pravidla, jak se má zacházet s emaily, které vypadají nějak podezřele. Zda je označit za spam, přesunout do karantény k další analýze, nebo je neduručovat a smazat.

Prakticky pro ne‑IT

DMARC (Domain-based Message Authentication, Reporting, and Conformance) je způsob, jak u domény nastavit pravidla zacházení s podezřelými emaily a pravidla pro monitoring.

Vaši doménu pak nelze ve spojení s DKIM a SPF zneužít k podvodům či rozesílání spamu.

Začněte s p=none (monitoring), sledujte reporty (rua) a postupně zvyšujte na quarantinereject. Nastavte přísnost zarovnání (aspf/adkim) a zvažte pct pro pozvolné nasazení.

Technické shrnutí pro IT

TXT na _dmarc.example.czv=DMARC1; p=none|quarantine|reject; rua=mailto:…; ruf=mailto:…; adkim/aspf strict/relaxed, pct, volitelně fo. Začněte p=none, stabilizujte SPF/DKIM a pak zpřísněte.

Tip: posílejte agregované reporty na samostatnou adresu a zpracovávejte je nástrojem/reportingem. Jak na to popisuje článek jak číst a interpretovat DMARC reporty.
Časté chyby a jejich důsledky
  • Více DMARC záznamů → neplatná konfigurace.
  • Trvale p=none → nízká ochrana proti zneužití. Více v článku DMARC fail — co to znamená a co dělat.
  • Chybí rua → nevidíte, co se děje; chybí data pro řízení.
  • Nesprávné umístění (není na _dmarc) → nepoužije se.
  • Chybná syntaxe/oddělovače → rekord selže u příjemce.

Jak nastavit DMARC na své doméně (jednoduše)

  1. Ověřte, že SPF a DKIM fungují. Bez nich DMARC nevyhodnotíte správně.
  2. Vytvořte TXT na _dmarc.example.czv=DMARC1; p=none; rua=mailto:…. Používáte-li WEDOS, pomůže vám návod pro WEDOS.
  3. Sledujte reporty a postupně zvyšujte na quarantinereject. Přidejte adkim=s/aspf=s pro přísné zarovnání.
  4. Volitelně nastavte pct pro postupné nasazení, a ruf/fo dle potřeby.

FAQ

Co je DMARC a k čemu slouží?
DMARC (Domain-based Message Authentication, Reporting, and Conformance) propojuje výsledky SPF a DKIM s doménou v hlavičce „From" a určuje, co má příjemce udělat s neautentizovaným e‑mailem. Navíc poskytuje reporty o doručování.
Jaký je rozdíl mezi p=none, quarantine a reject?
p=none pouze monitoruje — neblokuje žádné e‑maily. p=quarantine přesune podezřelé e‑maily do spamu. p=reject říká příjemci, aby neautentizované e‑maily odmítl. Začněte s p=none, sbírejte data a postupně zpřísňujte.
Musím mít zároveň SPF i DKIM?
DMARC vyžaduje, aby alespoň jeden protokol (SPF nebo DKIM) prošel kontrolou a byl zarovnaný (aligned) s doménou v hlavičce „From". V praxi je ale důležité mít oba — SPF pokrývá autorizaci serveru, DKIM integritu zprávy a přežívá přeposílání.
Co je alignment a proč je důležitý?
Alignment znamená, že doména z úspěšné SPF nebo DKIM kontroly odpovídá doméně v hlavičce „From". Bez alignmentu by útočník mohl projít SPF kontrolou se svou doménou, ale s podvrženou adresou „From" vaší firmy. DMARC rozlišuje relaxed (organizační doména) a strict (přesná shoda).
Chrání mě DMARC p=none?
Ne — p=none pouze monitoruje a sbírá reporty. Přijímající servery doručí i e‑maily, které DMARC kontrolou neprojdou. Je to důležitý první krok pro sběr dat, ale skutečnou ochranu proti spoofingu poskytne až p=quarantine nebo p=reject.
Co je pct= a jak ho použít?
Tag pct určuje, na kolik procent e‑mailů se DMARC politika aplikuje (výchozí je 100 %). Při přechodu z p=none na quarantine začněte např. s pct=25 — politiku dostane jen čtvrtina e‑mailů, zbytek se zpracuje běžně. Postupně zvyšujte na 100 %.
Potřebuji DMARC i pro doménu, ze které neodesílám?
Ano. Publikujte v=DMARC1; p=reject; sp=reject — tím řeknete příjemcům, aby všechny e‑maily z vaší domény odmítli. Bez tohoto záznamu může útočník vaši „mrtvou" doménu zneužít k phishingu.
Co je sp=?
sp určuje DMARC politiku pro subdomény, pokud se má lišit od hlavní politiky p. Nastavte sp=reject pro subdomény, ze kterých neodesíláte — zabrání útočníkům zneužít libovolnou subdoménu.

Související

Analýza domény SPF DKIM Slovník: DMARC a pojmy

Návody a řešení problémů

Jak číst DMARC reporty DMARC fail — co dělat DMARC nastavení ve WEDOS

Poslední aktualizace: 18. 3. 2026