Běžíme v testovacím provozu, prosíme o shovívavost a zpětnou vazbu.

Doména bez e‑mailů

Pro domény, které e‑maily neposílají, publikujte tři DNS záznamy, které zabrání zneužití: SPF s „-all", DKIM pro *._domainkey s prázdným klíčem a DMARC s vynuceným odmítnutím.

Proč chránit doménu, která neposílá e‑maily

Doména bez e‑mailové komunikace není bezpečná „sama o sobě". Pokud nemá nastavené autentizační záznamy, může ji kdokoli zneužít k rozesílání podvodných zpráv vaším jménem.

Nechráněná doména = zbraň pro útočníky

Doména bez SPF, DKIMDMARC nemá žádnou ochranu proti spoofingu. Útočník může poslat e‑mail „z vaší domény" a příjemce nemá jak poznat, že jde o podvrh. Přitom stačí publikovat tři DNS záznamy — a doména je chráněná.

Poškozená reputace ovlivní celý projekt

Když někdo vaši doménu zneužije, poškodí její reputaci odesílatele. Doména se může dostat na blacklisty — a to ovlivní nejen e‑maily, ale potenciálně i důvěryhodnost webu, SEO pozice a vnímání vaší značky.

Tři záznamy za 5 minut

Řešení je jednoduché: publikujte v=spf1 -all, DKIM wildcard s prázdným klíčem a DMARC p=reject. Žádná složitá konfigurace, žádné průběžné úpravy. Zadejte doménu do generátoru výše a záznamy dostanete na míru.

Které domény to potřebují

Následující typy domén jsou nejčastěji přehlížené — a právě proto nejčastěji zneužívané.

Zaparkované domény

Domény registrované pro budoucí použití, ochranné registrace nebo ty, jejichž projekt skončil. Bez DNS záznamů jsou zcela nechráněné.

Přesměrované domény

Domény s HTTP přesměrováním na hlavní web. Přesměrování řeší jen webový provoz — e‑mailovou autentizaci je třeba nastavit zvlášť.

Microsites a marketingové domény

Domény pro kampaně, landing pages nebo produktové weby, kde běží web, ale e‑maily se neodesílají. Útočník může zneužít důvěryhodnost značky.

Subdomény bez e‑mailů

Subdomény jako cdn.firma.cz nebo static.firma.cz. Pokud nemají vlastní DMARC, dědí politiku z nadřazené domény — ale jen pokud ta má nastavený tag sp=.

Jak může být nechráněná doména zneužita

Útok na nechráněnou doménu je překvapivě jednoduchý. Útočník nepotřebuje přístup k vašemu serveru ani DNS — stačí, že vaše doména nemá autentizační záznamy.

  1. Útočník najde doménu bez ochrany. Stačí zkontrolovat DNS — chybějící SPFDMARC záznamy jsou viditelné pro každého.
  2. Podvrhne e‑mail z vaší domény. Nastaví hlavičku „From" na faktura@vase-domena.cz a odešle phishing vašim zákazníkům, partnerům nebo zaměstnancům.
  3. Příjemce nevidí varování. Bez DMARC politiky přijímající server nemá instrukci e‑mail odmítnout. Zpráva dorazí do schránky a vypadá důvěryhodně.
  4. Škoda je hotová. Oběť klikne na odkaz, zadá přihlašovací údaje nebo zaplatí falešnou fakturu. Vaše doména se dostane na blacklisty a vy řešíte následky.
Tip: Ověřte si aktuální stav své domény kompletní analýzou — zkontroluje SPF, DKIM i DMARC najednou. Více o tomto typu útoků najdete v článku Spoofing a phishing.

Dopad na reputaci domény a projektu

Zneužití domény pro spam nebo phishing má dalekosáhlé důsledky, které překračují rámec e‑mailové komunikace.

Doručitelnost e‑mailů

Pokud se doména ocitne na blacklistech (Spamhaus, SURBL, DNSBL), budou mít problémy s doručováním i legitimní e‑maily — včetně případu, kdy doménu v budoucnu začnete používat. Vyčištění reputace trvá týdny až měsíce.

SEO a viditelnost webu

Google Safe Browsing může doménu zneužívanou pro phishing označit jako nebezpečnou. Prohlížeč pak zobrazí varování místo vašeho webu — a vyhledávače sníží pozice ve výsledcích.

Důvěra zákazníků a partnerů

Pokud vaši zákazníci dostanou podvodný e‑mail z vaší domény, ztratí důvěru ve vaši značku. Obnovit ji je výrazně těžší než preventivně nastavit tři DNS záznamy.

Právní a regulatorní rizika

Směrnice NIS2 a další regulace vyžadují zabezpečení e‑mailové komunikace. Nezabezpečená doména může být považována za nedodržení bezpečnostních opatření. Více v článku NIS2 a e‑mailová bezpečnost.

Co znamenají jednotlivé záznamy

SPF: v=spf1 -all

Záznam říká: „z této domény se žádné e‑maily neodesílají". Mechanismus -all (hard fail) instruuje přijímající servery, aby všechny e‑maily odmítly. Podrobněji v článku Co je SPF.

DKIM: *._domainkey s prázdným klíčem

Wildcard záznam *._domainkey s hodnotou v=DKIM1; p= účinně revokuje všechny selektory. Žádný DKIM podpis nebude považován za autorizovaný, bez ohledu na použitý selektor.

DMARC: p=reject; sp=reject

Politika p=rejectsp=reject přikazuje příjemcům odmítnout veškeré e‑maily z domény i všech jejích subdomén. Striktní alignment (adkim=s; aspf=s) a pct=100 zajistí plné pokrytí. fo=1 vyžaduje detailní reporty o každém selhání. Více v článku Jak nastavit DMARC.

Null MX (volitelné)

MX záznam s hodnotou . (tečka) podle RFC 7505 explicitně říká, že doména nepřijímá e‑maily. Není povinný, ale doporučený — servery, které RFC 7505 podporují, nebudou zkoušet doručovat.

Často kladené otázky

Potřebuji zabezpečit i zaparkovanou doménu?
Ano, rozhodně. Zaparkované domény jsou oblíbeným cílem útočníků právě proto, že na ně nikdo nedohlíží. Publikujte v=spf1 -all, DKIM wildcard a DMARC p=reject — zabere to pár minut a doménu ochrání.
Co se stane, když doménu nezabezpečím?
Kdokoli může podvrhnout e‑mail z vaší domény (spoofing). Příjemce nemá jak rozlišit podvrh od legitimní zprávy. Důsledkem může být finanční škoda, ztráta dat, poškození reputace domény i značky.
Jak rychle se DNS záznamy projeví?
Závisí na TTL (Time to Live) u vašeho DNS poskytovatele. Obvykle se změny projeví do 1–4 hodin, u některých poskytovatelů do 24 hodin. Ověřte správnost záznamů pomocí analýzy domény.
Má poškozená mailová reputace vliv na SEO?
Nepřímo ano. Pokud je doména zneužita pro phishing, může ji Google Safe Browsing označit jako nebezpečnou. Prohlížeč pak zobrazí varování a vyhledávače mohou snížit pozice webu ve výsledcích. Navíc ztráta důvěryhodnosti značky ovlivní i míru prokliku v organickém vyhledávání.
Co když doména jen přesměrovává na jinou?
HTTP přesměrování řeší pouze webový provoz — nemá žádný vliv na e‑maily. Přesměrovaná doména potřebuje vlastní SPF, DKIM a DMARC záznamy stejně jako jakákoli jiná doména. Bez nich je zneužitelná pro spoofing.
Potřebuji i Null MX záznam?
Null MX (RFC 7505) není povinný, ale je doporučený. Říká odesílajícím serverům, že doména nepřijímá e‑maily — ty, které RFC 7505 podporují, nebudou zkoušet doručovat. Přidejte MX záznam s prioritou 0 a hodnotou . (tečka).
Jak poznám, že někdo mou doménu zneužívá?
Nastavte DMARC s reportováním (rua=) — budete dostávat denní agregované reporty od přijímajících serverů. V nich uvidíte, kdo z vaší domény odesílá a zda prochází autentizací. Zaškrtněte „Aktivovat monitoring" v generátoru výše a reporty zpracuje SPFmonitor. Více o reportech v článku Jak číst DMARC reporty.
Mohu použít tyto záznamy i pro subdomény?
Ano, ale každá subdoména potřebuje vlastní SPF a DKIM záznamy. DMARC se může dědit z nadřazené domény díky tagu sp=reject, ale explicitní záznam na subdoméně je spolehlivější. Vygenerujte záznamy pro každou subdoménu zvlášť.

Související

Analýza domény SPF Checker DKIM Checker DMARC Checker SPF + DKIM + DMARC průvodce Spoofing a phishing Slovník pojmů Cloudflare: Protect domains without email

Poslední aktualizace: 16. 4. 2026