Defaults.Exposed › Zprávy
6 fází zralosti DMARC
Publikováno 2026-07-03 · aktualizováno 2026-07-03
Údaje k 2026-06-29 · metodika v7. Toto je referenční model podložený opakovaným sčítáním; každé vydání znovu měří stejnou populaci, takže lze čísla sledovat v čase. Všechny údaje jsou souhrnné — hodnocení jednotlivého podniku nikdy nezveřejňujeme.
Publikovat DMARC není totéž jako být chráněn
Napříč 261 miliony změřených domén jich 24.89 % publikuje záznam DMARC — ale jen 10.59 % jej vynucuje. Řečeno jinak: z přibližně 65 milionů domén, které cestu k DMARC zahájily, se 57.5 % nikdy nedostalo k té části, která něco blokuje. Publikovaly záznam, nasměrovaly reporting kamsi a zasekly se. Menší nezávislé studie nacházejí stejný obrazec — jedna oborová zpráva z roku 2026 uvádí zhruba 9 % vynucujících mezi ~938 000 domén, které zkoumala.
Osvojení už není problém. Ochrana ano. A domény se zasekávají ze strukturálního důvodu: mapy, které všichni používají, končí příliš brzy. Skončí předčasně a žádná z nich nedává nejtěžšímu kroku vlastní jméno.
Kde stávající mapy končí příliš brzy
Modely, podle nichž se obor orientuje, byly správné pro svou dobu a zaslouží si spravedlivé přečtení:
- Pětifázový model nasazení, který zpopularizoval dmarcian (jehož zakladatel spoluautoroval samotný DMARC), vede krokem nasazení → monitorování → zpřísňování politiky — a dosažení
p=rejectpovažuje za cíl. - Postup podle RFC —
p=none → quarantine → reject— jsou tři úrovně vynucování, nikoli model zralosti. Neříká nic o předpokladech ani o tom, co přijde potom. - „Plaz se, choď, běž“ je lidový model: směrově správný, strukturálně prázdný.
Všechny tři sdílejí dvě omezení. Zaprvé končí u p=reject — jako by vynucování bylo cílovou čárou. Není: samotný standard se posunul dál (DMARCbis — RFC 9989, 9990 a 9991 — byl publikován v květnu 2026 a nahradil původní RFC 7489) a vynucování nedělá nic pro zabezpečení přenosu ani pro důvěru ve značku. Zadruhé — a právě to domény skutečně nechává na mělčině — žádný z nich nedělá z „každý odesílatel zohledněn“ pojmenovanou fázi. Abychom byli spravedliví, návody na nasazení tu práci zmiňují: model dmarcianu zahrnuje identifikaci zdrojů jako úkol uvnitř fáze monitorování. Ale úkol pohřbený uvnitř fáze se přesně tak i zachází — jako součást „monitorování“, nikoli jako samostatný úspěch, kterým je. Sledovat, jak přicházejí reporty, vypadá jako pokrok. Ještě jím ale není. Jediným největším důvodem, proč domény zůstávají léta na p=none, je, že svou poštu sice vidí, ale nemají ji zohledněnou — a proto se neodváží vynucovat ze strachu, že něco reálného rozbijí.
Užitečný model potřebuje dát tomuto kroku vlastní jméno a vlastní kritéria pro jeho ukončení. Tenhle to dělá. Nazýváme jej Model zralosti osvojení DMARC — DAMM (DMARC Adoption Maturity Model): šest fází, jeden krok každou, a jméno, které lze citovat.
Model
Fáze 1 — Nechráněno. Žádný záznam DMARC — nebo pod ním neúplné SPF a DKIM. Kdokoli může posílat e-maily jako vaše doména a nikde nic nekontroluje. Krok: nakonfigurujte SPF a DKIM pro svou primární poštu a ověřte, že autentizují a jsou zarovnané. DMARC stojí na obou; toto přízemí nelze přeskočit.
Fáze 2 — Autentizováno. SPF a DKIM jsou správné a zarovnané pro váš hlavní poštovní tok. Vaše legitimní pošta prokazuje svůj původ — ale nic neříká schránkám světa, co dělat s poštou, která to neprokazuje. Krok: publikujte záznam DMARC na p=none s reportovací adresou rua=.
Fáze 3 — Pozorování. DMARC je publikován, souhrnné reporty proudí a poprvé vidíte, kdo posílá jako vaše doména. Nic není blokováno. Většina nástrojů tuto fázi nazývá „přehled“ — my záměrně ne, protože vidět reporty a rozumět jim jsou různé úspěchy. Krok: identifikujte každý legitimní zdroj, který posílá jako vaše doména, a každý z nich zarovnejte.
Fáze 4 — Přehled. Každý legitimní odesílatel je identifikován a zarovnán — platforma pro newslettery, fakturační systém, CRM, ta věc, kterou marketing zaregistroval loni na jaře. Znáte svou poštu. Pokud začnete vynucovat, nic legitimního se nerozbije. Toto je fáze, kterou staré mapy přeskakují, a zeď, na kterou většina domén nikdy nevyleze. Krok: zvyšte politiku — p=none → p=quarantine (pomáhá zde testovací režim t=y z DMARCbis) → p=reject.
Fáze 5 — Vynuceno. p=quarantine nebo p=reject je v provozu, se subdoménami pokrytými explicitní politikou sp=. Pošta, která neprojde autentizací, je nyní u zúčastněných příjemců — což zahrnuje každého velkého poskytovatele schránek — skutečně přesouvána do karantény nebo odmítána, takže přímé podvržení vaší přesné domény přestává přistávat tam, kde se DMARC kontroluje. Krok: přidejte vrstvu zpevnění — pokrytí np= a tree-walk z DMARCbis, MTA-STS a TLS-RPT pro přenos, BIMI, pokud vám záleží na zobrazení značky.
Fáze 6 — Zpevněno a udržováno. Vynucování plus moderní sada: pokrytí neexistujících subdomén (np=) z DMARCbis, MTA-STS a TLS-RPT zabezpečující poštu při přenosu, BIMI tam, kde se vyplatí — a hlavně nepřetržité monitorování unášení a nových odesílatelů. Tohle není odznak; je to disciplína. Objevují se noví odesílatelé, poskytovatelé mění IP adresy, konfigurace hnijí. Krok: zůstaňte tady.
Pruh bez pošty. Měřeno napříč celým inventářem domén — včetně mrtvých domén — 51.5 % domén neprovozuje vůbec žádnou poštovní službu a pro ně se cesta smrskne na jediný krok. Doména, která nikdy neodesílá, by měla okamžitě publikovat SPF
-alla DMARCp=reject: neexistuje žádná legitimní pošta, kterou by bylo třeba chránit, takže není co pozorovat a žádná zeď, na kterou by se lezlo. Parkované a spící doménové značky přejdou do stavu Vynuceno jedinou změnou DNS — a tím se uzavře jeden z nejběžnějších vektorů napodobování, jaké existují.
Zeď: fáze 3 → 4
Každý jiný přechod v tomto modelu je změna v DNS. Tento je vyšetřovací práce — a právě tady umírají měsíce.
Dostat se z Pozorování do Přehledu znamená přiřadit každý odesílající zdroj ve vašich reportech reálnému systému: který ESP, které CRM, poštovní relé které regionální pobočky, který SaaS nástroj kdosi připojil v roce 2023 a zapomněl na něj. Znamená to najít odesílatele ze stínového IT, které nikdo nezdokumentoval. Znamená to opravit zarovnání ESP po ESP, protože každá platforma má svůj vlastní způsob, jak autentizovat vaším jménem — některé z nich ve výchozím stavu chybně.
Přeskočení zdi je způsob, jakým DMARC získal svou děsivou pověst. Začněte vynucovat z Pozorování — bez Přehledu — a skutečně něco reálného zablokujete: dávku faktur, tok resetů hesel, ředitelův newsletter. Pak přijde panické vrácení zpět na p=none, interní pitva a lekce, kterou se všichni naučí špatně: „zkusili jsme DMARC a rozbil nám e-mail.“ Většina hororových příběhů o DMARC je přesně tohle — vynucování zkoušené o fázi dříve. Zeď není důvod zastavit se ve fázi 3. Je to důvod, proč fáze 4 existuje.
Toto je také fáze, kde majitelé nejčastěji přizvou pomoc — IT poskytovatel nebo služba monitorování DMARC může udělat práci s identifikací odesílatelů; fáze zůstávají tak jako tak stejné.
Část, na kterou všichni zapomínají: fáze 5 → 6
Dosažení p=reject zastaví přímé podvržení vaší domény v poli From:, u příjemců, kteří jej kontrolují. To je nutné — a nestačí to. Stojí za to také pojmenovat, co vynucování nikdy nepokrylo: podobně vypadající domény (yourc0mpany.com) a napodobování zobrazovaného jména leží zcela mimo dosah DMARC, takže vynucování zavře dveře přesné domény a ty sousední ponechá ostražitosti a jiným kontrolám.
Vynucování nedělá nic pro přenos: bez MTA-STS a TLS-RPT může být pošta do vaší domény při přenosu stále degradována nebo zachycena. Nedělá nic pro rozpoznání značky: BIMI — vaše logo zobrazené ve schránce — je signál důvěry, nikoli bezpečnostní kontrola, a je poctivé tak s ním zacházet (také vyžaduje placený certifikát, což je důvod, proč je poslední, nikoli první). A prosté p=reject předchází DMARCbis: značka np= a tree-walk z nových RFC uzavírají mezeru neexistujících subdomén, kterou starší nasazení ponechávají otevřenou.
Doména na p=reject bez čehokoli výše uvedeného je chráněna proti nejběžnějšímu útoku a nepřipravena na zbytek. To je reálný rozdíl a zaslouží si vlastní fázi.
Vaše fáze je měřitelná
Tento model není jen diagram — fáze domény je vypočitatelná, což je to, co jej odlišuje od plakátu na zdi.
Fáze 3 až 6 lze odvodit z vlastních reportovacích dat DMARC domény plus z jejích publikovaných záznamů: jaká politika je v provozu, zda proudí reporty a zda je každý pozorovaný odesílatel zarovnán. Fáze 1 a 2 se posuzují živou kontrolou DNS, protože žádné reporty ještě neexistují. Jedno poctivé omezení v každém směru: fáze 4 se potvrzuje důkazy v čase — „každý pozorovaný odesílatel je zarovnán napříč dostatečným počtem reportovacích dnů“ je silný ukazatel, ale žádný report neodhalí odesílatele, kterého jste ještě nepřipojili. A vrstva zpevnění fáze 6 — MTA-STS, TLS-RPT, BIMI — je v reportech DMARC neviditelná; k jejímu spatření je třeba kontrola DNS. Doména může ze svých reportů vypadat „hotová“ a přesto nést skrytou mezeru mezi fází 5 → 6. Toto je model, vůči kterému měří naše vlastní analýza reportingu, se všemi překážkami.
Praktický příklad
Středně velká firma provozuje Microsoft 365 za poštovní filtrovací bránou. SPF končí na -all, DKIM je nakonfigurován, DMARC je publikován na p=none a reporty proudí do monitorovacího nástroje. Na starých mapách to vypadá téměř hotově. Na téhle je to fáze 3 — Pozorování: tvrdé nastavení je hotové a doména se zasekla přesně u zdi — viditelná, nikoli chráněná. Krokem s nejvyšší hodnotou je 3 → 4 → 5: potvrdit, že (pravděpodobně nemnoho) legitimních odesílatelů je zarovnáno, a pak politiku zvyšovat po fázích. Pro doménu v tomto stavu to obvykle znamená týdny pozornosti, nikoli měsíce — zeď je nejvyšší pro ty, kdo si ji nikdy nezmapují.
Najděte svou fázi
Otázka, kterou je třeba vyřadit, zní „máme DMARC?“ — 24.89 % domén může říci ano, zatímco 57.5 % z nich zůstává podvržitelných. Lepší otázka je „v jaké fázi jsme a jaký je jediný krok do té další?“ Každá doména na internetu je dnes přesně v jedné z těchto šesti fází. Vědět, ve které, promění úzkost v seznam úkolů.
Často kladené otázky
Co je DAMM? Model zralosti osvojení DMARC (DMARC Adoption Maturity Model) — šestifázový model na této stránce: Nechráněno, Autentizováno, Pozorování, Přehled, Vynuceno, Zpevněno. Fáze domény je měřitelná z jejího DNS a jejích reportovacích dat DMARC, což je to, co jej odlišuje od plakátu na zdi.
Je tedy publikování p=none bezcenné? Ne — je to fáze 3 a fáze 3 je nosná: reporting je způsob, jak najdete každého odesílatele, než začnete vynucovat. Problémem se stává jen tehdy, když se s ním zachází jako s cílem. Viz proč p=none není ochrana.
Můžu přeskočit rovnou na p=reject? Pokud vaše doména neposílá žádnou poštu — ano, ještě dnes, a měli byste. Pokud poštu posílá — ne: vynucování bez Přehledu (fáze 4) je způsob, jak se rozbije legitimní pošta a dojde k vracení zpět. Fáze jsou bezpečná cesta, nikoli obřad.
Potřebuji BIMI, abych byl „hotový“? Ne. BIMI je vrstva zobrazení značky ve fázi 6 a nejvolitelnější prvek v modelu — MTA-STS, TLS-RPT a pokrytí np= z DMARCbis jsou části, které doménu materiálně zpevňují. Pokud pro vás náklady na certifikát nejsou opodstatněné, přeskočte jej a držte zbytek fáze 6.
Kam zapadají SPF a DKIM? Pod vše — jsou to fáze 1 → 2 a SPF bez DMARC chrání méně, než většina majitelů předpokládá. Od roku 2024 navíc velcí příjemci rovnou vyžadují autentizaci od hromadných odesílatelů.
Zkontrolujte, kde stojí vaše vlastní doména
Tyto fáze jsou vzorce populace — vaše doména je přesně v jedné z nich a další krok je poznatelný. Můžete se zkontrolovat soukromě a zdarma a zjistit, kterou z 34 kontrol projdete a jak opravit ty, které neprojdete.
Zkontrolujte svou doménu → · Jak jsme oznámkovali internet → · Pilíř DMARC → · Pouze souhrnná data. Data ukládána a zpracovávána v EU.