Defaults.Exposed › Opravy › Guides
DKIM prochází, ale DMARC selhává: Past výchozího podpisu gappssmtp.com / onmicrosoft.com (2026)
Publikováno 2026-07-08
Údaje k 2026-06-29 · metodologie v7. Souhrnná data ze sčítání napříč 261 miliony ohodnocených domén. Viz jak hodnotíme.
Vaše pošta prochází DKIM s výchozím podpisem poskytovatele — d= končící na gappssmtp.com (Google Workspace) nebo onmicrosoft.com (Microsoft 365) — ale tato doména neodpovídá vaší doméně From, takže DMARC nedostane zarovnaný průchod. Povolte podepisování vlastní domény, abyste to opravili. Z 12,145,313 domén autorizujících poštovní servery Google, pouze 18.5% vymáhá DMARC, podle sčítání Defaults.Exposed zahrnujícího 261,086,232 hodnocených domén.
Oprava je jednou z nejčistších v ověřování e-mailů: zapněte DKIM podepisování vlastní domény. Na Google Workspace je to obrazovka „Authenticate email” v administrační konzoli — vygenerujte klíč, publikujte jeden TXT záznam, zapněte. Na Microsoft 365 je to stránka DKIM na portálu Defender — publikujte dva CNAME selektory, povolte. Dvacet minut práce a DMARC konečně dostane zarovnaný průchod, na který čekalo.
Proč DKIM prochází, ale DMARC stále selhává?
Protože DMARC neptá „existuje platný DKIM podpis?” — ptá se „existuje platný DKIM podpis pro doménu v záhlaví From?” Tato druhá podmínka se nazývá zarovnání a je celým smyslem DMARC: prokázat, že doména, kterou váš příjemce vidí, je doménou, která podepsala.
Ve výchozím nastavení Google Workspace podepisuje vaší poštu doménou jako vasadomena-cz.20230601.gappssmtp.com (časové razítko se liší per doménu) a Microsoft 365 podepisuje vasnajanem.onmicrosoft.com. Oba podpisy jsou kryptograficky platné — DKIM kontrolory říkají pass — ale doména d= patří Google nebo Microsoftu, nikoli vám. Dokonce i pod uvolněným zarovnáním DMARC, které vyžaduje pouze shodu organizačních domén, gappssmtp.com není vasadomena.cz. Žádná shoda, žádný zarovnaný průchod a pokud se ani SPF nezarovná (často nemůže — příjemci vyhodnocují SPF vůči doméně Return-Path, nikoli záhlaví From, a přesměrování ho zcela rozbíjí), DMARC selže.
To je definující past výchozích nastavení poskytovatele: výchozí vám dává doručitelnost, nikoli ochranu — zarovnání je chybějící otočení klíče. Sčítání ukazuje, kolik odesílatelů se zastaví na výchozím nastavení: z 12,145,313 domén, které autorizují poštovní servery Google přes _spf.google.com (z 138,927,207 vydavatelů SPF po celém světě), pouze 18.5% vymáhá DMARC. Obraz Microsoftu má stejný tvar: 10,205,070 domén autorizuje spf.protection.outlook.com, 85.0% nese přísný SPF záznam, který nastavení M365 předává — a pouze 21.7% vymáhá DMARC. Úplné porovnání v naší tabulce SPF liga poskytovatelů e-mailu.
Past je v každodenním použití neviditelná: pošta se doručuje, testování schránek vypadá dobře, nic chybuje — dokud nepublikujete politiku DMARC a vaše vlastní pošta ji nezačne selhávat. Naše bezplatná kontrola odhalí přesně tuto mezeru.
Jak odhalit past výchozího podpisu v Authentication-Results?
Otevřete zprávu, kterou jste odeslali (do poštovní schránky Gmail nebo Outlook), prohlédněte si originální/raw zdrojový kód a najděte záhlaví Authentication-Results. Znakem je DKIM pass s nesprávným d= — příklad přijatý Gmailem vypadá takto:
Authentication-Results: mx.google.com;
dkim=pass [email protected];
spf=pass smtp.mailfrom=vasadomena.cz;
dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=vasadomena.cz
Čtěte jako tři otázky:
| Fragment záhlaví | Co znamená | Verdikt |
|---|---|---|
dkim=pass header.d=vasadomena.cz | Podpis platný A odpovídá vaší doméně From | Zarovnaný — to je cíl |
dkim=pass header.d=…gappssmtp.com nebo …onmicrosoft.com | Podpis platný, ale je to výchozí doména poskytovatele — DMARC ji ignoruje pro zarovnání | Past: průchod bez ochrany |
dkim=fail (jakékoliv d=) | Podpis neplatný — jiný problém | Viz jak opravit DKIM |
Na poště přijaté Microsoftem se stejný příběh zobrazuje jako dkim=pass (signature was verified) header.d=vasnajanem.onmicrosoft.com vedle compauth=fail — vzorec pokrytý v průvodci odmítáním pošty od Outlooku.
Pokud vaše záhlaví místo toho zobrazuje obě dkim=pass a spf=pass se selháním DMARC, jste v širším případě zarovnání — průvodce DMARC selhává, ale SPF a DKIM procházejí prochází uvolněné vs. přísné zarovnání v plném rozsahu.
Jak povolím DKIM podepisování vlastní domény?
- Spusťte bezplatnou kontrolu na defaults.exposed před dotykem čehokoliv. Ukáže, zda má vaše doména zarovnaný DKIM, jaká je vaše politika DMARC a zda vás cokoliv jiného (SPF, syntaxe záznamu DMARC) stále zablokuje po této opravě — takže uděláte celou práci najednou.
- Identifikujte, kterým výchozím podepisujete. Zkontrolujte
header.d=v Authentication-Results jak výše:gappssmtp.comznamená výchozí Google Workspace,onmicrosoft.comznamená výchozí Microsoft 365. - Google Workspace: vygenerujte a publikujte vlastní klíč. V administrační konzoli jděte do Apps → Google Workspace → Gmail → Authenticate email, vyberte svou doménu a klikněte Generate New Record (2048-bit, pokud to váš DNS hostitel může uložit). Publikujte TXT záznam, který vám dá, na
google._domainkey.vasadomena.cz, počkejte na DNS (až 48 hodin), poté — krok, který lidé přeskočí — klikněte Start authentication. Vygenerování záznamu nic nedělá, dokud podepisování nezapnete. Úplný průvodce: nastavit DKIM na Google Workspace. - Microsoft 365: publikujte dva CNAME selektory a povolte. Na portálu Defender jděte na Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM, vyberte svou vlastní doménu a vytvořte klíče. Publikujte oba CNAME záznamy —
selector1._domainkeyaselector2._domainkey, ukazující na cíle, které vám Microsoft zobrazí (zkopírujte přesné cíle z portálu — domény povolené před květnem 2025 končí na.onmicrosoft.comvašeho tenanta; novější končí na.dkim.mail.microsoft) — poté přepněte podepisování on. Dva selektory nejsou volitelné: Microsoft mezi nimi rotuje klíče. Úplný průvodce: nastavit DKIM na Microsoft 365. - Ověřte nový podpis. Odešlete čerstvou zprávu na externí poštovní schránku a znovu zkontrolujte Authentication-Results:
dkim=passby nyní mělo zobrazovatheader.d=vasadomena.cz. Pokud váš DNS panel automaticky připojil vaši zónu k cíli CNAME nebo poškodil dlouhou hodnotu TXT, podpis se nepřepne — zvláštnosti panelu, nikoli poskytovatele, způsobují většinu selhání zde. - Znovu naskenujte a vezměte zarovnaný průchod někam. Potvrďte, že skenování zobrazuje zarovnaný DKIM, poté ho využijte: politika DMARC na
p=nonenic nechrání. Napříč všemi 261,086,232 hodnocenými doménami pouze 10.59% vymáhá DMARC (data k 2026-06-29) — zarovnaný DKIM je to, co dělá vymáhání bezpečným pro navyšování. Začněte na jak opravit DMARC.
Povolení vlastního DKIM něco rozbije?
Ne — toto je vzácná oprava ověřování e-mailů se v podstatě žádným vedlejším dopadem: pošta, která odcházela s výchozím podpisem, jednoduše odchází s lepším a poskytovatel nadále spravuje klíče (Microsoft rotuje mezi dvěma selektory automaticky). Skutečný způsob selhání je napůl to udělat — publikovat TXT Googlu, ale nikdy nekliknout Start authentication, nebo publikovat jeden selektor M365 namísto obou. A nesmažte DNS záznamy später „pro pořádek”; podepisování se zastaví ve chvíli, kdy klíč zmizí.
Jedna poznámka o rozsahu: toto opravuje poštu odeslanou přes Google nebo Microsoft. Newsletterové nástroje a CRM také podepisují vlastními výchozími nastaveními a každý potřebuje zapnout podepisování vlastní domény — tento vzorec a pravidla Gmail pro hromadné odesílatele, která to nyní vyžadují, jsou pokryty v průvodci 550-5.7.26.
Nejčastější dotazy
DKIM zobrazuje „pass” v každém testovacím nástroji — proč je potřeba cokoliv opravovat?
Protože nástroje odpovídají na užší otázku, než DMARC. Podpis je platný — ale je to gappssmtp.com’s nebo onmicrosoft.com’s, nikoli váš, takže se pro zarovnání DMARC nepočítá nic. Proto se tolik odesílatelů zastaví na výchozím nastavení: z 12,145,313 domén autorizujících Google, pouze 18.5% vymáhá DMARC (data k 2026-06-29).
Dovoluje uvolněné zarovnání DMARC průchod výchozímu podpisu?
Ne. Uvolněné zarovnání pouze uvolňuje shodu na organizační domény — mail.vasadomena.cz se zarovná s vasadomena.cz. Organizační doménou výchozího podpisu je gappssmtp.com nebo onmicrosoft.com, která sdílí nic s vaší. Žádný režim zarovnání nezachrání d= třetí strany.
Je podpis gappssmtp.com / onmicrosoft.com špatný? Mám ho odstranit? Není špatný — zajišťuje, že vaše pošta nese nějaký platný podpis, který pomáhá spamovému filtrování. Prostě není váš. Neodstraňujete ho; nahrazujete ho povolením podepisování vlastní domény.
Moje doména je na Microsoft 365 s přísným SPF — jsem již kryt?
Pravděpodobně ne: ten přísný záznam je výchozí M365, dělající svou jedinou práci. Z 10,205,070 domén autorizujících spf.protection.outlook.com, 85.0% má přísný SPF, ale pouze 21.7% vymáhá DMARC (data k 2026-06-29). SPF se také rozbíjí při přesměrování, protože je vyhodnocováno vůči Return-Path spíše než záhlaví From — zarovnaný DKIM je noha, která přežije, což je přesně důvod, proč tato oprava záleží.
Jak dlouho oprava trvá? Práce v konzoli je minutová per poskytovatele. DNS je čekání: Google říká povolte až 48 hodin před zahájením ověřování; CNAME záznamy Microsoftu jsou obvykle živé během hodin. Počítejte s jedním pracovním dnem od začátku do konce, z toho většinu čekáním.
Pošlete vlastníkovi zprávu
Pokud toto opravujete pro klienta nebo svého zaměstnavatele, uzavřete smyčku s důkazem. Znovu spusťte bezplatnou kontrolu jakmile je nový podpis živý a přepošlete ohodnocenou zprávu obchodnímu vlastníkovi: s datem, v přímé řeči, ukazující DKIM zarovnaný s jejich doménou. To je artefakt pro obnovení kybernetického pojištění a příští dotazník bezpečnosti dodavatele — důkaz, že doména se ověřuje jako ona sama, nikoli jako podnájemce gappssmtp.com.
Zkontrolujte zarovnání svého DKIM zdarma
Zjistěte, zda vaše pošta podepisuje jako vaše vlastní doména — a přesně co opravit — soukromě a pouze pro vlastníky.
Zkontrolujte svou doménu → · DMARC selhává, ale SPF a DKIM procházejí → · Opravit DKIM → · Nastavit DKIM na Google Workspace → · Pouze souhrnná data. Data uložena a zpracována v EU.