Defaults.Exposed

Defaults.ExposedOpravyGuides

DKIM prochází, ale DMARC selhává: Past výchozího podpisu gappssmtp.com / onmicrosoft.com (2026)

Publikováno 2026-07-08

Údaje k 2026-06-29 · metodologie v7. Souhrnná data ze sčítání napříč 261 miliony ohodnocených domén. Viz jak hodnotíme.

Vaše pošta prochází DKIM s výchozím podpisem poskytovatele — d= končící na gappssmtp.com (Google Workspace) nebo onmicrosoft.com (Microsoft 365) — ale tato doména neodpovídá vaší doméně From, takže DMARC nedostane zarovnaný průchod. Povolte podepisování vlastní domény, abyste to opravili. Z 12,145,313 domén autorizujících poštovní servery Google, pouze 18.5% vymáhá DMARC, podle sčítání Defaults.Exposed zahrnujícího 261,086,232 hodnocených domén.

Oprava je jednou z nejčistších v ověřování e-mailů: zapněte DKIM podepisování vlastní domény. Na Google Workspace je to obrazovka „Authenticate email” v administrační konzoli — vygenerujte klíč, publikujte jeden TXT záznam, zapněte. Na Microsoft 365 je to stránka DKIM na portálu Defender — publikujte dva CNAME selektory, povolte. Dvacet minut práce a DMARC konečně dostane zarovnaný průchod, na který čekalo.

Proč DKIM prochází, ale DMARC stále selhává?

Protože DMARC neptá „existuje platný DKIM podpis?” — ptá se „existuje platný DKIM podpis pro doménu v záhlaví From?” Tato druhá podmínka se nazývá zarovnání a je celým smyslem DMARC: prokázat, že doména, kterou váš příjemce vidí, je doménou, která podepsala.

Ve výchozím nastavení Google Workspace podepisuje vaší poštu doménou jako vasadomena-cz.20230601.gappssmtp.com (časové razítko se liší per doménu) a Microsoft 365 podepisuje vasnajanem.onmicrosoft.com. Oba podpisy jsou kryptograficky platné — DKIM kontrolory říkají pass — ale doména d= patří Google nebo Microsoftu, nikoli vám. Dokonce i pod uvolněným zarovnáním DMARC, které vyžaduje pouze shodu organizačních domén, gappssmtp.com není vasadomena.cz. Žádná shoda, žádný zarovnaný průchod a pokud se ani SPF nezarovná (často nemůže — příjemci vyhodnocují SPF vůči doméně Return-Path, nikoli záhlaví From, a přesměrování ho zcela rozbíjí), DMARC selže.

To je definující past výchozích nastavení poskytovatele: výchozí vám dává doručitelnost, nikoli ochranu — zarovnání je chybějící otočení klíče. Sčítání ukazuje, kolik odesílatelů se zastaví na výchozím nastavení: z 12,145,313 domén, které autorizují poštovní servery Google přes _spf.google.com (z 138,927,207 vydavatelů SPF po celém světě), pouze 18.5% vymáhá DMARC. Obraz Microsoftu má stejný tvar: 10,205,070 domén autorizuje spf.protection.outlook.com, 85.0% nese přísný SPF záznam, který nastavení M365 předává — a pouze 21.7% vymáhá DMARC. Úplné porovnání v naší tabulce SPF liga poskytovatelů e-mailu.

Past je v každodenním použití neviditelná: pošta se doručuje, testování schránek vypadá dobře, nic chybuje — dokud nepublikujete politiku DMARC a vaše vlastní pošta ji nezačne selhávat. Naše bezplatná kontrola odhalí přesně tuto mezeru.

Jak odhalit past výchozího podpisu v Authentication-Results?

Otevřete zprávu, kterou jste odeslali (do poštovní schránky Gmail nebo Outlook), prohlédněte si originální/raw zdrojový kód a najděte záhlaví Authentication-Results. Znakem je DKIM pass s nesprávným d= — příklad přijatý Gmailem vypadá takto:

Authentication-Results: mx.google.com;
       dkim=pass [email protected];
       spf=pass smtp.mailfrom=vasadomena.cz;
       dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=vasadomena.cz

Čtěte jako tři otázky:

Fragment záhlavíCo znamenáVerdikt
dkim=pass header.d=vasadomena.czPodpis platný A odpovídá vaší doméně FromZarovnaný — to je cíl
dkim=pass header.d=…gappssmtp.com nebo …onmicrosoft.comPodpis platný, ale je to výchozí doména poskytovatele — DMARC ji ignoruje pro zarovnáníPast: průchod bez ochrany
dkim=fail (jakékoliv d=)Podpis neplatný — jiný problémViz jak opravit DKIM

Na poště přijaté Microsoftem se stejný příběh zobrazuje jako dkim=pass (signature was verified) header.d=vasnajanem.onmicrosoft.com vedle compauth=fail — vzorec pokrytý v průvodci odmítáním pošty od Outlooku.

Pokud vaše záhlaví místo toho zobrazuje obě dkim=pass a spf=pass se selháním DMARC, jste v širším případě zarovnání — průvodce DMARC selhává, ale SPF a DKIM procházejí prochází uvolněné vs. přísné zarovnání v plném rozsahu.

Jak povolím DKIM podepisování vlastní domény?

  1. Spusťte bezplatnou kontrolu na defaults.exposed před dotykem čehokoliv. Ukáže, zda má vaše doména zarovnaný DKIM, jaká je vaše politika DMARC a zda vás cokoliv jiného (SPF, syntaxe záznamu DMARC) stále zablokuje po této opravě — takže uděláte celou práci najednou.
  2. Identifikujte, kterým výchozím podepisujete. Zkontrolujte header.d= v Authentication-Results jak výše: gappssmtp.com znamená výchozí Google Workspace, onmicrosoft.com znamená výchozí Microsoft 365.
  3. Google Workspace: vygenerujte a publikujte vlastní klíč. V administrační konzoli jděte do Apps → Google Workspace → Gmail → Authenticate email, vyberte svou doménu a klikněte Generate New Record (2048-bit, pokud to váš DNS hostitel může uložit). Publikujte TXT záznam, který vám dá, na google._domainkey.vasadomena.cz, počkejte na DNS (až 48 hodin), poté — krok, který lidé přeskočí — klikněte Start authentication. Vygenerování záznamu nic nedělá, dokud podepisování nezapnete. Úplný průvodce: nastavit DKIM na Google Workspace.
  4. Microsoft 365: publikujte dva CNAME selektory a povolte. Na portálu Defender jděte na Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM, vyberte svou vlastní doménu a vytvořte klíče. Publikujte oba CNAME záznamy — selector1._domainkey a selector2._domainkey, ukazující na cíle, které vám Microsoft zobrazí (zkopírujte přesné cíle z portálu — domény povolené před květnem 2025 končí na .onmicrosoft.com vašeho tenanta; novější končí na .dkim.mail.microsoft) — poté přepněte podepisování on. Dva selektory nejsou volitelné: Microsoft mezi nimi rotuje klíče. Úplný průvodce: nastavit DKIM na Microsoft 365.
  5. Ověřte nový podpis. Odešlete čerstvou zprávu na externí poštovní schránku a znovu zkontrolujte Authentication-Results: dkim=pass by nyní mělo zobrazovat header.d=vasadomena.cz. Pokud váš DNS panel automaticky připojil vaši zónu k cíli CNAME nebo poškodil dlouhou hodnotu TXT, podpis se nepřepne — zvláštnosti panelu, nikoli poskytovatele, způsobují většinu selhání zde.
  6. Znovu naskenujte a vezměte zarovnaný průchod někam. Potvrďte, že skenování zobrazuje zarovnaný DKIM, poté ho využijte: politika DMARC na p=none nic nechrání. Napříč všemi 261,086,232 hodnocenými doménami pouze 10.59% vymáhá DMARC (data k 2026-06-29) — zarovnaný DKIM je to, co dělá vymáhání bezpečným pro navyšování. Začněte na jak opravit DMARC.

Povolení vlastního DKIM něco rozbije?

Ne — toto je vzácná oprava ověřování e-mailů se v podstatě žádným vedlejším dopadem: pošta, která odcházela s výchozím podpisem, jednoduše odchází s lepším a poskytovatel nadále spravuje klíče (Microsoft rotuje mezi dvěma selektory automaticky). Skutečný způsob selhání je napůl to udělat — publikovat TXT Googlu, ale nikdy nekliknout Start authentication, nebo publikovat jeden selektor M365 namísto obou. A nesmažte DNS záznamy später „pro pořádek”; podepisování se zastaví ve chvíli, kdy klíč zmizí.

Jedna poznámka o rozsahu: toto opravuje poštu odeslanou přes Google nebo Microsoft. Newsletterové nástroje a CRM také podepisují vlastními výchozími nastaveními a každý potřebuje zapnout podepisování vlastní domény — tento vzorec a pravidla Gmail pro hromadné odesílatele, která to nyní vyžadují, jsou pokryty v průvodci 550-5.7.26.

Nejčastější dotazy

DKIM zobrazuje „pass” v každém testovacím nástroji — proč je potřeba cokoliv opravovat? Protože nástroje odpovídají na užší otázku, než DMARC. Podpis je platný — ale je to gappssmtp.com’s nebo onmicrosoft.com’s, nikoli váš, takže se pro zarovnání DMARC nepočítá nic. Proto se tolik odesílatelů zastaví na výchozím nastavení: z 12,145,313 domén autorizujících Google, pouze 18.5% vymáhá DMARC (data k 2026-06-29).

Dovoluje uvolněné zarovnání DMARC průchod výchozímu podpisu? Ne. Uvolněné zarovnání pouze uvolňuje shodu na organizační domény — mail.vasadomena.cz se zarovná s vasadomena.cz. Organizační doménou výchozího podpisu je gappssmtp.com nebo onmicrosoft.com, která sdílí nic s vaší. Žádný režim zarovnání nezachrání d= třetí strany.

Je podpis gappssmtp.com / onmicrosoft.com špatný? Mám ho odstranit? Není špatný — zajišťuje, že vaše pošta nese nějaký platný podpis, který pomáhá spamovému filtrování. Prostě není váš. Neodstraňujete ho; nahrazujete ho povolením podepisování vlastní domény.

Moje doména je na Microsoft 365 s přísným SPF — jsem již kryt? Pravděpodobně ne: ten přísný záznam je výchozí M365, dělající svou jedinou práci. Z 10,205,070 domén autorizujících spf.protection.outlook.com, 85.0% má přísný SPF, ale pouze 21.7% vymáhá DMARC (data k 2026-06-29). SPF se také rozbíjí při přesměrování, protože je vyhodnocováno vůči Return-Path spíše než záhlaví From — zarovnaný DKIM je noha, která přežije, což je přesně důvod, proč tato oprava záleží.

Jak dlouho oprava trvá? Práce v konzoli je minutová per poskytovatele. DNS je čekání: Google říká povolte až 48 hodin před zahájením ověřování; CNAME záznamy Microsoftu jsou obvykle živé během hodin. Počítejte s jedním pracovním dnem od začátku do konce, z toho většinu čekáním.

Pošlete vlastníkovi zprávu

Pokud toto opravujete pro klienta nebo svého zaměstnavatele, uzavřete smyčku s důkazem. Znovu spusťte bezplatnou kontrolu jakmile je nový podpis živý a přepošlete ohodnocenou zprávu obchodnímu vlastníkovi: s datem, v přímé řeči, ukazující DKIM zarovnaný s jejich doménou. To je artefakt pro obnovení kybernetického pojištění a příští dotazník bezpečnosti dodavatele — důkaz, že doména se ověřuje jako ona sama, nikoli jako podnájemce gappssmtp.com.

Zkontrolujte zarovnání svého DKIM zdarma

Zjistěte, zda vaše pošta podepisuje jako vaše vlastní doména — a přesně co opravit — soukromě a pouze pro vlastníky.

Zkontrolujte svou doménu → · DMARC selhává, ale SPF a DKIM procházejí → · Opravit DKIM → · Nastavit DKIM na Google Workspace → · Pouze souhrnná data. Data uložena a zpracována v EU.