Defaults.Exposed › Opravy › Guides
DMARC selhává, ale SPF a DKIM projdou? Oprava zarovnání (2026)
Publikováno 2026-07-08
Údaje k 2026-06-29 · metodologie v7. Souhrnná data ze sčítání napříč 261 miliony ohodnocených domén. Viz jak hodnotíme.
DMARC potřebuje více než průchod — doména, která prošla SPF nebo DKIM, musí odpovídat vaší doméně From. Většina pošty „SPF prošel, DMARC selhal” prošla SPF na bounce doméně dodavatele, nikoli na vaší. Pouze 7.4% z 261,086,232 hodnocených domén projde SPF se zarovnáním pod vymáhanou politikou DMARC, podle sčítání Defaults.Exposed (2026-06-29).
Oprava je rychlejší, než naznačuje zmatek. Přečtěte si záhlaví Authentication-Results, abyste zjistili, která noha — SPF nebo DKIM — prochází na špatné doméně; poté buď povolte DKIM podepisování vlastní domény u vaší odesílací služby (obvykle několik CNAME záznamu, a oprava, která přežije přesměrování), nebo nastavte její vlastní return-path, aby SPF prošlo na vaší doméně. DMARC potřebuje pouze jednu zarovnanou nohu.
Jak může DMARC selhat, když SPF i DKIM projdou?
Protože DMARC nikdy neptá „prošel SPF?” Ptá se: prošel SPF nebo DKIM pro doménu, která odpovídá adrese From, kterou váš příjemce vidí? Tato dodatečná podmínka se nazývá zarovnání a je celým smyslem DMARC — bez něj by kdokoliv mohl projít SPF na doméně, kterou vlastní, a přitom zobrazovat vaši v záhlaví From.
Každá kontrola ověřuje jinou doménu:
| Kontrola | Doména, kterou skutečně vyhodnocuje | Kde ji vidět |
|---|---|---|
| SPF | Return-Path (RFC5321.MailFrom, adresa odrazu/obálky) — nikoli záhlaví From | smtp.mailfrom= v Authentication-Results |
| DKIM | Doména v tagu d= podpisu — cokoliv podpisatel zvolil | header.d= v Authentication-Results |
| DMARC | Vaše doména záhlaví From — a vyžaduje, aby doména SPF nebo DKIM d= odpovídala | header.from= v Authentication-Results |
Takto to obvykle jde špatně: vaše newsletterová platforma nebo CRM odesílá s Return-Path jako [email protected], SPF je kontrolováno vůči dodavatel.com a projde, DKIM projde s d=dodavatel.com — a DMARC selže, protože ani jedna procházející doména neodpovídá vasefirma.cz. Každá kontrola řekla pravdu; žádná z nich neověřila vás. Editace vlastního SPF záznamu toto nemůže opravit — nikdy nebyl konzultován. Je to stejná past pokrytá v SPF selhávajícím pro vaše SaaS nástroje.
Sčítání ukazuje, kolik odesílatelů dokončí tento poslední krok: 27,640,987 z 261,086,232 hodnocených domén (10.59%) má vůbec vymáhanou politiku DMARC a pouze 7.4% projde SPF se zarovnáním pod jednou. Z 77.5 milionů domén, jejichž SPF končí softfail (~all), pouhých 9.2% sedí pod vymáhanou politikou DMARC; z vydavatelů hardfail (-all), 12,142,351 je vymáháno, zatímco 42,514,532 nikoli. Většina domén se zastaví na „SPF prochází” — což bez DMARC, které na to reaguje, téměř nic nechrání.
Jak přečíst Authentication-Results, abych zjistil/a, která noha je nezarovnaná?
Pošlete si zprávu přes selhávající službu, otevřete raw zdrojový kód a najděte záhlaví Authentication-Results. Typický nezarovnaný výsledek vypadá takto:
Authentication-Results: mx.google.com;
spf=pass smtp.mailfrom=bounces.espmail.net;
dkim=pass header.d=espmail.net;
dmarc=fail (p=NONE) header.from=vasefirma.cz
Přečtěte to ve třech porovnáních:
- Noha SPF: končí
smtp.mailfrom=vaší doménou? Zde jebounces.espmail.net— nezarovnáno. - Noha DKIM: končí
header.d=vaší doménou? Zde jeespmail.net— nezarovnáno. - Verdikt DMARC:
header.from=je doména, kterou DMARC chrání. Ani jedna noha jí neodpovídala, takžedmarc=fail— i když obě individuální kontroly říkajípass.
Whichever leg already involves your own domain (or can be made to) is the one to fix. You only need one.
Jaký je rozdíl mezi uvolněným a přísným zarovnáním?
DMARC nabízí dva režimy shody, nastavené tagy aspf (SPF) a adkim (DKIM) ve vašem DMARC záznamu:
- Uvolněný (
r, výchozí): dvě domény musí sdílet stejnou organizační doménu — registrovatelnou doménu dle Public Suffix List.bounce.vasefirma.czje zarovnáno svasefirma.cz; stejně tak DKIMd=mail.vasefirma.cz. To je důvod, proč vlastní return-path a vlastní DKIM dodavatele, které jsou na subdoménách, fungují. - Přísný (
s): domény se musí přesně shodovat, znak za znakem.bounce.vasefirma.czse již nezarovná svasefirma.cz.
Pokud váš záznam nezmiňuje aspf ani adkim, jste v uvolněném režimu — a téměř jistě tam chcete zůstat. Přísný režim nepřidává žádnou smysluplnou bezpečnost pro většinu odesílatelů a tiše rozbíjí každého legitimního odesílatele subdomény, který nastavíte. Pokud DMARC selhává a váš záznam obsahuje aspf=s nebo adkim=s, to samo o sobě může být chybou.
Jak opravím zarovnání DMARC?
- Spusťte bezplatnou kontrolu na defaults.exposed před dotykem DNS. Zobrazí váš DMARC záznam a politiku, zda jsou vaše SPF a DKIM nastaveny pro zarovnání a co jiného je rozbité — takže nejprve opravíte správnou nohu.
- Otestujte každou odesílací službu a přečtěte si její Authentication-Results (viz výše). Vypište každý zdroj — poskytovatel poštovní schránky, newsletterový nástroj, CRM, fakturační aplikace — a zaznamenejte per zdroj, zda jsou
smtp.mailfromaheader.dvaše doména nebo dodavatelova. - Povolte DKIM podepisování vlastní domény pro každého dodavatele — oprava, která vydrží. Každá vážná odesílací služba nabízí „ověřování domény”: několik CNAME záznamu, které jí umožní podepisovat jako
d=vasefirma.cz(nebo subdoména, která se zarovná v uvolněném režimu). Zarovnaný DKIM je obvykle snazší oprava a jediná, která přežije přesměrování, protože přesměrování záměrně rozbíjí SPF. - Pro zarovnání SPF povolte vlastní return-path dodavatele (často nazvanou vlastní bounce doménou) — obvykle jeden CNAME jako
bounce.vasefirma.czukazující na dodavatele. SPF pak projde na vaší organizační doméně a bude zarovnáno. Dělejte to, kde je nabízeno, ale považujte to za druhou nohu, nikoli náhradu za zarovnaný DKIM. - Ponechte zarovnání v uvolněném režimu, pokud nemáte konkrétní, pochopený důvod pro
aspf=s/adkim=s. - Znovu naskenujte a potvrďte obě nohy, poté přejděte k vymáhání. Politika DMARC
p=nonehlásí, ale nic neblokuje; jakmile vaši skuteční odesílatelé jsou zarovnaní, celá cesta k politice, která vás chrání, je na stránce opravit DMARC a průvodci poskytovatele jako DMARC na IONOS pokrývají klikání v DNS panelu.
Mám opravit zarovnání SPF nebo zarovnání DKIM?
Potřebujete jednu zarovnanou nohu per odesílací zdroj. Pokud můžete udělat pouze jednu, volba je jasná:
| Oprava | Co obnáší | Přežije přesměrování? |
|---|---|---|
| Zarovnaný DKIM (podepisování vlastní domény) | Několik CNAME záznamu v panelu „ověřování domény” dodavatele | Ano — podpis cestuje se zprávou |
| Zarovnaný SPF (vlastní return-path/bounce doména) | Jeden CNAME, kde to dodavatel nabízí | Ne — IP přesměrovávače nahradí tu dodavatelovu |
Zvláštní případ, který stojí za znalost: Google Workspace a Microsoft 365 DKIM-podepisují vaši poštu ve výchozím nastavení s jejich vlastními záložními doménami (gappssmtp.com, onmicrosoft.com) — takže DKIM zobrazuje pass, zatímco DMARC stále selhává. Je to jediná nejčastější konkrétní instance celého tohoto problému a má vlastního průvodce: DKIM prochází, ale DMARC stále selhává: past výchozího podpisu.
Nejčastější dotazy
Musí obě SPF i DKIM projít se zarovnáním, aby DMARC prošlo? Ne — jedna zarovnaná průchodka stačí. Nejlepší praxí je zarovnat obě tak, aby když přesměrování rozbije nohu SPF, noha DKIM stále nesla průchod DMARC. Z 261,086,232 domén hodnocených v sčítání 2026-06-29 pouze 3.87% dokončí úplnou triádu SPF + DMARC + DKIM.
Dashboard mého ESP říká, že SPF a DKIM jsou „ověřeny” — proč DMARC stále selhává? „Ověřeno” obvykle znamená, že vlastní odesílání dodavatele prochází na doménách dodavatele. Pokud jste nedokončili jejich kroky vlastní domény (DKIM CNAME záznamy, vlastní return-path), pošta se ověřuje jako dodavatel, nikoli jako vy — a DMARC porovnává s vaší doménou From.
Je přísný -all SPF záznam dostatečný bez zarovnání?
Ne. Přísný kvalifikátor posiluje verdikt SPF na doméně Return-Path, ale DMARC stále potřebuje, aby tato doména byla vaše. K datu sčítání 2026-06-29 pouze 12,142,351 z domén publikujících -all sedí pod vymáhanou politikou DMARC — ostatní 42,514,532 mají přísný záznam, na který žádná politika nereaguje.
Mám přejít na přísné zarovnání (aspf=s/adkim=s) pro větší bezpečnost?
Téměř nikdy. Uvolněné zarovnání již vyžaduje stejnou registrovatelnou doménu, kterou spoofátor nekontroluje. Přísný režim hlavně rozbíjí vaše vlastní odesílatele subdomén — hledejte ho, kdykoli zarovnání selhává neočekávaně.
DMARC selhává pouze na poště, kterou příjemci přeposílají — stejná oprava? To je noha SPF umírající při přenosu: server přesměrovávače není v žádném SPF záznamu pro váš return-path. SPF pro přeposlanou poštu nelze opravit; zarovnaný DKIM je odpovědí, protože podpis přežije přesměrování neporušený. Podrobnosti v přeposlaný e-mail selže SPF.
Pošlete vlastníkovi zprávu
Pokud toto opravujete pro klienta nebo svého zaměstnavatele, uzavřete smyčku s důkazem. Znovu spusťte bezplatnou kontrolu poté, co CNAME záznamy budou aktivní a přepošlete ohodnocenou zprávu obchodnímu vlastníkovi: s datem, v přímé řeči, ukazující SPF, DKIM a DMARC zarovnané a procházející. To je artefakt, který budou potřebovat pro obnovení kybernetického pojištění a příští dotazník bezpečnosti dodavatele — důkaz fungující konfigurace, nikoli jen „přidal/a jsem nějaké DNS záznamy”.
Zkontrolujte svou doménu → · DKIM prochází, ale DMARC stále selhává → · Opravit DMARC → · Jak hodnotíme → · Pouze souhrnná data. Data uložena a zpracována v EU.