Defaults.Exposed

Defaults.ExposedOpravyGuides

DMARC selhává, ale SPF a DKIM projdou? Oprava zarovnání (2026)

Publikováno 2026-07-08

Údaje k 2026-06-29 · metodologie v7. Souhrnná data ze sčítání napříč 261 miliony ohodnocených domén. Viz jak hodnotíme.

DMARC potřebuje více než průchod — doména, která prošla SPF nebo DKIM, musí odpovídat vaší doméně From. Většina pošty „SPF prošel, DMARC selhal” prošla SPF na bounce doméně dodavatele, nikoli na vaší. Pouze 7.4% z 261,086,232 hodnocených domén projde SPF se zarovnáním pod vymáhanou politikou DMARC, podle sčítání Defaults.Exposed (2026-06-29).

Oprava je rychlejší, než naznačuje zmatek. Přečtěte si záhlaví Authentication-Results, abyste zjistili, která noha — SPF nebo DKIM — prochází na špatné doméně; poté buď povolte DKIM podepisování vlastní domény u vaší odesílací služby (obvykle několik CNAME záznamu, a oprava, která přežije přesměrování), nebo nastavte její vlastní return-path, aby SPF prošlo na vaší doméně. DMARC potřebuje pouze jednu zarovnanou nohu.

Jak může DMARC selhat, když SPF i DKIM projdou?

Protože DMARC nikdy neptá „prošel SPF?” Ptá se: prošel SPF nebo DKIM pro doménu, která odpovídá adrese From, kterou váš příjemce vidí? Tato dodatečná podmínka se nazývá zarovnání a je celým smyslem DMARC — bez něj by kdokoliv mohl projít SPF na doméně, kterou vlastní, a přitom zobrazovat vaši v záhlaví From.

Každá kontrola ověřuje jinou doménu:

KontrolaDoména, kterou skutečně vyhodnocujeKde ji vidět
SPFReturn-Path (RFC5321.MailFrom, adresa odrazu/obálky) — nikoli záhlaví Fromsmtp.mailfrom= v Authentication-Results
DKIMDoména v tagu d= podpisu — cokoliv podpisatel zvolilheader.d= v Authentication-Results
DMARCVaše doména záhlaví From — a vyžaduje, aby doména SPF nebo DKIM d= odpovídalaheader.from= v Authentication-Results

Takto to obvykle jde špatně: vaše newsletterová platforma nebo CRM odesílá s Return-Path jako [email protected], SPF je kontrolováno vůči dodavatel.com a projde, DKIM projde s d=dodavatel.com — a DMARC selže, protože ani jedna procházející doména neodpovídá vasefirma.cz. Každá kontrola řekla pravdu; žádná z nich neověřila vás. Editace vlastního SPF záznamu toto nemůže opravit — nikdy nebyl konzultován. Je to stejná past pokrytá v SPF selhávajícím pro vaše SaaS nástroje.

Sčítání ukazuje, kolik odesílatelů dokončí tento poslední krok: 27,640,987 z 261,086,232 hodnocených domén (10.59%) má vůbec vymáhanou politiku DMARC a pouze 7.4% projde SPF se zarovnáním pod jednou. Z 77.5 milionů domén, jejichž SPF končí softfail (~all), pouhých 9.2% sedí pod vymáhanou politikou DMARC; z vydavatelů hardfail (-all), 12,142,351 je vymáháno, zatímco 42,514,532 nikoli. Většina domén se zastaví na „SPF prochází” — což bez DMARC, které na to reaguje, téměř nic nechrání.

Jak přečíst Authentication-Results, abych zjistil/a, která noha je nezarovnaná?

Pošlete si zprávu přes selhávající službu, otevřete raw zdrojový kód a najděte záhlaví Authentication-Results. Typický nezarovnaný výsledek vypadá takto:

Authentication-Results: mx.google.com;
       spf=pass smtp.mailfrom=bounces.espmail.net;
       dkim=pass header.d=espmail.net;
       dmarc=fail (p=NONE) header.from=vasefirma.cz

Přečtěte to ve třech porovnáních:

Whichever leg already involves your own domain (or can be made to) is the one to fix. You only need one.

Jaký je rozdíl mezi uvolněným a přísným zarovnáním?

DMARC nabízí dva režimy shody, nastavené tagy aspf (SPF) a adkim (DKIM) ve vašem DMARC záznamu:

Pokud váš záznam nezmiňuje aspf ani adkim, jste v uvolněném režimu — a téměř jistě tam chcete zůstat. Přísný režim nepřidává žádnou smysluplnou bezpečnost pro většinu odesílatelů a tiše rozbíjí každého legitimního odesílatele subdomény, který nastavíte. Pokud DMARC selhává a váš záznam obsahuje aspf=s nebo adkim=s, to samo o sobě může být chybou.

Jak opravím zarovnání DMARC?

  1. Spusťte bezplatnou kontrolu na defaults.exposed před dotykem DNS. Zobrazí váš DMARC záznam a politiku, zda jsou vaše SPF a DKIM nastaveny pro zarovnání a co jiného je rozbité — takže nejprve opravíte správnou nohu.
  2. Otestujte každou odesílací službu a přečtěte si její Authentication-Results (viz výše). Vypište každý zdroj — poskytovatel poštovní schránky, newsletterový nástroj, CRM, fakturační aplikace — a zaznamenejte per zdroj, zda jsou smtp.mailfrom a header.d vaše doména nebo dodavatelova.
  3. Povolte DKIM podepisování vlastní domény pro každého dodavatele — oprava, která vydrží. Každá vážná odesílací služba nabízí „ověřování domény”: několik CNAME záznamu, které jí umožní podepisovat jako d=vasefirma.cz (nebo subdoména, která se zarovná v uvolněném režimu). Zarovnaný DKIM je obvykle snazší oprava a jediná, která přežije přesměrování, protože přesměrování záměrně rozbíjí SPF.
  4. Pro zarovnání SPF povolte vlastní return-path dodavatele (často nazvanou vlastní bounce doménou) — obvykle jeden CNAME jako bounce.vasefirma.cz ukazující na dodavatele. SPF pak projde na vaší organizační doméně a bude zarovnáno. Dělejte to, kde je nabízeno, ale považujte to za druhou nohu, nikoli náhradu za zarovnaný DKIM.
  5. Ponechte zarovnání v uvolněném režimu, pokud nemáte konkrétní, pochopený důvod pro aspf=s/adkim=s.
  6. Znovu naskenujte a potvrďte obě nohy, poté přejděte k vymáhání. Politika DMARC p=none hlásí, ale nic neblokuje; jakmile vaši skuteční odesílatelé jsou zarovnaní, celá cesta k politice, která vás chrání, je na stránce opravit DMARC a průvodci poskytovatele jako DMARC na IONOS pokrývají klikání v DNS panelu.

Mám opravit zarovnání SPF nebo zarovnání DKIM?

Potřebujete jednu zarovnanou nohu per odesílací zdroj. Pokud můžete udělat pouze jednu, volba je jasná:

OpravaCo obnášíPřežije přesměrování?
Zarovnaný DKIM (podepisování vlastní domény)Několik CNAME záznamu v panelu „ověřování domény” dodavateleAno — podpis cestuje se zprávou
Zarovnaný SPF (vlastní return-path/bounce doména)Jeden CNAME, kde to dodavatel nabízíNe — IP přesměrovávače nahradí tu dodavatelovu

Zvláštní případ, který stojí za znalost: Google Workspace a Microsoft 365 DKIM-podepisují vaši poštu ve výchozím nastavení s jejich vlastními záložními doménami (gappssmtp.com, onmicrosoft.com) — takže DKIM zobrazuje pass, zatímco DMARC stále selhává. Je to jediná nejčastější konkrétní instance celého tohoto problému a má vlastního průvodce: DKIM prochází, ale DMARC stále selhává: past výchozího podpisu.

Nejčastější dotazy

Musí obě SPF i DKIM projít se zarovnáním, aby DMARC prošlo? Ne — jedna zarovnaná průchodka stačí. Nejlepší praxí je zarovnat obě tak, aby když přesměrování rozbije nohu SPF, noha DKIM stále nesla průchod DMARC. Z 261,086,232 domén hodnocených v sčítání 2026-06-29 pouze 3.87% dokončí úplnou triádu SPF + DMARC + DKIM.

Dashboard mého ESP říká, že SPF a DKIM jsou „ověřeny” — proč DMARC stále selhává? „Ověřeno” obvykle znamená, že vlastní odesílání dodavatele prochází na doménách dodavatele. Pokud jste nedokončili jejich kroky vlastní domény (DKIM CNAME záznamy, vlastní return-path), pošta se ověřuje jako dodavatel, nikoli jako vy — a DMARC porovnává s vaší doménou From.

Je přísný -all SPF záznam dostatečný bez zarovnání? Ne. Přísný kvalifikátor posiluje verdikt SPF na doméně Return-Path, ale DMARC stále potřebuje, aby tato doména byla vaše. K datu sčítání 2026-06-29 pouze 12,142,351 z domén publikujících -all sedí pod vymáhanou politikou DMARC — ostatní 42,514,532 mají přísný záznam, na který žádná politika nereaguje.

Mám přejít na přísné zarovnání (aspf=s/adkim=s) pro větší bezpečnost? Téměř nikdy. Uvolněné zarovnání již vyžaduje stejnou registrovatelnou doménu, kterou spoofátor nekontroluje. Přísný režim hlavně rozbíjí vaše vlastní odesílatele subdomén — hledejte ho, kdykoli zarovnání selhává neočekávaně.

DMARC selhává pouze na poště, kterou příjemci přeposílají — stejná oprava? To je noha SPF umírající při přenosu: server přesměrovávače není v žádném SPF záznamu pro váš return-path. SPF pro přeposlanou poštu nelze opravit; zarovnaný DKIM je odpovědí, protože podpis přežije přesměrování neporušený. Podrobnosti v přeposlaný e-mail selže SPF.

Pošlete vlastníkovi zprávu

Pokud toto opravujete pro klienta nebo svého zaměstnavatele, uzavřete smyčku s důkazem. Znovu spusťte bezplatnou kontrolu poté, co CNAME záznamy budou aktivní a přepošlete ohodnocenou zprávu obchodnímu vlastníkovi: s datem, v přímé řeči, ukazující SPF, DKIM a DMARC zarovnané a procházející. To je artefakt, který budou potřebovat pro obnovení kybernetického pojištění a příští dotazník bezpečnosti dodavatele — důkaz fungující konfigurace, nikoli jen „přidal/a jsem nějaké DNS záznamy”.

Zkontrolujte svou doménu → · DKIM prochází, ale DMARC stále selhává → · Opravit DMARC → · Jak hodnotíme → · Pouze souhrnná data. Data uložena a zpracována v EU.