Defaults.Exposed

Defaults.ExposedOpravyGuides

DMARC p=none na p=reject bez ztráty legitimní pošty: Postupné nasazení (2026)

Publikováno 2026-07-08

Údaje k 2026-06-29 · metodologie v7. Souhrnná data ze sčítání napříč 261 miliony ohodnocených domén. Viz jak hodnotíme.

Přejděte DMARC z p=none na p=reject ve čtyřech fázích: sledujte rua zprávy 2–4 týdny, opravte každého legitimního odesílatele, postupně navyšujte p=quarantine s pct, poté reject — nikdy neskákejte rovnou na reject. 70,368,600 z 261,086,232 hodnocených domén uvízlo na soft SPF bez vymáhání DMARC, podle sčítání Defaults.Exposed.

Toto je provozní průvodce: tabulka fází s kritérii ukončení, záznam pro každou fázi, jemnost RFC 7489 pct, která mění, co „50 %” znamená při reject, a tag sp= pro subdomény. Pokud se rozhodujete, zda vymáhat, přečtěte si nejprve 6 fází zralosti DMARC — to je rámec; a pokud jsou úrovně politik pro vás nové, co p=none, p=quarantine a p=reject skutečně znamenají je úvod. Tato stránka je o provádění.

Proč nemůžete skočit rovnou na p=reject?

Protože p=reject říká každému příjemci, který to respektuje, aby odmítl poštu, která selže DMARC — a dokud jste nesledovali své zprávy, nevíte, co selhává. Téměř každá doména, která zapne monitorování, objeví legitimní odesílatele, na které zapomněla: CRM, fakturační nástroj, kontaktní formulář. Skočit na reject hned první den a taková pošta neskončí ve spamu; zmizí na úrovni SMTP. Ztráta fakturační hromadné pošty naučí organizaci bát se DMARC a záznam se trvale vrátí na p=none — z 261,086,232 hodnocených domén, 37,312,637 stojí právě tam a pouze 10.59% (27,640,987) kdy dosáhne vymáhané politiky.

Druhý důvod je zarovnání. DMARC projde pouze tehdy, když SPF nebo DKIM projde a je zarovnáno s viditelnou doménou From — SPF vůči doméně Return-Path (RFC5321.MailFrom), DKIM vůči d= podpisu. Odesílatelé třetích stran obvykle projdou SPF na jejich doméně, nikoli na vaší, což je důvod, proč fáze opravy každého zdroje spočívá hlavně v povolení DKIM vlastní domény každého dodavatele — rozebráno v DMARC selhává, ale SPF a DKIM projdou.

Jaké jsou čtyři fáze nasazení?

FázeZáznam politikypctCo se stane s selhanou poštouKritéria ukončení
1. Monitorováníp=none; rua=mailto:…Doručena normálně; dostáváte souhrnné zprávy2–4 týdny zpráv; každý odesílatel v nich identifikován jako legitimní nebo ne
2. Oprava zdrojůp=none (beze změny)Stále doručena normálněKaždý legitimní zdroj prochází DMARC zarovnaně (DKIM vlastní domény per odesílatel); zbývající selhání jsou pouze neznámý/spoofovaný provoz
3. Postupný quarantinep=quarantine10 → 25 → 50 → 100Vzorkovaný podíl jde do složek se spamem; nevzorkovaný podíl je zpracován jako p=none (doručen)1–2 týdny na pct=100 s nulovou legitimní poštou v karanténě
4. Rejectp=reject100Odmítnuto na úrovni SMTP; odesílatel dostane odraz, příjemce nevidí nicPrůběžně — ponechte rua trvale zapnuté pro nové odesílatele

Data k 2026-06-29; chování politiky per RFC 7489.

Fáze 3 je místo, kde domény uvíznou nebo propadnou panice. Třídění do spamu je napravitelné — uživatelé poštu najdou, snížíte pct, opravíte zdroj. Odmítnutí napravitelné není, proto čistě běžící quarantine na pct=100 je vstupenkou do fáze 4.

Jak nasazení provést krok za krokem?

  1. Spusťte bezplatnou kontrolu na defaults.exposed před dotykem DNS. Potvrdí vaši aktuální politiku a zda jsou SPF a DKIM na místě — dvě nohy, na kterých vymáhání stojí.
  2. Zapněte monitorování, pokud jste to ještě neudělali. Publikování p=none s rua= je pětiminutový krok v „DMARC politika není povolena”. Sbírejte zprávy 2–4 týdny — dost na zachycení měsíčních odesílatelů jako jsou fakturační hromadné zásilky.
  3. Inventarizujte každý zdroj ve zprávách. Seřaďte odesílatele na vaše, vaše dodavatele a neznámé. Nezpracované zprávy přicházejí jako XML — nástroj pro zpracování zpráv (nebo dashboard vašeho poskytovatele) je převede na čitelný inventář odesílatelů.
  4. Zajistěte, aby každý legitimní zdroj prošel se zarovnáním. Povolte DKIM vlastní domény každého dodavatele (obvykle dva CNAME záznamy v jejich dashboardu), aby podpisy nesly vaši doménu, nikoli jejich. Preferujte DKIM pro zarovnání: přežije přesměrování, SPF ne.
  5. Počkejte na čistý čtrnáctidenní úsek. Opusťte fázi 2 pouze tehdy, když nahlášená selhání jsou výhradně provoz, který nepoznáváte — spoofing, který chcete blokovat.
  6. Přejděte na p=quarantine; pct=10 — upravte existující TXT záznam _dmarc (ukázkový příklad: nastavení DMARC na IONOS) a sledujte syntaxi: překlep v tagu politiky může zrušit celý záznam. Postupně navyšujte pct na 25, 50, 100 během 2–4 týdnů, sledujte zprávy a lístky helpdesku. Cokoliv legitimního ve spamu: snižte pct, opravte zdroj, pokračujte.
  7. Přejděte na p=reject po 1–2 čistých týdnech na pct=100. Ponechte rua= trvale zapnuté — každý nový nástroj, který vaše firma přijme, je budoucím selhávajícím odesílatelem.

Co skutečně dělá pct? Jemnost RFC 7489

pct žádá příjemce, aby aplikovali vaši politiku na toto procento selhaných zpráv. Jemnost, z RFC 7489 §6.6.4: pošta, která je vypuštěna ze vzorkování, nespadne zpět na „doručit normálně” — dostane o stupeň méně přísnou politiku. Pod p=quarantine; pct=25 je zbývajících 75 % zpracováno jako p=none a doručeno. Ale pod p=reject; pct=50 je zbývajících 50 % v karanténě, nikoli doručeno. Neexistuje jemný reject: ve chvíli, kdy váš záznam říká reject, každá selhaná zpráva je přinejmenším tříděna do spamu u příjemců, kteří to respektují.

Záměrně použito, to je vlastnost — p=reject; pct=1 se chová jako „dát téměř vše do karantény, odmítnout kapku”, legitimní finální nájezd. Dvě upozornění: příjemci neimplementují vzorkování identicky, takže považujte pct za hrubé ovládání; a tag odstraňte (nebo nastavte pct=100), jakmile je fáze 4 stabilní, aby váš záznam říkal, co myslíte.

Co se subdoménami — tag sp=?

Ve výchozím nastavení subdomény dědí politiku organizační domény: p=reject na vasedomena.cz pokrývá také mail.vasedomena.cz. Tag sp= jim umožňuje divergovat, v obou užitečných i nebezpečných směrech. Užitečné: p=quarantine; sp=reject zamkne subdomény, ze kterých nikdy neodesíláte, zatímco apex je stále uprostřed postupného navyšování — spoofátoři záměrně cílí na subdomény monitorovaných domén. Nebezpečné: zapomenuté sp=none tiše vyjme každou subdoménu z politiky reject, kterou jste si vydělali šest týdnů. Zkontrolujte to ve fázi 4; pokud jedna subdoména skutečně potřebuje volnější politiku, publikujte záznam _dmarc na té subdoméně místo uvolňování všech.

Znamená NIS2, že to musí EU firmy udělat?

DMARC funguje všude identicky — nic v tomto průvodci se nemění na hranici EU. Co se mění, je motivace pro dodržování předpisů. Článek 21(2)(j) NIS2 vyžaduje, aby subjekty v rozsahu zabezpečily své komunikace, a Prováděcí nařízení Komise (EU) 2024/2690 specifikuje technické požadavky pro subjekty digitální infrastruktury, které pokrývá — jeho příloha (bod 6.7.2(k)) vyžaduje plán implementace pro nasazení mezinárodně dohodnutých moderních standardů e-mailové bezpečnosti a bod 6.7.2(l) vyžaduje osvědčené postupy DNS-bezpečnosti. Vymáhaná politika DMARC se SPF a DKIM je uznávanou auditovatelnou kontrolou proti spoofingu; p=none je prokazatelně monitorování, nikoli zabezpečení. Pokud jsou vaši zákazníci v rozsahu, jejich dotazníky dodavatelů se stále více ptají přesně na toto.

Nejčastější dotazy

Jak dlouho celé nasazení trvá? Šest až deset týdnů je typické: 2–4 týdny monitorování, 1–3 týdny opravy zdrojů, 2–4 týdny postupného navyšování karantény, poté reject. Je to kalendářní čas, nikoli úsilí — většinou čekání na zprávy potvrzující každou změnu. 89.41% z 261,086,232 hodnocených domén bez vymáhané politiky (data k 2026-06-29) většinou není uprostřed nasazení; nikdy nespustily hodiny.

Mohu přeskočit karanténu a použít p=reject s nízkým pct? Můžete — dle RFC 7489 §6.6.4, p=reject; pct=10 znamená 10 % odmítnuto a 90 % v karanténě, přibližně pozdní fáze 3. Ale p=quarantine nejprve je snazší na pochopení a příjemci se liší v tom, jak věrně vzorkují. Každopádně, fáze 1–2 jsou nezbytné: žádný způsob vymáhání není bezpečný, dokud legitimní odesílatele stále selhávají.

Co s poštou, kterou nemohu opravit — přesměrování a poštovní konference? Přesměrování záměrně rozbije SPF a některé poštovní konference přepisují obsah, čímž rozbijí i DKIM. Zarovnaný DKIM přežije běžné přesměrování, což řeší většinu případů; malý zbytek je důvod, proč fáze karantény existuje — pošta tříděná do spamu je napravitelná, zatímco ji vyhodnocujete. Podrobnosti v přeposlaný e-mail selže SPF.

Je dostatečné zastavit se na p=quarantine? Je to většina hodnoty a daleko lepší než 37,312,637 domén stojících na p=none (z 261,086,232 hodnocených, data k 2026-06-29) — ale spoofovaná pošta stále dorazí do složek se spamem, odkud ji lidé vytahují. Reject je cíl: pouze 10.59% hodnocených domén vůbec vymáhá a dokončení je to, co prověřovatelé, pojišťovny a dotazníky uznávají.

Pošlete vlastníkovi zprávu

Pokud toto nasazení provádíte pro klienta nebo zaměstnavatele, cílová čára je demonstrovatelná. Znovu spusťte bezplatnou kontrolu poté, co p=reject bude aktivní a přepošlete ohodnocenou zprávu: doména přecházející na vymáhanou politiku, s datem a v přímé řeči. Tato jedna stránka zodpoví řádek e-mailové bezpečnosti v obnoveních kybernetického pojištění a dotaznících dodavatelů řízených NIS2 lépe než snímek obrazovky DNS panelu — a šest týdnů pečlivé, neviditelné práce zpřístupní osobě, která za ni platí.

Zkontrolujte svou politiku DMARC zdarma

Zjistěte, jaká je vaše aktuální politika — a zda SPF a DKIM mohou nést vymáhání — soukromě a pouze pro vlastníky.

Zkontrolujte svou doménu → · Opravit DMARC → · „DMARC politika není povolena” — poctivý první krok → · Pouze souhrnná data. Data uložena a zpracována v EU.