DMARCeye blog

28 % domén nemá DMARC | DMARCeye

Written by Jack Zagorski | 6.5.2026 0:00:00

DMARC je malý záznam v DNS, který říká poštovním serverům po celém světě, co mají dělat se zprávami, které tvrdí, že přicházejí z vaší domény. Bez něj může kdokoli posílat e-maily vaším jménem a vaše doména s tím nemůže nic dělat. Analyzovali jsme data z tisíců veřejně dostupných internetových domén a zjistili jsme, že 28 % z nich nemá vůbec žádný DMARC záznam. Pokud vlastníte doménu a nikdy jste DMARC nenastavovali, je zhruba šance 1 ku 4, že patříte do této skupiny.

Tento článek rozebírá srovnání mezi monitorovanými doménami a širším internetem ze zprávy DMARCeye Q1 2026 industry report. Celá zpráva, se všemi 12 grafickými pohledy a metodikou, je k dispozici níže.

 

Propast v adopci

Zpráva za Q1 2026 srovnává dvě skupiny. První je skupina aktivně používající DMARC: domény pod aktivním monitoringem na platformě DMARCeye. Druhou je široký vzorek z veřejného skeneru veřejně dostupných internetových domén, které byly naslepo prozkoumány na přítomnost DMARC, SPF a DKIM záznamů.

Hlavní rozdíl, vyjádřený prostými čísly:

  • Veřejně dostupný internet (vzorek ze skeneru): 28 % nemá žádný DMARC záznam, 32 % je na p=none, 22 % na p=quarantine, 18 % na p=reject.
  • Organizace aktivně používající DMARC: 0 % nemá DMARC podle definice, 36,7 % je na p=none, 36,8 % na p=quarantine, 26,5 % na p=reject.
Zdroj: DMARCeye Q1 2026 industry report (research.dmarceye.com)

Přísnější vynucování je častější ve skupině aktivně používající DMARC: 27 % na p=reject oproti 18 % v širším internetu. Výmluvnější rozdíl je ale na druhém konci. Jakmile vlastník domény začne brát DMARC dostatečně vážně na to, aby ho monitoroval, kategorie "žádný záznam" zmizí. Ve volné přírodě představuje tato kategorie více než čtvrtinu všech domén.

Co vlastně znamená "žádný DMARC"

Bez DMARC záznamu vaše doména mlčí. Když dorazí zpráva, která tvrdí, že je od vás, přijímající poštovní server (Gmail, Yahoo, Seznam, kdokoli) nemá z vaší strany žádnou instrukci, jak s ní naložit. Server tedy spoléhá na své vlastní filtrování. Některé podvržené zprávy projdou, některé skončí ve spamu, některé jsou odmítnuty. Výsledek se liší a vy do toho nemáte žádný vhled.

Pro vlastníka domény to v praxi znamená:

  • Kdokoli může posílat poštu vaším jménem bez jakéhokoli postihu. Podvržená zpráva bude příjemcem vyhodnocena, jako kdyby mohla být legitimní, protože žádná politika netvrdí opak.
  • Nedostáváte žádnou zpětnou vazbu. Bez DMARC záznamu nepřitékají žádné agregované reporty. Nevíte, kdo posílá poštu jménem vaší domény, ať už legitimně, nebo ne.
  • Nesplňujete požadavky pro hromadné odesílatele. Pravidla Google a Yahoo pro odesílatele z února 2024 vyžadují publikovaný DMARC záznam pro odesílatele nad 5,000 zpráv denně na adresy Gmail nebo Yahoo. Žádný záznam znamená nesoulad, tečka.

Náprava stavu "žádný DMARC" je kratší než náprava stavu "uvíznutí na p=none". Jsou to dva DNS záznamy a pár hodin pozornosti.

Proč tolik domén nemá nic publikovaného

Data za Q1 ukazují velikost propasti, ne její příčiny. Důvody níže jsou vzorce, které vidíme napříč zákazníky, ne zjištění z datasetu:

  • Vlastník domény o DMARC nikdy neslyšel. Standard existuje, nástroje jsou vyzrálé, ale vlastník domény je malý podnikatel nebo nadšenec, kterého nikdo nikdy nepobídl, aby něco publikoval.
  • Doména moc pošty neposílá, takže DMARC nikdy nepřišel na řadu. Osobní domény, domény pro vedlejší projekty, neaktivní firemní domény. Objem je dost nízký na to, aby vlastník zatím nenarazil na problém s doručitelností nebo spoofingem.
  • Doména byla nastavena dřív, než se DMARC stalo běžnou praxí. Doména registrovaná v roce 2008, tehdy nakonfigurovaná pro e-mail, nikdy nebyla revidovaná.
  • Hosting nebo e-mailový poskytovatel zákazníka netlačil k tomu, aby si DMARC nastavil. Někteří poskytovatelé zákazníky provedou nastavením SPF a DKIM, ale u DMARC se zastaví. Zákazník předpokládá, že je hotovo.

Co to znamená, když patříte do těch 28 %

Pokud provozujete malý podnik, e-shop, freelance konzultantskou činnost nebo vedlejší projekt a nikdy jste o DMARC nepřemýšleli, je zhruba šance 1 ku 4, že patříte do skupiny bez publikovaného záznamu. Důsledky toho, když v ní zůstanete:

Vaše doména je volný cíl pro spoofing. Žádná publikovaná politika, žádné vynucování. Platí, jaké výchozí chování nastavil přijímající server. U domény, která moc pošty neposílá, mohou spooferi létat pod radarem dlouhou dobu.

Nemáte žádný vhled do toho, co je posíláno vaším jménem. Bez agregovaných reportů se o phishingové kampani vedené vaším jménem obvykle dozvíte teprve tehdy, když se vás na ni zeptá zákazník nebo partner.

Pokud někdy začnete víc rozesílat, budete muset DMARC nasadit pod tlakem. Až váš měsíční objem překročí limit Googlu 5,000 denně, nastoupí požadavky pro hromadné odesílatele a vy budete muset přidat DMARC záznam ve stejnou chvíli, kdy se snažíte škálovat firmu. Lepší to udělat předtím, kdy žádný tlak není.

Náprava je krátká

Přejít z "žádný DMARC" na "monitoring se zprávami, které tečou" je v celé této oblasti nejsnazším milníkem. Tři až čtyři kroky, jedno odpoledne pozornosti, žádný rozpočet potřeba.

Krok 1: Zkontrolujte svou doménu. Zadejte níže svou doménu a uvidíte, co je v ní právě teď publikováno. Pokud ve výsledku není DMARC řádek, máte potvrzeno, kde stojíte.

 

Krok 2: Publikujte DMARC záznam na p=none s reportingem. Minimální použitelný záznam je jeden řádek ve vašem DNS: v=DMARC1; p=none; rua=mailto:reports@vasedomena.cz, kde adresa rua je vaše vlastní, nebo ta, kterou vám poskytuje monitorovací služba. Tím v podstatě říkáte: "Začínám se dívat."

Krok 3: Spusťte tok reportů. Plán zdarma od DMARCeye pokrývá jednu doménu. Posbírá agregované reporty, naparsuje je a ukáže vám, co se ve skutečnosti posílá vaším jménem. Dva až čtyři týdny dat obvykle stačí, abyste viděli celkový obraz.

Krok 4: Přitáhněte politiku, jak budete potvrzovat legitimní odesílatele. Jakmile vidíte, co se posílá jménem vaší domény, autentizujete legitimní odesílatele a pak postupujte k p=quarantine a nakonec p=reject. Smyslem DMARC je dosáhnout skutečného vynucování, ne jen publikovat záznam a skončit.

Praktické shrnutí

Těch 28 % domén bez jakéhokoli DMARC není příběh o technické složitosti. Standard existuje od roku 2015. Záznamy jsou dva krátké řádky v DNS. Pro monitoring existují bezplatné nástroje, včetně toho od DMARCeye. Důvody, proč většina těchto domén nemá nic publikovaného, nejsou technické. Jsou to otázky povědomí, vlastnictví a popostrčení.

Pokud jste se v článku o DMARC dostali až sem, už jen tím, že čtete, jste se z této skupiny vyřadili. Dalším krokem je publikování záznamu.

 
View full post