DMARC má vestavěný bezpečnostní mechanismus pro postupné zpřísňování politiky. Tento mechanismus se nazývá staged rollout neboli postupné zavedení: tento týden uplatníte nová pravidla na 25 % pošty, která neprošla ověřením, příští týden na 50 %, a o týden později na 100 %. Je to oficiální odpověď na otázku „jak to nasadit, aniž bych si rozbil legitimní poštu". V našem datasetu za Q1 2026 nasazuje 94,1 % domén, které zapínají quarantine, a 93,5 % domén, které zapínají reject, politiku rovnou na 100 % od prvního dne, takže tento bezpečnostní mechanismus prakticky nikdo nepoužívá. A jak se ukazuje, připravovaný standard DMARCbis (efektivně DMARC 2.0) jej chystá odstranit, pravděpodobně právě z tohoto důvodu.
Tento článek rozebírá zjištění o staged rolloutu z průmyslové zprávy DMARCeye za Q1 2026. Plnou zprávu se všemi 12 grafy a metodikou najdete níže.
Původní standard DMARC (RFC 7489 z roku 2015) zahrnoval pct= jako páčku pro bezpečné zavedení. Záměr byl jasný: když majitel domény přechází z p=none na p=quarantine nebo p=reject, mohl si nejprve nastavit pct=10. Přijímající servery by aplikovaly novou politiku na 10 % zpráv, které neprošly ověřením, a se zbylými 90 % by zacházely, jako by doména stále byla na p=none. Pokud by se něco rozbilo, projevilo by se to jen na malé části pošty a stihli byste to vrátit dřív, než by to napáchalo škodu.
Mechanismus byl navržený tak, aby snížil vnímané riziko přechodu k vynucování politiky. V teorii byste mohli postupně přitvrzovat: pct=10, sledovat reporty; pct=25, sledovat; potom pct=50; a nakonec pct=100. V praxi to ale prakticky nikdo nedělá.
U každé vynucující domény v našem datasetu (tedy domény na p=quarantine nebo p=reject) jsme se podívali, jestli má nastavený pct= a v jaké hodnotě:
pct=, nebo pct=100). 1,8 % v pozdní fázi nasazení (50-99 %). 3,0 % ve střední fázi (10-49 %). 1,1 % v rané fázi (1-9 %).Těch 6 %, kteří staged rollout používají, se shlukuje hlavně v pásmu 10-49 % (střední fáze). Tady byste čekali domény, které testují novou politiku na rozumné části pošty, než půjdou naplno. Pásmo rané fáze (1-9 %) je v podstatě prázdné: méně než 1,5 % domén začíná opatrně.
Q1 data ukazují co, ne proč. Tohle jsou vzorce, které vidíme napříč zákazníky, takže je berte jako poučené odhady:
p=none na vynucování, obvykle strávily týdny nebo měsíce čtením agregovaných reportů a ověřováním odesílatelů. Než přepnou přepínač, jsou si jisté, že legitimní pošta je správně nastavená. pct by je jen zdržoval bez jakéhokoliv přínosu.pct=. Defaultní workflow je „dokumentace na prvním místě": poznejte své odesílatele, opravte ty neověřené, a pak jeďte na 100 %.pct=10 znamená, že se s 90 % pošty, která neprošla ověřením, zachází tak, jako by se na ni politika nevztahovala. Pro některé týmy to popírá smysl: pokud chcete částečné vynucování, můžete zůstat na p=none. Buď vynucujete, nebo nevynucujete.pct= stejně. Standard říká „aplikujte politiku na pct % zpráv, které neprošly ověřením". Některé přijímající servery to interpretují striktně, jiné jen přibližně. Mechanismus se spoléhá na chování příjemce, které odesílatel nemůže ověřit.Připravovaná revize DMARCbis standardu (v době vydání zprávy za Q1 procházela revizí pracovní skupiny IETF) tag pct= úplně odstraňuje. Náhradou je binární testovací příznak t=y: doména je buď v testovacím režimu, nebo není, žádná páčka s procenty.
Důvody parafrázované z diskusí pracovní skupiny: pct= se ukázal jako funkce, kterou většina operátorů nepoužívá, příjemci ji aplikují nekonzistentně a je složité o ní uvažovat. Binární příznak t=y odpovídá skutečným vzorcům nasazení. Pokud majitelé domén nepřitvrzují postupně, standard by neměl předstírat, že ano.
Pokud jste plánovali použít pct= v budoucím nasazení, Q1 data spolu se směřováním DMARCbis říkají „přeskočte to". Těch 94 % vynucujících domén, které skočily rovnou na 100 %, se ukáže jako těch, kteří se rozhodli správně. Standard se mění tak, aby odpovídal tomu, co dělaly.
Pokud jste dnes na p=none a uvažujete o přechodu k vynucování, praktická cesta je tato:
p=quarantine na 100 %. Pošta, která neprojde, jde do spamu, ne do /dev/null. Sledujte reporty další týden nebo dva. Pokud jste krok 1 udělali správně, jediná pošta, která neprochází, je impersonace.p=reject na 100 %. Pošta, která neprošla ověřením, se přímo odmítne. Posun z quarantine na reject je neviditelný, pokud máte odesílatele čistě ověřené.Monitoring a analýza reportů vám přesně řeknou, co je ověřené a co ne. Jakmile to víte, páčku s procenty nepotřebujete.
Pokud nevíte, co vaše doména v tuto chvíli publikuje, nejrychleji to zjistíte níže. Zadejte svou doménu a uvidíte svůj DMARC záznam (a SPF a DKIM, pokud jsou publikované).
Čísla z Q1 2026 říkají, že vynucování DMARC prakticky nikdo postupně nepřitvrzuje. Revize DMARCbis říká, že je to správně. „Bezpečnostní mechanismus", kterým měl pct= být, se ukázal jako páčka, kterou většina operátorů ignoruje, částečně proto, že správný způsob, jak nasadit vynucování, je páčku s procenty vůbec nepotřebovat. Zdokumentujte si odesílatele. Ověřte je. Přepněte přepínač.