DMARC podle poskytovatele DNS: co ukazují data z Q1 2026

Poskytovatel DNS, který hostuje záznamy vaší domény, formuje vaši DMARC pozici dříve, než vůbec zveřejníte první záznam. Podle průmyslové zprávy DMARCeye za Q1 2026 hostuje Cloudflare zhruba čtvrtinu všech monitorovaných domén a dosahuje 99,08 % autentizační compliance; Azure DNS naproti tomu drží 1,17 % identifikovaných domén a končí na 87,66 % - jako jediný velký DNS poskytovatel pod hranicí 93 %, kterou zpráva označuje jako "watch". Rozptyl mezi top 10 jmenovanými poskytovateli je dost velký na to, aby stálo za to mu rozumět.

Tento článek rozebírá jeden pohled ze zprávy za Q1 2026: top 10 DNS poskytovatelů podle podílu na trhu a autentizační compliance. Čísla odrážejí výsledky napříč několika tisíci doménami, které DMARCeye aktivně monitoruje. Obraz pro širší prostor nemonitorovaných domén je téměř jistě jiný a pravděpodobně horší.

Co znamená "DNS poskytovatel" pro DMARC

DMARC žije v DNS. Když přijímající poštovní server kontroluje, zda zpráva hlásící se jako z example.com je autentická, pošle dotaz do DNS na _dmarc.example.com a přečte si politiku z TXT záznamu. Kdokoli ten DNS provozuje, je DNS poskytovatel, tedy firma, která odpovídá na dotaz "jaká je DMARC politika této domény?" Mezi běžné poskytovatele patří Cloudflare, GoDaddy, Amazon AWS Route 53 a Microsoft Azure DNS.

Krátká poznámka k terminologii. Váš DNS poskytovatel nemusí být ta samá firma, u které jste si doménu koupili (váš registrátor). Mnoho malých firem nechává DNS hostovaný u registrátora ve výchozím nastavení (GoDaddy je například registrátor i DNS poskytovatel zároveň). Jiné aktivně přesouvají DNS k vyhrazenému poskytovateli, jako je Cloudflare nebo AWS Route 53, kvůli výkonu nebo funkcím. Rozdíl je pro DMARC důležitý, protože každý autentizační záznam (SPF, DKIM, DMARC) žije ve vrstvě DNS, a operátor, který zvolil, kde hostovat DNS, je obvykle ten samý, kdo tyto záznamy nastavil.

Nejste si jistí, u jakého poskytovatele jste? Bezplatný DNS checker od DMARCeye vám to řekne během několika vteřin, spolu s tím, jaké autentizační záznamy má vaše doména zveřejněné.

Top 10 DNS poskytovatelů podle podílu na trhu a compliance

Průmyslová zpráva za Q1 2026 měřila autentizační compliance napříč top 10 DNS poskytovateli, seřazenými podle podílu na všech monitorovaných doménách, u kterých bylo možné poskytovatele identifikovat. Compliance je zde procento zpráv z domén každého poskytovatele, které projdou DMARC autentizací, vážené objemem e-mailů.

V datech vyčnívají tři skupiny:

• Špička, nad 99 % compliance: AWS Route 53 vede s 99,51 %, následuje Namecheap (99,35 %) a Cloudflare (99,08 %). Porkbun sedí těsně pod nimi s 98,48 %. Tyto poskytovatele si lidé obvykle vybírají záměrně, nikoli je dědí z výchozího nastavení registrátora, a populace domén, které je používají, se přiklání k operátorům, kteří si SPF, DKIM a DMARC nastavili pečlivě.
• Střední vrstva, 96 až 97 % compliance: Většina jmenovaných poskytovatelů se shlukuje právě tady. IONOS (96,99 %), Google Cloud DNS (96,96 %), OVH DNS (96,39 %) a GoDaddy (96,13 %) všichni leží v rozpětí jednoho procentního bodu od sebe. GoDaddy je zároveň registrátor i DNS poskytovatel a mnoho domén u něj hostovaných tam přišlo ve výchozím nastavení při registraci, ne záměrným přesunem.
• Jeden outlier: Azure DNS na 87,66 %, hluboko pod hranicí 93 %, kterou zpráva označuje jako "watch". Další nejhorší jmenovaný poskytovatel je více než 8 procentních bodů nad ním.

Řádek "všichni ostatní poskytovatelé" pokrývá 40,77 % identifikovaných domén s 97,80 % compliance. Jmenovaní poskytovatelé pokrývají zbylých zhruba 60 % a právě tam je rozptyl dost široký, aby stál za probrání.

Proč Azure DNS sedí na 87,66 %, zatímco všichni ostatní překračují 96 %

Azure DNS je jediný velký poskytovatel v datasetu pod hranicí 93 %, kterou zpráva označuje jako "watch". Proč? Tady jsou některé možné důvody (v našich datech neprokázané):

• Azure DNS se nejčastěji používá uvnitř prostředí Microsoft 365 a Azure, kde je poštovní infrastruktura vrstvená. Exchange Online, relay služby třetích stran, on-premise forwardery, automatizovaní tenanti a sdílené schránky všichni odesílají pod stejnou doménou. DNS hosting je přímočarý; složitá je strana odesílání. Dvě související zjištění z Q1 ukazují, jak tahle složitost vypadá v praxi: naše analýza sending footprintu ukazuje, že komplexní domény mohou současně provozovat desítky různých odesílajících IP adres, a naše porovnání variability compliance napříč ESP ukazuje, že domény, které směrují poštu přes mnoho e-mailových platforem, se shlukují u nižší autentizační míry.
• Mix zákazníků na Azure DNS se přiklání k enterprise segmentu. Enterprise odesílá širší škálu typů pošty přes širší škálu cest než malá firma běžící na Cloudflare. Více pohyblivých částí znamená více míst, kde může autentizace selhat.
• DMARC compliance ve zprávě se měří per zpráva a váží se objemem e-mailů. Malý počet vysokoobjemových domén hostovaných na Azure s autentizačními mezerami může stáhnout agregát dolů víc, než by samotný počet postižených domén naznačoval.

Žádný z těchto bodů není ze samotného grafu testovatelný. Jsou to vzorce, které vidíme napříč zákaznickými nastaveními, nikoli zjištění z datasetu. Pokud je vaše doména na Azure DNS, číslo compliance, na kterém záleží, je vaše vlastní, ne průměr.

Co to znamená pro vaše nastavení

Pohled podle DNS poskytovatele je nejvíc akční pro dvě role čtenářů:

Pokud jste agentura nebo IT poskytovatel, který spravuje DNS napříč mnoha doménami klientů, je tabulka poskytovatelů vstupem pro plánování. AWS Route 53 i Cloudflare v datasetu překračují 99 % compliance; výchozí nastavení registrátora, které je svázané s mnoha doménami (GoDaddy, IONOS), se shlukuje kolem 96 %. Rozdíl 3 procentních bodů je rozdíl mezi "skoro všechny zprávy projdou" a "jedna z 25 neprojde". U klientů na p=reject má tato mezera přímý dopad na deliverabilitu. Volba, kde hostovat DNS napříč portfoliem klientů, je rozhodnutí o deliverabilitě, ne jen o infrastruktuře.

Pokud děláte enterprise IT a píšete governance pro DNS hosting, fakt, že Azure DNS končí na 87,66 %, neznamená, že Azure DNS je rozbitý. Znamená to, že Azure DNS je koncentrovaný v prostředích, kde je poštovní infrastruktura složitější, než by samotné DNS nastavení naznačovalo. Řešení není "přejít pryč z Azure"; je v tom uvědomit si, že složitá poštovní prostředí potřebují víc autentizačního dohledu, ne míň. Berte průměr datasetu jako podlahu, vůči které srovnávat vlastní nastavení, ne jako benchmark toho, co je možné.

Tak jako tak, míra compliance, na které vám doopravdy záleží, je vaše vlastní, ne agregát. Začněte tím, že si zkontrolujete, jaký DMARC záznam má vaše doména právě teď zveřejněný:

Pokud chcete vidět compliance rozloženou podle odesílajícího zdroje - které poštovní platformy procházejí pro váš provoz a kde se objevují autentizační mezery - musíte zpracovávat DMARC reporty v čase. Bezplatný plán DMARCeye pokrývá jednu doménu s plným parsingem reportů, což stačí na to, abyste viděli, jestli vaše vlastní compliance spadá do horní vrstvy, střední vrstvy, nebo pod hranici watch.

Závěr

Data za Q1 2026 ukazují téměř 12bodový rozptyl napříč top 10 jmenovanými poskytovateli, od AWS Route 53 na 99,51 % po Azure DNS na 87,66 %. Ten rozptyl není proto, že by se podkladová technologie významně lišila. Je to proto, že volba DNS poskytovatele kopíruje záměr operátora: lidé, kteří si zvolili AWS Route 53 nebo Cloudflare místo výchozího nastavení registrátora, si zpravidla také pečlivě nastavili autentizaci, a tato péče se v číslech compliance projevuje.

Pokud už DMARC monitoring provozujete, je tohle kontext pro vaše vlastní čísla, ne benchmark. DMARCeye parsuje vaše DMARC reporty a řekne vám pro vaši konkrétní doménu, co prochází, co selhává a co opravit jako další, aniž byste museli sami interpretovat surové XML.