DMARC se mění. Co to znamená pro vás?

Pro každého, kdo má DMARC nastavený - ale vlastně neví, proč tam je.

Možná jste to zaznamenali - někdo zmínil zkratku „DMARCbis" a řekl, že se něco mění. Možná vám to napsal váš IT člověk, možná jste to viděli v newsletteru o e-mailingu. Ať tak či tak, napadlo vás: „Co to sakra je a musím něco dělat?"

Odpověď na tu druhou otázku je: zatím nic - nový standard ještě nemá stanovené datum vydání. Ale stojí za to vědět proč, a co vás čeká, až datum bude.

Rychlý návrat na začátek: co vlastně DMARC dělá?

Vzpomínáte, jak jste před časem řešili doménu a někdo vám řekl, ať přidáte do DNS nějaké záznamy - SPF, DKIM, DMARC? Možná jste to udělali, možná to udělal někdo za vás, a od té doby o tom nepřemýšlíte.

DMARC je v podstatě ochrana před padělky. Bez něj může kdokoli poslat e-mail, který vypadá, že přišel z vaší domény - třeba info@vasfirma.cz. S DMARC nastavením řeknete světu: „E-maily z mojí domény musí splňovat určitá pravidla. Jinak je označte jako podezřelé nebo rovnou zahodte."

E-mailové servery (Gmail, Seznam, Outlook…) tento záznam čtou a podle něj rozhodují, co udělají s e-mailem, který se za vás vydává.

Takže co je to DMARCbis?

DMARCbis je aktualizovaná verze pravidel, podle kterých DMARC funguje. Myšlenka „bis" v názvu pochází z latinštiny a jednoduše znamená „druhý" nebo „revidovaný" - jako když se druhé vydání knihy jmenuje Název knihy bis.

Nový standard se očekává v roce 2026, ale přesné datum zatím není stanoveno. Až vyjde, nahradí původní verzi z roku 2015.

Co se konkrétně mění?

1. Váš stávající záznam funguje dál

To nejdůležitější na začátek: nic měnit nemusíte. Záznam, který máte v DNS dnes, bude platit i po změně standardu.

2. Odstraňuje se funkce, která stejně nefungovala

Tohle je hlavní změna - a abychom ji vysvětlili, potřebujeme malou analogii.

Představte si, že máte DMARC jako světelný stmívač. Máte tři polohy:

• 🔘 Vypnuto - podezřelé e-maily projdou normálně, vy jen dostáváte hlášení. Technicky: p=none
• 🟡 Opatrně - podezřelé e-maily jdou do spamu. Technicky: p=quarantine
• 🔴 Plná ochrana - podezřelé e-maily se zahodejí úplně. Technicky: p=reject

Přejít rovnou z „vypnuto" na „plná ochrana" je trochu riskantní. Možná posíláte e-maily i přes nástroje, na které jste zapomněli - třeba starý fakturační systém nebo nástroj na newslettery. Pokud nejsou správně nastavené, zákazníci přestanou jejich e-maily dostávat.

Původní DMARC standard měl řešení: postupný přechod. Mohli jste říct: „Zatím aplikuj pravidla jen na 10 % e-mailů, pak na 50 %, pak na 100 %." Jenže tohle ve skutečnosti nefungovalo. Různé e-mailové servery to implementovaly různě, mnohé to ignorovaly úplně.

DMARCbis tuto funkci ruší. Místo stmívače máte jen přepínač: buď testovací režim, nebo plná ochrana. Žádná procenta.

3. Mění se, jak e-mailové servery chápou strukturu vaší domény

Tohle je techničtější změna, ale vyplatí se ji pochopit - zvlášť pokud máte složitější strukturu domén.

Každá doména má svůj „strom". Třeba newsletter.vasfirma.cz je větev domény vasfirma.cz. DMARC záznam hlavní domény se automaticky vztahuje i na subdomény - pokud pro ně nemáte nastavený vlastní záznam.

Dřív e-mailové servery používaly k pochopení této struktury externí seznam - veřejně spravovaný dokument zvaný Public Suffix List, který říkal, kde která doména „začíná". Problém byl, že tento seznam není vždy aktuální. DMARCbis to řeší elegantněji: servery se budou ptát přímo DNS. Výsledek je spolehlivější a předvídatelnější.

Co to znamená pro vás? Pokud máte jednu doménu a nic složitého, pravděpodobně vůbec nic. Pokud ale provozujete více subdomén (třeba obchod.vasfirma.cz, podpora.vasfirma.cz), je dobré zkontrolovat, jestli máte DMARC záznamy nastaveny tak, jak očekáváte.

Jak zjistit, co vlastně máte nastaveno?

Než budete řešit, co dělat dál, stojí za to vědět, kde jste teď. Nejjednodušší způsob je použít DNS checker od DMARCeye - zadáte svoji doménu a hned vidíte, jaký DMARC záznam máte, co znamená, a jestli je správně nastavený. Zdarma, bez registrace, výsledek za pár sekund.

Proč tedy všichni říkají, že se něco mění?

Protože to je skutečně zajímavý moment v historii e-mailové bezpečnosti - ale novinářsky se to prodává víc, než to fakticky znamená pro většinu uživatelů.

Důležitější zpráva než „mění se standard" je tahle: velká část domén má DMARC nastaven, ale žádnou reálnou ochranu neposkytuje. Jsou zaseknuté v režimu „jen sleduji" - někdy roky. Pokud chcete skutečnou ochranu, nestačí mít DMARC nastavený. Je potřeba vědět, co vaše reporty říkají, a postupně - bezpečně - přejít na přísnější nastavení.

DMARC reporty jsou technické, přicházejí v XML souborech, a bez nástroje jsou prakticky nečitelné. DMARCeye je nástroj, který tyto reporty čte za vás a řekne vám v normálním jazyce: kdo posílá e-maily vaším jménem, jestli jsou všechny vaše nástroje správně nastavené, a co by se stalo, kdybyste dnes zpřísnili ochranu. Začít lze zdarma.

Co udělat teď?

Nic urgentního - datum vydání nového standardu zatím není stanoveno, žádný deadline nehrozí.

1. Zjistěte, co máte nastaveno. Použijte DNS checker, trvá to minutu.
2. Pokud máte subdomény, zkontrolujte, jestli jsou pokryté správnými záznamy. DMARCbis mění způsob, jak servery jejich strukturu čtou.
3. Pokud jste na p=none roky, je čas zvažovat přechod. Opatrně a s přehledem - nástroj jako DMARCeye vám ukáže cestu bez zbytečného rizika.

Pokud chcete detaily na úrovni specifikace o všem, co se v DMARCbis mění, podívejte se na doprovodný článek: DMARCbis: co se mění a co to znamená pro váš DMARC záznam.

Vyzkoušejte DMARCeye zdarma ještě dnes a zjistěte, co vaše DMARC reporty skutečně říkají.