DMARCbis: co se mění, srozumitelně

DMARCbis, aktualizovaná verze standardu DMARC, je prakticky za dveřmi. Zveřejnění se očekává v roce 2026 a nahradí stávající specifikaci RFC 7489. Pokud provozujete doménu, ze které odchází e-maily, tady je srozumitelně, co pro vás nová verze reálně znamená.

DMARC je systém, který poskytovatelům schránek říká, jestli pošta, která se tváří jako z vaší domény, od vás opravdu je. Pokud ze své domény posílate faktury, newslettery, obnovu hesel nebo cokoliv jiného, je to právě DMARC, co brání podvodníkovi, aby se za vás vydával. Většina toho, co DMARCbis mění, je tiché pozadí. Jedna věc ale tichá není a týká se každého, kdo má doménu.

Krátká verze

Celá aktualizace v pěti bodech.

• Váš stávající DMARC záznam bude fungovat dál. Nemusíte ho měnit. Tag, který DMARC záznam identifikuje (v=DMARC1), zůstává stejný.
• Nástroj na postupné zavádění zásad se ruší. DMARC měl zabudovaný "stmívač", který měl umožnit zvyšovat ochranu postupně - aplikovat pravidla třeba na 10 % podezřelé pošty, pak přidat, pak dotáhnout na 100 %. Stmívač nikdy pořádně nefungoval. DMARCbis ho vyhazuje.
• Část vnitřního potrubí se mění. Poskytovatelé schránek dříve spoléhali na externí seznam, aby poznali, kde končí vaše organizační doména. Nově se zeptají rovnou DNS. Většina vlastníků domén si ničeho nevšimne.
• Nové oficiální doporučení pro domény s mailing listy. Pokud lidé z vaší domény píší do mailing listů (seznamy open-source projektů, oborová fóra, newslettery asociací), netočte DMARC úplně na doraz - listy to rozbije.
• Pár zřídka používaných tagů se přejmenovává nebo ruší. Vašemu záznamu je to jedno. Funguje dál.

Zbytek článku je o stmívači, protože to je změna, na které záleží.

Změna, na které opravdu záleží

Představte si DMARC jako tři polohy.

• Vypnuto (výchozí p=none): žádná pravidla se neaplikují. Chodí vám reporty, ale poskytovatelé schránek s podezřelou poštou nic nedělají.
• Karanténa (p=quarantine): podezřelá pošta jde do spamu.
• Odmítnout (p=reject): podezřelá pošta se zablokuje, aniž by se k někomu dostala.

Přepnout z "vypnuto" rovnou na "odmítnout" je ten riskantní krok. V momentě, kdy přehodíte páčku, začne se tiše blokovat každý odesílatel, na kterého jste zapomněli - platební brána, starý marketingový nástroj, dávno zapomenutý CRM systém, nepoužívaná fakturační platforma. Skutečné zprávy mizí. Zákazníci nedostanou doklad, který čekali. Přesně tohle drží většinu týmů roky na poloze "vypnuto".

Stará specifikace DMARC měla funkci, která tomu měla zabránit. Jmenovala se tag pct a fungovala jako stmívač. Mohli jste poskytovatelům schránek říct: "pravidlo odmítnutí aplikuj první týden jen na 10 % podezřelé pošty, pak zvyš na 50 %, pak na 100 %." V teorii byste cestou odhalili zapomenuté odesílatele, aniž byste rozbili všechno najednou.

V praxi stmívač nefungoval. Různí poskytovatelé schránek si procenta vykládali jinak a mnozí dílčí nastavení vůbec neaplikovali. Naše interní data ukazují, že tag pct se používal správně jen zřídka a napříč většinou domén se nepoužíval vůbec. Publikovali jste pct=10 a doufali; jaké procento pošty pravidlo reálně dostalo, zůstávalo hádankou.

DMARCbis stmívač ruší úplně. Nejbližší náhrada je nový binární přepínač, tag t: "testovací režim" (se zásadou odmítnutí zachází, jako by šlo o karanténu) nebo "plné vynucování" (výchozí stav). Žádné procento. Žádný plynulý přechod. Jen zapnuto, nebo vypnuto.

Nová specifikace nenahrazuje stmívač funkční verzí. Vyhazuje nefunkční nástroj a problém postupného zavádění nechává na vás.

Nudné změny, stručně

Pokud vás zajímají zbývající kousky:

• Otázku "kde končí vaše doména" nově zodpovídá DNS, místo externího seznamu jménem Public Suffix List. Pro běžné uživatele s jednou doménou se v praxi nemění nic. Pokud provozujete platformu, která zákazníkům vydává vlastní subdomény (hosting, tvorba webů, platební služba), nebo pokud vaše doména leží pod neobvyklým veřejným sufixem, má smysl zkontrolovat, že se vaše DMARC záznamy vyhodnocují tak, jak čekáte.
• Pravidlo k mailing listům je teď oficiální. Nová specifikace výslovně varuje před plnou zásadou odmítnutí na doménách s aktivním provozem na mailing listech. Důvod je stejné provozní trápení, které zná každý správce listů: mailing listy přepisují hlavičky způsobem, který DMARC rozbíjí, a zásada odmítnutí pak trestá nevinné odběratele. Obvyklé řešení je vyčlenění - dát provoz listů na samostatnou subdoménu s volnější zásadou.
• Pár přejmenování tagů. Tři staré tagy (pct, rf, ri) mizí. Tři nové (psd, np, t) přicházejí. Kdo chce celou specifikaci, najde ji v dokumentu draft-ietf-dmarc-dmarcbis-41. Pro všechny ostatní: vašemu stávajícímu záznamu je to jedno.

Co DMARCbis neřeší

Odstranění stmívače je upřímný krok. Funkce nefungovala a nová specifikace nepředstírá, že fungovala. Základní problém to ale neřeší.

Tady je to, co vidíme napříč snapshotem z Q1 2026 u domén, které aktivně sledujeme na platformě DMARCeye.

• Čtyři z deseti domén s nastaveným DMARC uvízly v režimu "jen se dívám", někdy i roky. Zapnutá pravidla? Žádná. Ochrana proti spoofingu? Nulová. Dali si práci s nastavením DMARC i s instalací monitorovacího nástroje, a pořád nic neblokují.
• Z domén, které blokují, devatenáct z dvaceti přepnulo páčku najednou, rovnou na 100% vynucování bez zkušebního provozu. U většiny to dopadne dobře. U těch ostatních je prvním varovným signálem obvykle zákazník, který se ptá, proč nedostal doklad.

Dva výsledky, jedna příčina. DMARC nenabízí žádnou fungující střední cestu mezi sledováním a blokováním. Funkce, která měla mezeru překlenout, byla nespolehlivá, a DMARCbis ji ruší, aniž by ji nahradil něčím, co funguje.

Co byste měli dělat

Pro většinu vlastníků domén je odpověď: nic naléhavého. Tady je delší verze podle toho, v jaké situaci jste.

• Pokud jste DMARC nikdy nenastavili: nastavte si ho v režimu "jen se dívám". Začnou vám chodit reporty, kde uvidíte každého odesílatele, který se za vaši doménu vydává. Na DMARCbis nemusíte čekat. Záznam, který zveřejníte dnes, funguje i po zavedení nové specifikace.
• Pokud jste v režimu "jen se dívám" uvízli nadlouho: DMARCbis vaši situaci nemění. Důvod, proč se nehýbete, není specifikace - je to absence bezpečného způsobu, jak překročit propast. Nástroje, které vám ukážou, co by se rozbilo ještě než přepnete, mají cenu víc než kdy jindy.
• Pokud jste používali stmívač (tag pct) pro postupné zavádění: váš záznam zůstává platný, ale poskytovatel schránek odpovídající DMARCbis bude s vaším záznamem pct<100 zacházet, jako by byl na 100 %. Naplánujte přechod hned teď. Nejbližší náhrada je nový testovací režim t=y.
• Pokud má vaše doména aktivní mailing listy: nové oficiální doporučení berte vážně. Plná zásada odmítnutí na doméně s provozem listů rozbije legitimním odběratelům poštu. Většina týmů to řeší vyčleněním - provoz listů dostane vlastní subdoménu s volnější zásadou.

Co po vás přechod vlastně chce

Nic naléhavého. DMARC je po DMARCbis pořád DMARC a záznam, který dnes publikujete, bude akceptován i v den, kdy nová specifikace dostane razítko. Co se mění, je spíš přístup než technika: berte přechod z "dívání" na "blokování" jako problém, který budete muset vyřešit přehledem a nástroji, ne zabudovanou funkcí specifikace.

Nástroje, které hlídají vaše DMARC reporty, upozorní na neznámé odesílatele dřív, než blokování zapnete, a srozumitelně řeknou, co by se pod přísnější zásadou rozbilo, získávají na hodnotě tím víc, čím přísnější je sám standard. DMARCeye je postavený přesně pro tuto roli. Naše bezplatné online nástroje (DMARC konfigurátor, checkery SPF, DKIM a BIMI) pokryjí nastavovací část do deseti minut.

Vyzkoušejte DMARCeye zdarma ještě dnes a podívejte se, co vaše DMARC reporty o vaší doméně skutečně říkají, ještě než se specifikace posune.