DMARCbis, první kompletní aktualizace standardu DMARC od roku 2015, je nyní oficiální. Vyšel 19. května 2026 jako tři nové RFC (9989, 9990 a 9991), nahrazuje RFC 7489 a posouvá DMARC na standards track IETF. Většina změn nevyžaduje okamžitou akci, ale jedno doplnění stojí za to udělat: nový tag np=, který zavírá mezeru ve spoofingu subdomén, jež starý standard nechával otevřenou.
DMARC je standard, který přijímajícím serverům říká, jak naložit s poštou, která neprojde autentizačními kontrolami. Pokud ho už provozujete na p=quarantine nebo p=reject, schválení DMARCbis nerozbije nic, co máte publikované. Tišší změny, mezi něž patří odstranění tagu pct a odklon od Public Suffix Listu, rozebíráme ve srozumitelném průvodci tím, co DMARCbis znamená pro vás. Tento článek je o tom jednom doplnění, které má smysl řešit už dnes.
Kliknutím na odkazy přeskočíte na konkrétní sekci.
DMARCbis není jediný dokument. Vyšel jako tři samostatné RFC, z nichž každé pokrývá jednu část standardu:
Dohromady tyto RFC nahrazují RFC 7489 - specifikaci z roku 2015, která DMARC definovala až doposud. Zároveň zvyšují status standardu, a u téhle části stojí za to být přesný. RFC 7489 bylo klasifikováno jako Informational, což znamená, že DMARC dokumentovalo, ale neneslo podporu standards tracku IETF. DMARCbis vychází jako Proposed Standard, což je pojmenovaná úroveň zralosti, kterou IETF přiděluje schválenému dokumentu na standards tracku. Navzdory slovu „Proposed" jde o hotový, oficiální standard, ne o návrh nebo rozdělanou práci, a je to vstupní příčka standards tracku, za kterou se mnoho běžně používaných internetových protokolů nikdy nedostane. V praxi to signalizuje zralost, ne novou povinnost. Standardu to dává pevnější půdu pod nohama při výběrových řízeních a v compliance prostředí, kde Informational dokument vyvolával otázky, ale zatím to po vás nevyžaduje sáhnout na záznam, který už funguje.
DMARC umožňuje nastavit jednu zásadu pro vaši hlavní doménu (tag p=) a samostatnou zásadu pro vaše subdomény (tag sp=). Háček je v tom, že sp= řídí jen subdomény, které ve vašem DNS existují. O subdoménách, které nikdy nevznikly, neříká nic.
A právě tuhle mezeru útočníci využívají. Podvodník může poslat poštu z ucetnictvi.vasznacka.cz nebo mzdy.vasznacka.cz - adres, které jste nikdy nevytvořili a které nemají žádné DNS záznamy. Protože taková subdoména vrací to, čemu se ve světě DNS říká odpověď NXDOMAIN (žádné takové jméno), někteří příjemci historicky brali absenci záznamu jako absenci zásady a zprávu propustili.
Většina domén tohle nechává odkryté. V průmyslové zprávě DMARCeye za Q1 2026 ani mezi doménami s plným prosazováním (p=reject) nedeklaruje žádnou zásadu pro subdomény 65,15 %. U p=none je to 86,67 %. Doména může být na nejvyšší úrovni dokonale uzamčená a útočníkům přitom nabízet otevřené dveře o jednu nálepku vlevo.
Kompletní rozpad zásad pro subdomény spolu se zbytkem datové sady za Q1 2026 najdete ve zprávě:
Tag np= nastavuje DMARC zásadu konkrétně pro neexistující subdomény, tedy pro libovolnou subdoménu, která nevrací žádné DNS záznamy. Je to chybějící druhá polovina sp=.
Když je np= publikované, přijímající server vyhodnocující poštu z vymyšlené subdomény postupuje v jasném pořadí. Nejdřív hledá zásadu np=. Pokud žádná není nastavená, vrací se k sp=. Pokud chybí i to, vrací se k hlavní zásadě p=. Nový tag odstraňuje nejednoznačnost, která dřív poště z podvržených subdomén umožňovala proklouznout.
Pro většinu domén je správná hodnota np=reject. Subdoména, která neexistuje, neposílá žádnou legitimní poštu, takže odmítnutí všeho, co se tváří, že z ní přichází, vás nestojí nic a zavírá dveře celé jedné kategorii impersonace. Záznam, který už zní v=DMARC1; p=reject;, se jedním doplněním změní na v=DMARC1; p=reject; np=reject;. Stejná logika platí pro existující subdomény přes sp= a náš průvodce tagem sp= pro zásady subdomén rozebírá, kdy nastavit který z nich.
np= ale pomáhá teprve ve chvíli, kdy ho přijímající server respektuje. Jako úplně nový tag se jeho podpora teprve postupně zavádí napříč poskytovateli schránek, takže publikovat ho teď je dopředná pojistka, ne okamžitá oprava.
Zadejte svou doménu a podívejte se na DMARC záznam, který dnes publikujete, včetně případného tagu sp= nebo np=, který už máte na místě:
Aktualizaci doplňují dvě další změny, i když ani jedna od vás dnes moc nežádá.
Tag pct je pryč. Měl umožnit aplikovat zásadu vždy jen na určité procento vaší pošty, ale přijímající servery ho implementovaly nekonzistentně. V datové sadě DMARCeye za Q1 2026 ho 94,11 % domén s p=quarantine a 93,51 % domén s p=reject už beztak ignorovalo a od prvního dne prosazovalo na plnou sílu. DMARCbis ho nahrazuje jednodušším příznakem t= (testing). Celý výklad toho, proč postupné zavádění jako stmívač nikdy nefungovalo, najdete v našem průvodci tím, co DMARCbis znamená pro vás.
DMARC se také přestal opírat o Public Suffix List při určování, kde leží hranice domény organizace. Místo toho teď prochází DNS přímo. Majitelé jedné domény rozdíl nepoznají. Provozovatelé rozsáhlých struktur subdomén by si měli ověřit, že se jejich záznamy stále vyhodnocují tak, jak očekávají.
Jak moc na vás np= dopadá, závisí na tom, co provozujete.
Pokud provozujete jednu doménu nebo malou firmu: přidání np=reject je jednořádková změna bez nevýhod a zavírá cestu k impersonaci, která nezávisí na tom, jestli si vzpomenete na každou subdoménu, kterou jste kdy vytvořili. Pokud si vlastní DNS nespravujete sami, je to úkol pro toho, kdo to dělá: obvykle váš registrátor domény (firma, u které jste doménu koupili, například GoDaddy nebo Namecheap), váš webhosting, nebo IT externista či agentura, která vám nastavovala e-mail. Pošlete jim záznam, který chcete publikovat, v=DMARC1; p=reject; np=reject;, a požádejte je, aby ho na vaší doméně přidali nebo upravili.
Pokud provozujete e-shop nebo marketingové domény: podvržené subdomény jsou problém důvěry ve značku stejně jako problém bezpečnosti, protože přesvědčivá fakturace.vasznacka.cz přistane v zákaznických schránkách a vypadá přesně jako vy. Spárujte np=reject s aktivním monitoringem, abyste viděli, které zdroje pod vaší doménou posílají, ještě než cokoli utáhnete. Bezplatný plán DMARCeye pokryje jednu doménu s plným parsováním reportů, což na začátek stačí.
Pokud jste agentura nebo MSP: np=reject je rychlé a obhajitelné vítězství, které můžete zavést napříč všemi klientskými doménami, jež spravujete. DMARCeye každý klientský účet odděluje samostatně, takže váš tým může sledovat stav subdomén napříč celým portfoliem z jedné konzole, zatímco každý klient vidí jen vlastní data.
Pokud provozujete firemní e-mailovou infrastrukturu: berte np= jako součást správy subdomén. Udělejte si inventuru toho, které business jednotky vlastní které subdomény, nastavte sp= pro ty, které legitimně posílají, a pro všechno ostatní nastavte np=reject, jak budete tuto změnu zařazovat do svého příštího DMARC přezkumu.
To, že se DMARCbis stal oficiálním standardem, nevynucuje žádnou změnu DMARC záznamu, který už funguje. Co dělá, je formalizace opravy mezery, kterou většina domén stále nechává otevřenou: podvržená subdoména, která nikdy nevznikla. Tag np= je nová páka a np=reject je pro většinu domén bezpečné výchozí nastavení. Jediný způsob, jak zjistit, jestli ho potřebujete, je podívat se, co vaše doména dnes publikuje.
Přesně pro tento přehled je DMARCeye stavěný. Čte DMARC reporty, které vaše doména dostává, a srozumitelně vám ukáže, které zdroje posílají pod vaším jménem a kde vás vaše zásada nechává odkryté.