DMARCeye blog

Jak řešit a opravovat problémy s DMARC

Written by Jack Zagorski | 29.10.2025 15:23:19

Po zavedení záznamu DMARC se nezřídka objeví problémy. E-maily, které se dříve doručovaly v pořádku, mohou najednou skončit ve spamu, někteří legitimní odesílatelé mohou selhat při ověřování nebo si můžete všimnout podivných výsledků v hlášeních.

DMARC přináší účinnou ochranu proti podvrženým zprávám, ale vyžaduje také přesnost. Jediná syntaktická chyba nebo špatně zarovnaná doména může způsobit selhání v celém vašem e-mailovém systému.

Tento průvodce vás krok za krokem provede nejčastějšími problémy DMARC, poradí vám, jak je identifikovat a jak je odstranit. Ukážeme vám také, jak vám DMARCeye může tento proces usnadnit a urychlit.

Kompletní přehled a plán implementace DMARC, od nastavení až po průběžné monitorování a další kroky, najdete v našem průvodci monitorováním a dodržováním DMARC.

Běžné problémy DMARC a jejich řešení

Níže uvádíme šest nejčastějších problémů souvisejících s protokolem DMARC a návod, jak je identifikovat a odstranit jak ručně, tak prostřednictvím ovládacího panelu DMARCeye.

1. Selhání SPF

Symptomy: V případě, že je SPF v rozporu se zákonem o ochraně osobních údajů, je třeba jej odstranit:

  • Vaše hlášení DMARC zobrazují "spf=fail" pro známé odesílatele.
  • Legitimní zprávy jsou umístěny do karantény nebo odmítnuty.

Příčiny:

  • Chybějící nebo neaktuální IP adresy v záznamu SPF.
  • E-mail odeslaný od poskytovatele třetí strany (např. CRM, marketingová platforma, ticketovací systém), který není zahrnut v SPF.
  • Více záznamů SPF ve vašem DNS.

Oprava:

  • Pomocí vyhledávacího nástroje nebo nástroje pro monitorování DMARC zjistěte, u kterých odesílatelů SPF selhává.
  • Zjistěte, zda jsou tito odesílatelé legitimní. V nástroji DMARCeye se neúspěšné IP adresy zobrazí jako odlišné zdroje odesílání označené červenou nebo oranžovou barvou.
  • Pokud jsou legitimní, přidejte do záznamu SPF prohlášení o zahrnutí odesílatele. Příklad:
    v=spf1 include:_spf.google.com include:sendgrid.net -all
  • Po aktualizaci DNS sledujte trend průchodnosti SPF, abyste zjistili, zda je problém vyřešen.

Příznaky:

  • Zprávy DMARC zobrazují "dkim=fail" i pro důvěryhodné odesílatele.
  • Přijímající server nemůže ověřit váš podpis DKIM.

Příčiny:

  • Klíč DKIM nebyl správně publikován v systému DNS.
  • V konfiguraci používáte nesprávný selektor.
  • E-mailová služba změnila nastavení DKIM a váš DNS nebyl aktualizován.

Oprava:

  1. Zkontrolujte, zda je váš záznam DKIM živý a správný. Zkontrolujte jej pomocí své domény a selektoru (např. selektor1._domenakey.yourdomain.com).
  2. Zkontrolujte, zda záznam začíná slovy:
    v=DKIM1; k=rsa; p=...
  3. Pokud záznam chybí nebo je poškozen, vygenerujte a znovu zveřejněte nový klíč DKIM.
  4. Znovu odešlete testovací zprávu a ověřte, zda prošla ověřením DKIM.

3. Problémy se zarovnáním

Symptomy: V případě, že se jedná o chybu, je nutné provést kontrolu DKIM:

  • SPF i DKIM projdou, ale DMARC stále selhává.
  • Doména "header from" neodpovídá doménám v záznamech SPF nebo DKIM.

Příčiny:

  • Příčiny: Špatně zarovnané subdomény (např. mailer.yourdomain.com vs. yourdomain.com).
  • Odesílatelé třetích stran používají v hlavičkách své vlastní domény místo vašich.

Oprava:

  1. Zkontrolujte nastavení zarovnání DMARC:
    aspf=r; adkim=r
  2. "r" znamená uvolněné zarovnání (subdomény jsou povoleny). Pokud uplatňujete přísné zarovnání(aspf=s; adkim=s), domény se musí přesně shodovat.
  3. Pokud používáte více subdomén nebo odesílatele třetích stran, zarovnání uvolněte.
  4. Pokud dáváte přednost přísnému zarovnání, nakonfigurujte každý systém tak, aby e-maily podepisoval přesnou doménou.

4. Chyby syntaxe záznamů DMARC

Symptomy: V případě, že je v systému DMARC zadán kód DMARC, je třeba jej odstranit:

  • Zprávy nepřicházejí.
  • Testovací nástroje zobrazují "neplatný záznam DMARC".
  • Poskytovatelé poštovních schránek ignorují vaše zásady.

Příčiny:

  • Chybějící středníky, překlepy nebo chybně naformátované značky.
  • Omylem přidané uvozovky nebo zalomení řádků.

Oprava:

  1. Zkopírujte záznam DMARC do validátoru (například dmarcian.com nebo MxToolbox).
  2. Zkontrolujte, zda dodržuje správný formát:
    v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; aspf=r; adkim=r
  3. Odstraňte všechny zbytečné mezery nebo zalomení řádků.
  4. Znovu uveřejněte a otestujte.

5. Chybějící autorizace třetích stran

Symptomy: V případě, že se jedná o třetí stranu, je nutné, aby se tato strana přihlásila do systému:

  • Některé služby (například CRM nebo newslettery) trvale selhávají při DMARC.
  • IP adresy stejného dodavatele se v hlášeních objevují jako neúspěšné zdroje.

Příčiny:

  • Platforma odesílá e-maily pomocí vaší domény, ale není autorizována v SPF nebo DKIM.

Oprava: Problém je v tom, že je možné použít některou z těchto služeb:

  1. Zkontrolujte, zda dodavatel podporuje vlastní nastavení DKIM nebo SPF.
  2. Přidejte jeho SPF include (pokud je k dispozici) do svého záznamu DNS.
  3. Vygenerujte a zveřejněte klíč DKIM, pokud to platforma umožňuje.
  4. Pokud to není možné, zvažte použití subdomény (např. news.yourdomain.com) určené pro daného odesílatele.

6. Nepřicházejí žádné zprávy DMARC

Symptomy: V případě, že je v systému DMARC nainstalována služba DMARC, je možné, že je v systému DMARC nainstalována služba DMARC:

  • Záznam DMARC jste publikovali, ale zprávy nepřicházejí.

Příčiny: Neexistuje žádný DMARK:

  • Neplatné nebo nedostupné e-mailové adresy v tagu rua nebo ruf.
  • Vaše přijímací schránka odmítá velké přílohy XML.
  • Poskytovatelé ještě nezačali odesílat zprávy (může to trvat až 48 hodin).

Oprava:

  1. Překontrolujte adresy pro hlášení záznamů:
    rua=mailto:dmarc-aggregate@yourdomain.com; ruf=mailto:dmarc-forensic@yourdomain.com
  2. Ujistěte se, že tyto schránky mohou přijímat přílohy.
  3. Použijte nástroj pro monitorování DMARC, abyste mohli spolehlivěji shromažďovat zprávy u všech poskytovatelů.

Využití reportů k identifikaci a řešení problémů

Vaše souhrnné a forenzní zprávy DMARC jsou nejlepšími nástroji pro řešení problémů.

Hledejte vzory, jako jsou např:

  • Stálá selhání SPF nebo DKIM z jedné IP adresy (pravděpodobně problém s konfigurací).
  • Neznámé IP adresy, které odesílají velké objemy (může to znamenat spoofing).
  • Legitimní odesílatelé, u kterých DKIM selhává, ale SPF prochází (může to znamenat, že je třeba zkontrolovat nastavení DKIM pro danou službu).

Postupem času se tato hlášení budou zlepšovat, jakmile opravíte jednotlivé zdroje selhání a přejdete k vynucování.

Jak vám DMARCeye pomáhá rychleji řešit problémy

Každý záznam DMARC nakonec potřebuje doladit, protože noví dodavatelé, nové subdomény a změny zásad vytvářejí potenciální slabá místa. DMARCeye funguje jako vaše průběžná monitorovací vrstva, která zajišťuje, aby nastavení DMARC, SPF a DKIM nadále fungovalo tak, jak má.

Pomocí aplikace DMARCeye můžete:

  • odhalit a opravit problémy s ověřováním dříve, než ovlivní doručitelnost.
  • Sledovat pokusy o podvržení ve všech vašich doménách.
  • Udržovat konzistentní nastavení v souladu se zásadami bez ruční analýzy XML.
  • Bezpečně přecházet od p=none k p=reject s jistotou podloženou daty.

Proměňte složité řešení problémů DNS v jasný a použitelný přehled.

Získejte bezplatnou zkušební verzi DMARCeye ještě dnes a začněte chránit svou e-mailovou doménu.
View full post