Mezera v prosazování DMARC v Q1 2026 | DMARCeye

Celý smysl DMARC je prosazování. Záznam říká přijímajícím poštovním serverům, co mají dělat se zprávami, které neprojdou autentizací: poslat je do spamu pomocí p=quarantine, nebo je rovnou odmítnout pomocí p=reject. Dokud doména nedosáhne jedné z těchto politik, je DMARC jen viditelnost. Užitečná, ale ne ochrana. Data za Q1 2026 z monitorovací platformy DMARCeye ukazují, že více než třetina domén zapojených do DMARC se nikdy dál nedostane.

Tento článek rozebírá zjištění o distribuci politik z průmyslové zprávy DMARCeye za Q1 2026. Kompletní zpráva se všemi 12 grafy a metodikou je níže.

Kde se domény zapojené do DMARC nacházejí v Q1 2026

Mezi tisíci doménami, které DMARCeye aktivně monitoruje, vypadá rozdělení politik takto:

• 36.7% na p=none: pouze monitoring. DMARC záznam existuje, ale příjemcům není řečeno, co dělat, když autentizace selže.
• 36.8% na p=quarantine: zprávy, které neprojdou, jdou do spamu.
• 26.5% na p=reject: plné prosazování. Zprávy, které neprojdou, jsou odmítnuty.

Asi třetina monitorovaných domén je stále ve fázi viditelnosti. Plného prosazování dosáhla jen asi čtvrtina. Prostřední úroveň, quarantine, je největší jednotlivá skupina.

Tento obrázek se týká domén, které již jsou zapojené do DMARC. Kompletní zpráva srovnává tuto skupinu s odděleným vzorkem ze skeneru veřejně dostupných internetových domén. V tomto vzorku 28% domén nemá žádný DMARC záznam.

Co vlastně chrání režim "pouze monitoring"

DMARC záznam na p=none říká přijímajícím serverům: "pokud zpráva neprojde zarovnáním SPF a DKIM, doruč ji stejně, ale pošli zprávu o tom." Vlastník domény získává viditelnost, jak do legitimní pošty ze zapomenutých služeb, tak do pokusů o zneužití identity. Ale žádné blokování se neděje. Podvržená zpráva se dostane do schránky stejně jako legitimní.

Pouze monitoring je dobrý výchozí bod. Bez monitorovacích dat nelze politiku bezpečně přitvrdit. Sedět na p=none donekonečna ale znamená, že sbíráte důkazy o zneužití identity a nikdy s tím nic neděláte.

Co vás setrvávání na p=none ve skutečnosti stojí

U většiny firem se praktické riziko setrvávání na p=none projevuje na třech místech:

• Spoofing se dostává do schránek. Phishingová kampaň, která se vydává za vaši doménu, dorazí do schránek vašich zákazníků nebo zaměstnanců, protože není v platnosti žádná politika, která by ji zastavila.
• Skutečná pošta se přesouvá ke spamové složce. Přijímající servery netrestají režim pouze monitoring přímo, ale sledují zprávy s neúspěšnou autentizací proti reputaci vaší domény. Podvržená pošta na vaše jméno autentizací neprojde. Po týdnech aktivity útočníků začne tento zaznamenaný vzorec ovlivňovat, kam se vaše legitimní pošta dostane.
• Požadavky pro hromadné odesílatele jsou splněny jen minimálně. Pokyny Googlu a Yahoo z února 2024 vyžadují DMARC záznam pro odesílatele nad 5,000 zpráv denně. Publikace na p=none s reportingem splňuje minimum. Jejich filtrovací algoritmy ale stále zohledňují DMARC postoj při rozhodování o doručení a záznam, který sice publikuje, ale nikdy neprosazuje, spadá do kategorie "v souladu jen na papíře".

Pro e-shop, který posílá potvrzení objednávek a aktualizace o zásilkách, to vypadá takto: legitimní transakční pošta se postupně doručuje hůř, zatímco podvržená pošta se stále dostává do schránek vašich zákazníků. Poškozená reputace odesílatele se po překlopení napravuje pomalu.

Proč domény zůstávají na p=none

Q1 zpráva ukazuje co. Neříká nám proč konkrétní doména zůstává v režimu pouze monitoring. Důvody níže jsou vzorce, které vidíme napříč zákazníky, ne zjištění z datasetu. Berte je jako poučené odhady k ověření proti vaší vlastní situaci:

• Strach z rozbití legitimní pošty. Nejčastější důvod, proč týmy zůstávají na místě. Přitvrzení politiky by mohlo poslat do karantény nebo odmítnout poštu od služby třetí strany, kterou tým zapomněl zdokumentovat. Řešením je dokumentace, ne vyhýbání se.
• Žádné jasné vodítko k dalšímu kroku. Většina monitorovacích nástrojů zobrazuje surové agregované reporty a interpretaci nechává na týmu. Bez odpovědi na otázku "je bezpečné se posunout?" pro jednotlivé domény týmy ve výchozím nastavení zůstávají na místě.
• Zapomenutá odpovědnost. Člověk, který DMARC monitoring nastavoval, odešel. Nikdo jiný nemá pravomoc, ani chuť, přepnout vypínač.
• Podcenění přínosu. Dokud nedojde k incidentu se spoofingem, je prosazování jednou z mnoha priorit, které si konkurují o pozornost. Jakmile k incidentu dojde, stává se jedinou prioritou. Většina týmů to zjistí tou těžkou cestou.

Zpráva ukazuje, že mezera existuje. Příčiny stojí za prozkoumání ve vašem vlastním nastavení.

Bezpečný přechod od monitoringu k prosazování

Cesta z p=none na p=reject je dobře zdokumentovaná a nevyžaduje skok do neznáma:

1. Čtěte své agregované reporty alespoň 2 až 4 týdny. Potřebujete stabilní obraz toho, co se odesílá pod jménem vaší domény. Špičky z jednorázových kampaní vás zavedou špatným směrem.
2. Autentizujte každého legitimního odesílatele. Váš ESP, transakční služba, marketingová platforma, fakturační systém i interní mail relay musí být zarovnané pro SPF nebo DKIM. Ideálně oba, protože DKIM přežije přeposílání a SPF ne.
3. Přejděte nejprve na p=quarantine. Pošta, která neprojde, jde do spamu, ne do /dev/null. Sledujte reporty týden nebo dva. Ověřte, že legitimní pošta stále prochází.
4. Přejděte na p=reject. Pokud jste krok 2 udělali správně, je tento posun většinou neviditelný.

Jedno související zjištění z Q1 zprávy: pouze asi 6% prosazujících domén používá vestavěný tag pct= z DMARC pro postupné procentuální nasazování. Většina týmů přeskakuje rovnou z p=none do plného prosazování na 100%. Připravovaná revize standardu DMARCbis odstraňuje pct= úplně, což z "udělejte si přípravu" dělá binární cestu.

Pokud chcete podrobný návod, náš kompletní průvodce implementací DMARC pokrývá celý proces.