Osvědčené postupy

Nejlepší nástroje DMARC pro státní správu a vzdělávací instituce v roce 2026

Federální agentury USA musí vynucovat DMARC a EU jej očekává od veřejných institucí. Porovnejte nejlepší nástroje DMARC pro státní správu a vzdělávání.


Pro státní úřad, školský obvod nebo univerzitu je e-mail zároveň zákonnou povinností i oblíbeným terčem. Občané, studenti i zaměstnanci reagují na zprávy, které vypadají, že pocházejí z veřejných institucí, a proto útočníci rádi zneužívají jejich odesílací domény k podvodům s dávkami, daňovým podvodům a krádeži přihlašovacích údajů.

DMARC je e-mailový standard, který přijímacím serverům umožňuje odlišit pravou zprávu od padělané, a pro veřejné instituce je stále častěji vyžadován, nikoli volitelný: federální agentury v USA mají povinnost jej vynucovat už od roku 2017 a Spojené království i velká část EU jej dnes očekávají také. Tento průvodce porovnává monitorovací nástroje DMARC vhodné pro veřejné instituce, hodnocené podle toho, co potřebují nejvíce: přehledné reportování napříč doménami, doklad o souladu s předpisy a cenu, kterou lze obhájit z veřejného rozpočtu. Všechny informace v tomto článku byly v době publikace ověřeny přímo z webů dodavatelů.

DMARCeye využívají veřejné instituce ve Spojených státech i v dalších zemích, takže velká část toho, co následuje, odráží to, co jejich týmy v praxi požadují.

Co najdete v tomto průvodci

Proč musí veřejné instituce provozovat DMARC

DMARC říká přijímacímu serveru, jako je Gmail nebo Outlook, co má udělat se zprávou, která tvrdí, že pochází z vaší domény, ale neprojde autentizací: nedělat nic (p=none), poslat ji do spamu (p=quarantine), nebo ji rovnou odmítnout (p=reject). Staví na dvou kontrolách, SPF a DKIM, které potvrzují, že daná služba smí odesílat pod vaší doménou. Pro veřejné instituce je zveřejnění a vynucování záznamu DMARC stále více pravidlem, nikoli doporučením.

  • Ve Spojených státech je vynucování federální směrnicí. Směrnice Binding Operational Directive 18-01 agentury CISA požaduje po federálních výkonných agenturách dosažení p=reject už od roku 2017. Státní, okresní a městské úřady stejnou laťku stále častěji přebírají a školské obvody i univerzity spadají pod pravidla pro hromadné odesílatele uvedená níže.
  • Spojené království jej nařídilo už před lety. Ústřední státní správa vyžaduje DMARC od roku 2016, s vynucováním na úrovni p=quarantine nebo p=reject v rámci Minimum Cyber Security Standard. NCSC nyní ukončilo svou bezplatnou službu Mail Check, kterou mnoho veřejných institucí používalo k reportování, takže si nyní musí zajistit vlastní monitoring.
  • Evropská unie to bere jako základní hygienu. V rámci NIS2 se subjekty veřejné správy v mnoha členských státech řadí mezi essential nebo important, přičemž se od nich očekává autentizace e-mailů. Termíny se stanovují na národní úrovni, takže neexistuje jediný celoevropský termín.
  • Objemoví odesílatelé jsou pokryti všude. Google, Yahoo a Microsoft vyžadují od každé domény, která odesílá více než 5,000 zpráv denně, autentizaci pomocí SPF, DKIM a DMARC. Univerzita nebo velký úřad tuto hranici překročí už jen na newsletterech.

Jedna výhrada k zadávání veřejných zakázek v USA je, že federální agentury fungují v režimech schvalování, jako je FedRAMP, které zužují okruh dodavatelů, od nichž mohou nakupovat, takže výběr nástroje federálním týmem je omezený. Tento průvodce je psán pro mnohem širší skupinu, která volí svobodně: státní a místní správu, školské obvody, univerzity, veřejné zdravotnictví a utility a veřejné instituce mimo USA.

Proč jsou veřejné instituce hlavním terčem podvržení identity

Státní správa patřila v roce 2025 mezi nejčastěji napadané sektory z hlediska phishingu, přičemž počet pokusů podle oborového průzkumu hrozeb meziročně prudce rostl. Důvodem je důvěra: lidé jednají podle e-mailu, který vypadá, že přišel z finančního úřadu, úřadu vyplácejícího dávky nebo ze školy, takže padělaná zpráva funguje mnohem lépe než náhodný podvod.

Během roku 2025 zasáhly kampaně více než tucet univerzit stránkami, které napodobovaly studentské přihlašovací portály jednotného přihlášení, aby získaly přihlašovací údaje, a poté tyto účty využily k odesílání přesvědčivější pošty zevnitř instituce. Doména ponechaná na p=none (režim DMARC určený pouze k monitorování) nedává přijímacím serverům žádný pokyn, aby cokoli z toho blokovaly. Monitoring je způsob, jak vidět, kteří odesílatelé jsou vaši, kteří jsou padělaní a odkud padělaná pošta přichází, dříve než zásady zpřísníte natolik, abyste ji zastavili. Pokud si nejste jistí, co vaše doména dnes zveřejňuje, ověřte si to nejprve.

 

 

Co u nástroje DMARC pro veřejnou instituci sledovat

Veřejná instituce není firma s jedinou doménou. Univerzita provozuje fakulty, kampusy a spleť subdomén; okres provozuje služby, úřady a dodavatele, kteří všichni odesílají jeho jménem. To určuje, na čem u nástroje záleží:

  • Spravuje mnoho domén a subdomén v jednom přehledu. Instituce mají zřídkakdy jen jednu doménu. Nástroj by měl zobrazit každou doménu i subdoménu a jejich zásady pohromadě, aby se malý IT tým nemusel přihlašovat do šesti různých nástěnek.
  • Vysvětluje statistiky DMARC vašich odesílatelů srozumitelným jazykem. Veřejné IT týmy jsou vytížené a odpovědná osoba často není specialista na DMARC. Nástroj by měl pojmenovat každou službu odesílající pod vaší doménou a ukázat, které procházejí a které selhávají, místo aby předával surové XML.
  • Umožňuje pokládat vašim datům otázky. Číst nástěnku je jedna věc; položit otázku „kteří odesílatelé selhali minulý týden?“ běžným jazykem je rychlejší. Novější nástroje na to odpovídají prostřednictvím vestavěného AI asistenta nebo připojením vašich dat DMARC k chatovacímu nástroji, který už používáte.
  • Vytváří doklady, které předložíte auditorovi. Soulad s předpisy znamená svou úroveň zabezpečení doložit, nejen ji mít. Přehledné reporty o stavu zásad a historii vynucování jsou to, co ukážete při bezpečnostním přezkumu nebo dozorovému orgánu.
  • Podporuje více než jednu osobu. Zabezpečení e-mailu ve veřejné instituci obvykle sdílí IT, bezpečnost a komunikace. Přístup podle rolí umožňuje každému týmu vidět to, co potřebuje, bez sdílení jednoho přihlášení.
  • Vejde se do veřejného rozpočtu. Zadávání zakázek oceňuje jasnou a obhajitelnou cenu. Bezplatnou úroveň nebo transparentní cenu za doménu lze obhájit mnohem snáze než neprůhlednou podnikovou nabídku.

Nejlepší monitorovací nástroje DMARC pro veřejný sektor v roce 2026

Všech šest nástrojů níže monitoruje DMARC dobře. Liší se cenou, mírou, do jaké věci vysvětlují, a tím, kolik se toho snaží dělat nad rámec DMARC. Ceny a limity jsou platné k datu publikace a často se mění, proto si je před nákupem ověřte na cenové stránce každého dodavatele.

Nástroj Bezplatná úroveň Vstupní placený plán Nejvhodnější pro veřejnou instituci
DMARCeye 1 doména, 5,000 e-mailů/měs., 30 dní Od $4/doména/měs. (Scale) Veřejné týmy, které chtějí srozumitelné vedení napříč mnoha doménami bez specialisty na DMARC
dmarcian 2 domény, pouze nekomerční $24/měs. (Basic, 2 domény) Týmy, které chtějí do hloubky studovat protokol DMARC
EasyDMARC 1 doména, 1,000 e-mailů, 14 dní $35.99/měs. (Plus, 2 domény) Kompletní autentizační sada v jedné nástěnce
URIports Jednoměsíční zkušební verze Od $6/měs. (Pebble) Bezpečnostní týmy, které chtějí i reporty o DNS a TLS
DMARC Report 1 doména, 10,000 reportů/měs., 30 dní $25/měs. (Guard, 5 domén) Bezplatná automatizovaná nástěnka pro začátek
Postmark DMARC Digests Bezplatný plán pro jednu doménu $14/měs. za doménu Jednoduchý týdenní e-mail místo nástěnky

DMARCeye

DMARCeye načítá vaše reporty DMARC a pro každou z vašich domén vám řekne, kteří odesílatelé procházejí, kteří selhávají a co opravit jako další. Umožňuje veřejnému IT týmu, který není obsazen specialisty na DMARC, přejít od monitorování k bezpečné vynucovací zásadě bez odhadování a vidět všechny své domény a subdomény v jednom přehledu. Vestavěný AI asistent odpovídá na otázky jako „kteří odesílatelé selhali minulý týden“, takže vytížený tým dostane odpověď, aniž by se musel probírat reporty. Stejná data můžete také připojit k chatovacímu nástroji, který už používáte, prostřednictvím MCP, otevřeného standardu, který AI asistentovi umožňuje číst vaše reporty DMARC.

Cena je za doménu, od $4 za doménu měsíčně u plánu Scale, a bezplatný plán pokrývá jednu doménu a 5,000 e-mailů měsíčně s plným analyzátorem reportů, bez platební karty, což je přímočarý způsob, jak začít na jedné servisní doméně, než jej rozšíříte dál. DMARCeye v současnosti nespravuje BIMI, MTA-STS ani SPF flattening, ale tyto funkce máme v plánu.

dmarcian

dmarcian je průkopník, založený v roce 2012 jedním z hlavních autorů specifikace DMARC, a jeho silnou stránkou je hloubka a vzdělávání. Odmění tým, který se chce protokol naučit do detailu, a ne jen odškrtnout políčko, díky důkladnému reportování a skutečně dobré dokumentaci. Pro vytížený veřejný IT tým, který potřebuje hlavně dosáhnout vynucování a doložit ho, může být taková hloubka víc, než na kolik má čas.

Bezplatná úroveň Personal je určena pouze pro nekomerční domény, takže instituce potřebuje placený plán: Basic stojí $24 měsíčně za dvě domény a cena stoupá podle počtu domén, což se vyplatí porovnat s tím, kolik domén skutečně potřebujete pokrýt.

EasyDMARC

EasyDMARC sdružuje celou sadu pro autentizaci e-mailů na jednom místě: DMARC, SPF flattening, BIMI, MTA-STS a reportování TLS, s vedeným zaváděním a velkou sadou bezplatných nástrojů. Pro větší úřad nebo instituci, která chce z jedné nástěnky řešit víc než jen DMARC, je tato šíře lákadlem. Kompromisem je cena.

Bezplatný plán je omezen na jednu doménu, 1,000 e-mailů a 14 dní historie a vstupní placený plán Plus stojí $35.99 měsíčně při roční platbě za dvě domény, což je nejvyšší vstupní cena v tomto seznamu.

URIports

URIports volí technický přístup zaměřený především na monitoring, který vyhovuje bezpečnostnímu týmu. Vedle souhrnných reportů DMARC a reportů o selháních sleduje DNS a TLS-RPT, takže z jednoho místa získáte širší pohled na zdraví domény, s integracemi přes webhook a API pro automatizaci.

Cena začíná nízko, od $6 měsíčně u plánu Pebble po jednoměsíční zkušební verzi, což z něj dělá ekonomickou volbu pro instituci, která chce šíři signálů bez podnikové smlouvy. Vede méně za ruku než nástroje zaměřené na vedení, takže odmění tým, kterému je čtení dat pohodlné.

DMARC Report

DMARC Report vyniká bezplatnou úrovní, která je použitelná, ne jen ukázková. Plán Core je zdarma pro jednu doménu s 10,000 reporty měsíčně, 30 dny historie, automatizovaným načítáním reportů a skutečnou nástěnkou, takže je to opravdový způsob, jak začít vidět svá data bez nákladů. Je to ale spíše reportovací nástěnka než nástroj s vedením, takže tým, který chce, aby mu někdo řekl, co opravit jako další, ho přeroste.

Placené plány začínají na $25 měsíčně u úrovně Guard s pěti doménami.

Postmark DMARC Digests

Postmark DMARC Digests je nejjednodušší možnost, postavená kolem týdenního nebo měsíčního e-mailu, který shrnuje, kdo odesílá pod vaší doménou a co selhává, se srozumitelným vedením, jak to opravit. Existuje bezplatný plán pro jednu doménu s týdenními souhrny a lehká nástěnka u placené úrovně, ale hlavní přednost je nenáročný souhrn pro tým, který se nechce nikam přihlašovat.

Nad rámec bezplatného plánu stojí $14 měsíčně za doménu. Pro jednu kancelář, která chce přehled bez nástroje, který je třeba spravovat, odvede svou práci, i když cena za doménu se s množstvím domén v instituci sčítá.

Jak nasadit DMARC v celé veřejné instituci

Ve čtyřech krocích:

  1. Zmapujte každou doménu a subdoménu, kterou vaše instituce vlastní, a každou službu, která z nich odesílá: poštovní platformu, studentský nebo občanský portál, nástroj na newslettery, upozorňovací systém a každého dodavatele, který odesílá vaším jménem.
  2. Autentizujte každého odesílatele pomocí SPF a DKIM, aby jeho pošta procházela čistě. DMARCeye vám může pomoci tyto záznamy nastavit, pokud je zatím nastavené nemáte.
  3. Zveřejněte záznam DMARC na p=none a několik týdnů čtěte reporty, abyste potvrdili, že nic legitimního neselhává.
  4. Jakmile jsou reporty čisté, přesuňte zásadu na p=quarantine a poté na p=reject a nastavte zásadu pro subdomény (sp=), aby nevyužitou subdoménu nešlo podvrhnout. Většina domén ji nikdy nedeklaruje, což ponechává mezeru, kterou mohou útočníci využít.

Monitorovací nástroj je to, co poslední kroky činí bezpečnými: srozumitelně vám ukáže, kteří odesílatelé stále selhávají, dříve než zásadu zpřísníte. Vynucování není vzácné proto, že je těžké, je vzácné proto, že týmy nevidí dostatečně jasně, aby změně důvěřovaly. V oborovém reportu DMARCeye za 1. čtvrtletí 2026 dosáhlo úrovně p=reject jen 26.5% aktivních domén, přičemž více než třetina jich stále zůstává na p=none

Časté otázky o DMARC ve veřejném sektoru

Je DMARC povinný pro státní správu a organizace veřejného sektoru?

Pro rostoucí počet z nich ano. Federální agentury v USA mají povinnost vynucovat DMARC na úrovni p=reject od roku 2017, britská ústřední státní správa jej nařizuje od roku 2016 a členské státy EU jej v rámci NIS2 očekávají od veřejné správy. I tam, kde žádné oborové pravidlo neplatí, vyžadují Google, Yahoo a Microsoft autentizaci od každé domény, která odesílá ve velkém objemu, což se týká většiny úřadů, školských obvodů a univerzit.

Potřebují školy a univerzity DMARC?

Ano. Univerzity jsou častým cílem phishingu na přihlašovací údaje, který podvrhává přihlášení studentů a zaměstnanců, a každá instituce, která rozesílá newslettery, oznámení nebo hromadnou poštu, spadá pod autentizační pravidla velkých poskytovatelů schránek. DMARC ve vynucovacím režimu je to, co útočníkovi zabrání odesílat poštu, která vypadá, že pochází z vlastní domény školy.

Co nahradí bezplatnou státní reportovací službu, jako je NCSC Mail Check?

Kterýkoli z monitorovacích nástrojů DMARC v tomto průvodci načte stejné souhrnné reporty a zobrazí je, většina z nich má bezplatnou úroveň pro začátek. Veřejná instituce, která se spoléhala na státem provozovanou službu, může svou reportovací adresu přesměrovat na komerční nástroj a zachovat kontinuitu, přičemž navíc získá srozumitelné vedení a přehledy napříč více doménami.

Stačí malému úřadu nebo obci bezplatný nástroj pro DMARC?

Pro začátek často ano. Úřad s jednou doménou může začít na skutečné bezplatné úrovni, například na jedné doméně a 5,000 e-mailech měsíčně u DMARCeye, a přesně vidět, kteří odesílatelé procházejí a kteří selhávají. Na placený plán přejdete, když potřebujete více domén, delší historii, přístup podle rolí nebo upozornění, k čemuž se většina institucí dostane, jak postupně převádí celý svůj park domén pod monitoring.

Shrnutí

Pro veřejnou instituci je DMARC zároveň povinností i obranou: brání útočníkům odesílat poštu, která vypadá, že pochází z důvěryhodné veřejné domény, a auditorovi dokládá, že jste tak učinili. Správný nástroj je ten, který přehledně ukáže všechny vaše domény a subdomény, promění reporty v krátký seznam odesílatelů k opravě, vytvoří doklady, jež předložíte při bezpečnostním přezkumu, a udělá to za cenu, kterou lze obhájit z veřejného rozpočtu.

Pokud chcete spíše vedení než surové reporty, přesně na to je DMARCeye stavěný. Načítá data DMARC vašich domén a řekne vám další krok a začít můžete na bezplatném plánu.

 

Similar posts

Získejte upozornění na nové marketingové poznatky

Buďte první, kdo se dozví o nových poznatcích, které vám pomohou vytvořit nebo vylepšit vaši strategii DMARC.