Politika DMARC pro subdomény: kdy sp= pomáhá a kdy škodí

Pokud vaše firma posílá potvrzení objednávek z adresy mail.example.com a newslettery z marketing.example.com, jsou tyto adresy subdoménami vaší hlavní domény. Když si pro hlavní doménu zapnete DMARC, aby ji chránil před spoofingem, vaše subdomény jsou obvykle chráněné také, protože automaticky následují politiku hlavní domény. Zhruba jedna ze 13 domén s plně zapnutým DMARC v datasetu DMARCeye za Q1 2026 má ale drobnou chybu, která sice zamyká hlavní doménu, ale subdomény nechává nechráněné. Více najdete na DMARCeye.

Tento článek rozebírá zjištění o politice subdomén z průmyslové zprávy DMARCeye za Q1 2026. Kompletní zpráva i metodika je níže.

Co dělá tag sp=

DMARC záznam je krátký řádek textu ve vašem DNS, který říká příjemcům e-mailu, jak naložit se zprávami, které se hlásí jako z vaší domény. Hlavní nastavení je tag p=, který určuje politiku pro vaši hlavní doménu. Existují tři úrovně politiky:

• p=none znamená, že příjemci jen monitorují a posílají reporty, ale doručují všechno (zatím žádná ochrana).
• p=quarantine znamená, že zprávy, které neprojdou kontrolou, jdou do spamu.
• p=reject znamená, že takové zprávy jsou úplně zablokované.

Tag sp= je stejný princip, jen aplikovaný na subdomény. Bere stejné tři hodnoty. Pokud sp= nenastavíte vůbec, vaše subdomény následují to, co máte v p=. Takže pokud je vaše hlavní doména na p=reject a sp= nenastavíte, je každá subdoména (mail.example.com, support.example.com a cokoli dalšího, co máte) také na p=reject. Tak to specifikace zamýšlí (podle RFC 7489 §6.3).

Tag sp= nastavíte výslovně jen tehdy, když chcete se subdoménami zacházet jinak než s hlavní doménou. Nejčastější důvody jsou dva: subdoména posílá poštu přes jiného vendora než hlavní doména, nebo chcete prosazování na subdoménách zapnout dříve (či později) než na hlavní doméně.

Jak je sp= nakonfigurované napříč doménami v Q1

V monitorovaném vzorku několika tisíc domén DMARCeye za Q1 2026 závisí rozložení sp= silně na hlavní politice p=:

Vyčnívají tři vzorce:

• Většina domén sp= nenastavuje vůbec. 86,67 % domén na p=none, 78,59 % na p=quarantine a 65,15 % na p=reject nechává sp= mimo svůj záznam. Jak jsme zmínili výše, je to výchozí chování a subdomény automaticky následují politiku hlavní domény.
• Některé domény své subdomény oslabují záměrně. 6,62 % domén s p=reject nastavuje sp=none a dalších 0,94 % nastavuje sp=quarantine. Dohromady je to 7,56 % plně prosazovaných domén s přísnou ochranou hlavní domény, ale volnou nebo žádnou ochranou subdomén.
• Téměř nikdo nepoužívá sp= k tomu, aby chránil nejdřív subdomény. Pouze 0,42 % domén s p=none má nastavené sp=reject. Jde o chytrý vzorec (hlavní doména zůstává v režimu pouze monitorování, dokud sbíráte data, ale falešné zprávy na subdoménách už blokujete) a je nedoceněný.

Kdy nastavení sp= pomáhá

Existují dvě situace, kdy je výslovné nastavení sp= správný krok.

Vaše subdomény používají různé poskytovatele e-mailu. Pokud marketing.example.com posílá přes jeden nástroj (například vaši newsletterovou platformu) a hlavní doména posílá přes jiný (vašeho transakčního poskytovatele), má každý z nich jiné nastavení autentizace. Můžete chtít přísnější DMARC politiku na jednom než na druhém, zejména během zavádění nového poskytovatele. Nastavení sp= umožní subdoménám mít vlastní politiku, aniž byste sahali na hlavní doménu.

Chcete subdomény chránit dříve než hlavní doménu. Když doména posílá hodně pošty (nebo je rizikovým cílem spoofingu), může být lákavé počkat s plným prosazováním, dokud reporty nesledujete několik týdnů. V takovém případě dává smysl nechat hlavní doménu na p=none (jen monitoring) a zároveň nastavit sp=reject, aby byly subdomény hned plně chráněné. Subdomény mívají méně legitimních odesílatelů a přehlednější nastavení, takže jsou často bezpečnější pro nasazení nejdřív. Data za Q1 ukazují, že tento vzorec používá 0,42 % domén s p=none.

Kdy nastavení sp= škodí

Chyba, na kterou si dát pozor, je opačná: přísná politika na hlavní doméně (p=reject) a volná nebo žádná na subdoménách (sp=none nebo sp=quarantine). Důvod bývá obvykle jeden z těchto:

• Tým zapnul prosazování, jedna ze subdomén začala selhávat a místo toho, aby na ní opravili problém s autentizací, oslabili sp= a tím selhání zastavili.
• Někdo nastavil sp=none při počátečním zavádění, aby se vyhnul překvapením, a už se k tomu nevrátil, aby to přiškrtil.
• DMARC záznam pocházel z nástroje, který nastavil sp= tak, aby odpovídalo p=, a někdo to později ručně oslabil z nějakého důvodu.

Ve všech případech je výsledek stejný. Hlavní doména je plně chráněná, ale každá subdoména přijímá podvržené zprávy bez prosazování. Kdokoli, kdo si váš DMARC záznam prohlédne, tu mezeru hned vidí.

V našem datasetu Q1 má tuto konfiguraci 7,56 % plně prosazovaných domén. Pokud jste na plném prosazování, je to první věc, kterou si na svém DMARC záznamu zkontrolujte.

Jak rozhodnout, co vaše doména potřebuje

Tady jsou tři krátké otázky, kterými si projděte:

1. Posílá vaše hlavní doména poštu vůbec? Pokud ano, postupně se budete chtít dostat na p=reject. Nechat sp= mimo záznam je výchozí stav a pro většinu firem funguje. Subdomény automaticky následují hlavní politiku.
2. Používají některé subdomény jiné poskytovatele e-mailu než hlavní doména? Pokud ano, zvažte samostatné sp=, aby každá z nich mohla mít vlastní politiku.
3. Chcete subdomény chránit dříve než hlavní doménu (nebo jinak)? Pokud ano, nastavte sp= výslovně. Pokud chcete subdomény volnější než hlavní doménu, to skoro nikdy nechcete, takže sp= nastavte tak, aby odpovídalo p=, nebo ho úplně vynechte.

Pokud máte v DNS sp= už deklarované, dvakrát si ověřte, že není slabší než p=. Kombinace p=reject a sp=none je ta chybná konfigurace, kterou je třeba hlídat. Pokud zatím DMARC monitoring nemáte nastavený, bezplatný plán DMARCeye pokrývá jednu doménu a ukáže vám přesně, jak váš záznam vypadá, včetně hodnoty sp=, pokud ji máte nastavenou. Pro kontrolu, co vaše doména má právě teď:

Co se mění v DMARCbis

DMARCbis je připravovaná aktualizace DMARC standardu, kterou se očekává v roce 2026. Na fungování sp= nic nemění. Pokud ho nenastavíte, subdomény dál dědí hlavní politiku.

Přidává ale nový tag np=, který řídí politiku pro subdomény, které vůbec neexistují. Pokud dnes spammer pošle poštu hlásící se z madeup.example.com (subdoména, kterou jste nikdy nevytvořili), příjemci se vrátí k politice vaší hlavní domény. S np= budete moci aplikovat přísnější politiku konkrétně na takové falešné subdomény. Pokud chcete silnější pokrytí subdomén, jakmile bude DMARCbis finální, je tento tag ten, který sledovat.

Praktický závěr

Pro většinu domén je nechat sp= mimo záznam ten správný krok. Výchozí chování subdomény chrání automaticky.

Výjimky jsou reálné, ale specifické: když subdomény používají jiné poskytovatele e-mailu než hlavní doména, nebo když chcete subdomény chránit dřív než hlavní doménu. V obou případech nastavte sp= uvážlivě a nastavte ho správně.

Pokud je váš DMARC záznam na p=reject a vaše sp= je cokoli slabšího, je to ta chybná konfigurace. Opravte ji dřív než cokoli jiného. DMARCeye sleduje nastavení sp= napříč všemi vašimi monitorovanými doménami a bezplatný plán pokrývá jednu z nich.