Proč třetina malých domén nezvládá DMARC autentizaci

Mezi tisíci doménami, které DMARCeye aktivně monitoruje, mají nejmenší odesílatelé, ti s méně než 100 e-maily měsíčně, průměrnou shodu s DMARC 62.3%. Největší odesílatelé, ti s více než 10 miliony zpráv měsíčně, mají v průměru 99.8%. Už tento rozdíl je nápadný. Ještě nepříjemnější zjištění se ale skrývá pod průměrem: 35.7% domén s malým objemem se autentizuje pod 50%. Z pohledu DMARC je více než třetina z nich prakticky nefunkční.

Tento článek rozebírá zjištění o malých odesílatelích z průmyslové zprávy DMARCeye za Q1 2026. Kompletní zpráva se všemi 12 grafy a metodikou je níže.

Paradox velikosti ve shodě s DMARC

Data za Q1 2026 z monitorovací platformy DMARCeye ukazují čistý schodovitý vzorec. Průměrná shoda roste s měsíčním objemem e-mailů:

• Pod 100 e-mailů měsíčně: 62.3%
• 100 až 1,000: 85.7%
• 1,000 až 10,000: 89.9%
• 10,000 až 100,000: 91.7%
• 100,000 až 1 milion: 93.9%
• 1 milion až 10 milionů: 97.5%
• Nad 10 milionů: 99.8%

Průměry skrývají rozptyl. V rámci každé velikostní skupiny prudce klesá podíl domén, které jsou pod 50% shody, tedy v "nefunkční" kategorii podle zprávy, jak roste objem.

• Pod 100 e-mailů měsíčně: 35.7% je pod 50% shody.
• 100 až 1,000: 11.3%.
• 1,000 až 10,000: 5.6%.
• Nad 10 milionů: 0%. Žádná doména v této kategorii neklesá pod 90%.

Hlavní zpráva tedy není "malí odesílatelé jsou trochu pozadu". Hlavní zpráva je, že zhruba každý třetí malý odesílatel, tedy domény s méně než 100 e-maily měsíčně, má DMARC nastavení, které při kontrole většinu času selže.

Proč malí odesílatelé bojují

Q1 data ukazují vzorec, ne příčinu. Důvody níže jsou vzorce, které vidíme napříč zákazníky, ne zjištění z datasetu. Berte je jako výchozí body k ověření proti vašemu vlastnímu nastavení:

• SPF a DKIM nebyly od začátku správně nastavené. Mnoho malých domén publikuje DMARC záznam, ale podkladové zarovnání SPF a DKIM nebylo nikdy provedeno přes žádnou ze služeb, které pod jménem domény odesílají poštu. Pokud se nic nezarovnává, DMARC nemá co autentizovat.
• Jeden zapomenutý odesílatel táhne procento dolů. Malá doména, která posílá 80 legitimních zpráv měsíčně a jednu týdenní fakturu z chybně nastaveného účetního nástroje, má 12% míru selhání autentizace z jediného zdroje. Při malém objemu jediný špatný odesílatel ovládá výsledné procento.
• Reporty nikdo nečte. Agregované DMARC reporty problém ukazují. Malé firmy ale málokdy mají někoho, kdo by je sledoval. Stejná chybná konfigurace, která rozbila věci před třemi měsíci, je rozbíjí dodnes.
• DMARC záznamy publikované bez návaznosti. Některé domény publikují DMARC záznam, protože to řekl hostingový poskytovatel nebo návod. Záznam je správný, ale nic dalšího není nastaveno tak, aby ho podpořilo.

Smysl monitoringu je zjistit, který z těchto bodů se týká vaší domény.

Co to znamená, pokud provozujete malou firmu

Pokud z vaší domény odesíláte několik desítek e-mailů měsíčně (potvrzení objednávek, faktury, občasný newsletter, reset hesla, odpovědi na dotazy zákazníků) a máte publikovaný DMARC záznam, je zhruba 1 ku 3 šance, že vaše autentizace je právě teď nefunkční. Důsledky:

Vaše skutečná pošta padá do spamu častěji, než by měla. Přijímající servery jako Gmail, Yahoo a regionální poskytovatelé sledují vzorce neúspěšné autentizace u vaší domény. Nefunkční nastavení autentizace zhoršuje vaši reputaci odesílatele, což se promítá do rozhodnutí o doručení. Potvrzení objednávek a faktury, které by měly dorazit během minut, začnou končit ve spamu nebo přicházet pozdě.

Útočníci se za vás mohou vydávat zadarmo. DMARC záznam na p=none s nefunkční autentizací spoofing nezastaví. Selhání autentizace u skutečného pokusu o spoofing vypadá identicky jako u vaší vlastní rozbité legitimní pošty. Přijímající server nemá jak rozdíl poznat.

Oprava je obvykle malá. Jeden chybně nastavený odesílatel, jeden chybějící SPF include, jeden DKIM klíč, který nikdy nebyl publikován v DNS. Malé domény mají malý povrch. Vyšetřování je tomu úměrně krátké.

Oprava

Pokud je vaše doména v kategorii pod 100 e-maily měsíčně a chcete zjistit, jestli patříte do té 35.7% nefunkční skupiny, cesta je krátká:

Krok 1: Spusťte si zdarma DNS kontrolu pomocí DNS checkeru DMARCeye. Zadejte svou doménu níže. Pokud nemáte žádný DMARC záznam, je to samo o sobě problém (a nejste v tom sami; většina malých domén ho nemá). Pokud máte DMARC záznam, ale žádné jasné SPF nebo DKIM, pravděpodobně už jste problém našli.

Krok 2: Čtěte své DMARC reporty po dva až čtyři týdny. Nechte reporty přitéct. Bezplatný plán DMARCeye pokrývá jednu doménu. Reporty ukazují každou službu, která pod jménem vaší domény posílá poštu. Pro malou firmu je seznam obvykle krátký: váš ESP, mail relay vašeho hostingu, fakturační nástroj, možná kontaktní formulář. U každé položky ověřte, že je legitimní, a zkontrolujte, zda je autentizovaná.

Krok 3: Autentizujte ty neautentizované. Většina ESP a e-mailových nástrojů poskytuje krok za krokem návod k nastavení DKIM. Pokud se některá služba autentizovat odmítá, nahraďte ji takovou, která to umí.

Krok 4: Přejděte z p=none na p=quarantine, pak na p=reject. Jakmile jsou vaše reporty pár týdnů čisté, přitvrďte politiku. Zprávy, které neprojdou, nejprve míří do spamu (p=quarantine), pak jsou rovnou odmítnuty (p=reject).

Celý proces zabere většině malých firem jedno odpoledne na vyšetření a pár týdnů na potvrzení.

Praktický závěr

Malí odesílatelé jsou v nefunkční kategorii shody s DMARC nadměrně zastoupení, protože při malém objemu jediná chybná konfigurace pohne procentem výrazně. Dobrá zpráva je, že malí odesílatelé mají i malou stopu. Jeden chybějící záznam, jeden nezarovnaný nástroj, jedna zapomenutá služba. Najděte to, opravte to a máte reálnou šanci připojit se k podílu malých domén, které jedou čistě. V našem snímku za Q1 bylo 41.8% malých odesílatelů už na 99% shodě nebo výš.