Zabezpečení firemního emailu je v roce 2026 jednou z nejpodceňovanějších oblastí kybernetické bezpečnosti v malých firmách. Útočníci umějí poslat zprávu, která vypadá, že přišla přímo od jednatele – a klient nebo účetní podle ní zaplatí na podvržený účet. Jediná funkční obrana proti tomu jsou tři DNS záznamy: SPF, DKIM a DMARC. V tomto průvodci se dozvíte, jak fungují, jak je správně nastavit a proč bez nich vaše doména v roce 2026 prakticky nedoručí emaily do Gmailu ani do firemního Microsoft 365.

Proč je zabezpečení firemního emailu kritické právě teď

Email je nejstarší a zároveň nejzranitelnější komunikační kanál. Standardní protokol SMTP, na kterém všechny firemní emaily běží, byl navržen v roce 1982 – v době, kdy se internetem proháněla hrstka akademiků a koncept podvodu mailem nikoho nenapadl. Důsledek? Kdokoliv na světě může otevřít notebook, připojit se k SMTP serveru a poslat email s odesílatelem [email protected], aniž by k vaší doméně měl jakýkoliv vztah.

Podle statistik FBI způsobil podvod typu Business Email Compromise (BEC) firmám po celém světě škody přesahující 50 miliard dolarů. Cíl těchto útoků není velká korporace – v 73 % případů jde právě o malé a střední firmy do 100 zaměstnanců, které řeší faktury, smlouvy a platby běžně emailem.

Od února 2024 navíc Google i Yahoo vyžadují u všech odesílatelů, kteří posílají větší množství emailů, nastavenou trojici SPF + DKIM + DMARC. Bez nich vám zprávy padají rovnou do spamu, nebo se nedoručí vůbec. Pro firmu, která posílá faktury a nabídky, je to existenční problém.

SPF: kdo smí psát jménem vaší domény

Sender Policy Framework (SPF) je nejstarší a nejjednodušší ze tří záznamů. Je to textový DNS záznam, ve kterém říkáte světu: „Z mé domény smí emaily odesílat pouze tyto servery.” Příjemcův server pak při příchodu zprávy zkontroluje, zda IP adresa odesílajícího serveru sedí se seznamem ve vašem SPF.

Jak SPF vypadá

Typický SPF záznam pro firmu používající Microsoft 365 vypadá takto:

v=spf1 include:spf.protection.outlook.com -all

Co znamenají jednotlivé části:

• v=spf1 – verze záznamu (existuje pouze verze 1)
• include:spf.protection.outlook.com – povoluje všechny servery Microsoft 365
• -all – zamítá všechno ostatní (tzv. „hard fail”)

Pokud používáte Google Workspace, bude váš záznam:

v=spf1 include:_spf.google.com -all

Většina malých firem ale neposílá emaily jen z jednoho zdroje. Newsletter z Ecomailu, faktury z Pohody, ankety ze Smartsuppu – každý další systém je třeba do SPF zahrnout. Pro firmu s Microsoft 365 + Ecomailem + SendGridem to může vypadat takto:

v=spf1 include:spf.protection.outlook.com include:_spf.ecomail.cz include:sendgrid.net -all

Pozor na limit 10 DNS lookupů

SPF má jedno zákeřné omezení: maximálně 10 DNS dotazů. Každý include: se počítá. Pokud máte hodně služeb a překročíte limit, SPF přestane vyhodnocovat a všechny vaše emaily skončí jako neověřené. Pro audit počtu lookupů použijte nástroj DMARC Analyzer SPF Checker nebo MXToolbox.

DKIM: kryptografický podpis každého emailu

DomainKeys Identified Mail (DKIM) jde o stupeň dál než SPF. Místo seznamu povolených IP adres přidá ke každému odchozímu emailu kryptografický podpis vytvořený privátním klíčem vaší domény. Příjemce si v DNS najde váš veřejný klíč, podpis ověří a má jistotu, že email pochází od vás a po cestě se neměnil.

Jak DKIM funguje technicky

1. Váš mailový server (Microsoft 365, Google Workspace…) vygeneruje pár klíčů – privátní a veřejný.
2. Veřejný klíč publikujete v DNS jako TXT záznam (typicky selector1._domainkey.vasedomena.cz).
3. Privátním klíčem se podepisuje každý odchozí email v hlavičce DKIM-Signature.
4. Příjemcův server stáhne veřejný klíč z DNS a podpis ověří.

Velkou výhodou DKIM oproti SPF je, že podpis přežije přeposlání zprávy. Když někdo váš email forwarduje, SPF se rozbije (přeposílá ho jiný server), ale DKIM zůstává platný.

Konkrétní nastavení v Microsoft 365

V Microsoft 365 se DKIM nastavuje v Security & Compliance Center v sekci Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM. Po aktivaci doplníte do DNS dva CNAME záznamy, které vás navedou na DKIM klíče v cloudu Microsoftu. Microsoft je sám pravidelně rotuje, takže o údržbu se starat nemusíte.

V Google Workspace najdete DKIM v Apps → Google Workspace → Gmail → Authenticate email, kde kliknete na Generate new record a do DNS přidáte vygenerovaný TXT záznam s veřejným klíčem o délce 2048 bitů.

DMARC: pravidla a reporty, které spojí SPF a DKIM

Domain-based Message Authentication, Reporting and Conformance (DMARC) je nejmladší a strategicky nejdůležitější z trojice. Sám o sobě nic nepodepisuje ani neověřuje – říká příjemcům, co mají dělat, když email neprošel SPF nebo DKIM kontrolou, a posílá vám zpět reporty, kdo se snažil zneužít vaši doménu.

Tři politiky DMARC, které musíte znát

• p=none – monitorovací režim. Email projde, ale dostanete report. Ideální pro první nasazení, abyste viděli, kdo vším z vaší domény odesílá.
• p=quarantine – sporné emaily skončí ve spamu příjemce. Doporučená střední fáze.
• p=reject – sporné emaily se nedoručí vůbec. Cílový stav po několika měsících monitoringu.

Příklad funkčního DMARC záznamu pro malou firmu:

v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; adkim=s; aspf=s; pct=100

Klíčové jsou parametry rua (souhrnné reporty) a ruf (forenzní reporty). Většinou je směřujete na specializovanou službu jako DMARC Digests od Postmarku, která reporty zpracuje do čitelného dashboardu. Bez analyzátoru je totiž obyčejný XML report z Microsoftu prakticky nečitelný.

Krok za krokem: jak SPF, DKIM a DMARC nasadit v malé firmě

Pokud jste s konfigurací emailové autentizace nikdy nepracovali, nejde o pětiminutovou záležitost. Postupujte v této sekvenci a nevynechávejte fáze monitoringu – uspěchané nasazení DMARC v režimu p=reject může způsobit, že vám přestanou fungovat faktury a obchodní nabídky.

1. Audit současného stavu. Zkontrolujte, zda už nějaké záznamy nemáte. Otestujte doménu na MXToolbox Email Health – během minuty uvidíte, co chybí.
2. Identifikujte všechny odesílatele. Kdo jménem vaší domény posílá? Microsoft 365, Mailchimp, Pohoda, Ecomail, GLS, Money S3, Fapi… Sepište kompletní seznam.
3. Vytvořte SPF záznam. Začněte s ~all (soft fail) místo -all. Hard fail nasaďte až po týdnu monitoringu.
4. Aktivujte DKIM ve vašem mailovém serveru (Microsoft 365, Google Workspace, vlastní server).
5. Nasaďte DMARC v režimu p=none minimálně na 30 dní. Sledujte reporty.
6. Přejděte na p=quarantine a postupně zvyšujte parametr pct= z 10 % na 100 %.
7. Po dvou až třech měsících přepněte na p=reject. To je cílový bezpečnostní stav.

Pokud máte ve firmě komplikovanější setup s několika odesilateli a externím IT, vyplatí se přizvat odborníka. Kvalitní externí správa firemního IT přesně tyto věci řeší rutinně a nasadí kompletní email authentication během několika hodin.

Časté chyby, na kterých malé firmy doplácí

Při auditu desítek firemních domén narážíme stále na stejné typy chyb:

• Dva SPF záznamy na jedné doméně. Některé firmy přidají druhý záznam pro nový systém místo úpravy existujícího. SPF specifikace přitom říká, že druhý záznam ruší ten první – a často oba.
• SPF přes 10 DNS lookupů. Po přidání pátého include: přestane SPF fungovat. Řešením je flattening SPF záznamu nebo přechod na MS 365 SPF flattening služby.
• DMARC s p=reject bez monitoringu. Klasická chyba – firma nasadí reject rovnou a další den nepřijde faktura od dodavatele, protože jeho server používá vaši doménu ve forwarderu.
• Chybějící rua v DMARCu. Bez reportů nevidíte, kdo vaši doménu zneužívá. Vždy nastavte alespoň rua=mailto:.
• Subdomény bez vlastní politiky. Útočníci poznají, že hlavní doména je chráněná, a začnou phishovat z [email protected]. Doplňte DMARC politiku i pro subdomény pomocí parametru sp=reject.

BIMI: třešnička na dortu pro firmy, které dokončí DMARC

Po dokončení trojice SPF + DKIM + DMARC v režimu p=quarantine nebo p=reject můžete přidat ještě BIMI (Brand Indicators for Message Identification). BIMI umožňuje, aby se vaše firemní logo zobrazovalo přímo u emailu v Gmailu, Yahoo Mailu a od roku 2025 i v Apple Mail. Zákazník hned vidí, že email je od ověřené firmy, a důvěryhodnost zprávy roste.

Pro BIMI potřebujete validní DMARC s p=quarantine nebo p=reject, logo ve formátu SVG Tiny PS a často také VMC certifikát od certifikační autority (např. DigiCert nebo Entrust) za cca 1 500 USD ročně. Pro většinu malých firem je to zatím luxus, ale trend ukazuje, že do dvou let bude BIMI standardem pro důvěryhodnou firemní komunikaci.

Kolik to celé stojí a kdo to ve firmě má řešit

Vlastní nasazení SPF, DKIM a DMARC nestojí ani korunu – jde o DNS záznamy a nastavení v existujícím Microsoft 365 nebo Google Workspace. Nákladné jsou jen tři věci:

1. Čas IT odborníka. Kompletní audit + nastavení + první měsíc monitoringu zabere zkušenému specialistovi 6–10 hodin práce.
2. DMARC reporting služba. Manuální čtení XML reportů je peklo. Postmark DMARC Digests je zdarma do 100 000 zpráv měsíčně, Dmarcian od 25 USD/měsíc.
3. Volitelně BIMI VMC certifikát. 1 500 USD/rok – pro malou firmu obvykle není priorita.

V naší správě firemního IT řešíme email authentication jako standardní součást onboardingu nového klienta. Pokud máte zájem jen o samostatný audit + nasazení, je to služba na 4–8 hodin práce v rozsahu několika tisíc korun.

FAQ: nejčastější otázky k zabezpečení firemního emailu

Musí mít SPF, DKIM a DMARC i živnostník nebo malá firma do 5 lidí?

Ano. Od února 2024 vyžadují Google i Yahoo plnou email authentication od všech, kdo jim posílají zprávy ve větším objemu. Pokud žádné záznamy nemáte, vaše emaily Gmailu uživatelům buď padají do spamu, nebo se vůbec nedoručí. U DMARC stačí na začátku režim p=none, který nic neblokuje – jen vám reportuje, co se s vaší doménou děje.

Co se stane, když nastavím DMARC na p=reject moc rychle?

Pokud nejdřív nemonitorujete v režimu p=none a hned přejdete na p=reject, riskujete, že legitimní emaily z některých vašich systémů (typicky externí účetní software, mass-mailer nebo přeposílání přes profesionální podpis) přestanou doručovat. Bezpečný postup: p=none alespoň 30 dní, pak p=quarantine s postupným zvyšováním pct, a teprve po 2–3 měsících p=reject.

Stačí mít jen SPF, nebo musím nastavit i DKIM a DMARC?

SPF samo o sobě v roce 2026 nestačí. Hlavní limity: rozbije se při přeposlání, neověřuje obsah zprávy a omezuje vás na 10 DNS lookupů. DKIM přidá kryptografický podpis odolný proti přeposlání a DMARC teprve dává všem signálům váhu rozhodováním, co s podezřelými emaily dělat. Bez DMARC navíc neuvidíte, kdo se snaží vaši doménu zneužít.

Jak poznám, že útočník zkouší podvrhnout naši doménu?

Přesně k tomu slouží DMARC rua reporty. Po jejich zpracování v nástroji jako Postmark Digests nebo Dmarcian vidíte přehled: kolik zpráv se denně tváří jako odeslané z vaší domény, ze kterých IP adres přicházejí a kolik z nich není legitimních. Útočníci se obvykle prozradí během prvních týdnů monitoringu.

Jaký je rozdíl mezi DKIM selektorem 1024-bit a 2048-bit?

Jde o sílu kryptografického klíče. Klíče dlouhé 1024 bitů jsou starší standard, který je dnes považován za pomalu zastarávající. V roce 2026 by všechny nové DKIM klíče měly být 2048-bit – Microsoft 365 i Google Workspace už 2048-bit používají defaultně. Pokud máte ještě 1024-bit selektor, požádejte správce, aby ho vyměnil.

Můžu nastavit SPF + DKIM + DMARC sám, bez IT firmy?

Technicky ano – DNS záznamy umí přidat každý přes administraci své domény. Ale doporučujeme to udělat s někým, kdo zná emailovou infrastrukturu vaší firmy. Špatně nastavený SPF nebo příliš rychlý přechod na p=reject může znamenat, že nedoručíte fakturu klientovi a přijdete o peníze. Pokud máte komplikovanější setup (externí mailery, podpisy přes třetí stranu, několik domén), využijte raději externího specialistu.

Závěr: bez SPF, DKIM a DMARC vaše firma v roce 2026 přijde o emailovou komunikaci

Zabezpečení firemního emailu přes trojici SPF + DKIM + DMARC už není volitelná nadstavba – je to základní hygiena, kterou v roce 2026 vyžadují všichni velcí poskytovatelé emailu. Bez ní vaše obchodní nabídky a faktury padají do spamu, útočníci posílají vaším jménem phishing klientům a vy o tom ani nevíte.

Pokud si nejste jistí, jak na to, nebo nemáte čas se v tom hrabat, nabízíme bezplatný IT audit, jehož součástí je i kontrola email authentication. Během 60 minut zjistíme, jak na tom vaše doména je, a navrhneme konkrétní kroky. Stačí napsat na náš kontakt nebo zavolat. Vyšleme technika, podíváme se na vaši doménu a podnik a doporučíme nejjednodušší cestu k zabezpečené firemní komunikaci.

Související články: Phishing emaily: jak je poznat a chránit firmu · Jak nastavit firemní email na vlastní doméně · GDPR a IT bezpečnost pro malou firmu