SPF, DKIM, DMARC po ludzku - jak ustawić pocztę firmową, by nikt nie podszył się pod Twoją domenę?
Gdy ktoś podszywa się pod Twoją domenę firmową, naraża Twój biznes na utratę danych, pieniędzy i zaufania klientów. Na szczęście są trzy mechanizmy: SPF, DKIM i DMARC, które blokują takie ataki. Zabezpiecz swoją pocztę, zanim cyberprzestępcy wykorzystają ją przeciwko Tobie. Potrzebujesz wsparcia? Rekonesans bezpieczeństwa w Exea pozwoli Ci ocenić stan zabezpieczeń i zaplanować niezbędne działania.
Czym są SPF, DKIM i DMARC?
Aby chronić komunikację e-mail, stosuje się trzy uzupełniające się mechanizmy: SPF, DKIM oraz DMARC. Razem tworzą system, który sprawdza autentyczność nadawcy i chroni przed fałszywymi wiadomościami. Każdy z nich pełni inną, ale równie ważną funkcję w zabezpieczaniu domeny.
SPF - Twoja lista autoryzowanych nadawców
SPF (Sender Policy Framework) pozwala określić, które serwery (adresy IP) mogą wysyłać e-maile w imieniu Twojej domeny. Serwer odbiorcy sprawdza, czy adres IP serwera wysyłającego znajduje się na tej liście. Jeśli nie, wiadomość może zostać uznana za podejrzaną.
DKIM - cyfrowa pieczęć autentyczności
DKIM (DomainKeys Identified Mail) dodaje do każdej wiadomości unikalny, kryptograficzny podpis. Dzięki niemu serwer odbiorcy może zweryfikować, czy e-mail rzeczywiście pochodzi od Ciebie i czy jego treść nie została zmieniona po drodze. To chroni przed bardziej zaawansowanymi atakami, w tym przed phishingiem.
DMARC - instrukcja postępowania i raportowanie
DMARC (Domain-based Message Authentication, Reporting, and Conformance) łączy działanie SPF i DKIM w jeden spójny system. Pozwala on zdefiniować politykę, czyli instrukcje dla serwerów pocztowych, co mają robić z wiadomościami, które nie przejdą weryfikacji - np. umieścić je w spamie lub odrzucić. Do tego DMARC generuje raporty, które pokazują próby podszycia się pod Twoją domenę.
Jak wdrożyć SPF, DKIM i DMARC krok po kroku?
Aby skonfigurować SPF, DKIM i DMARC, wystarczy dodać odpowiednie wpisy w DNS swojej domeny. Nie jest to skomplikowany proces, ale trzeba przeprowadzić go krok po kroku.
- Wdróż SPF
- utwórz w DNS rekord TXT, w którym wymienisz wszystkie adresy IP serwerów upoważnionych do wysyłania poczty w Twoim imieniu (np. serwery Microsoft 365, Google Workspace, systemy do newsletterów).
- Skonfiguruj DKIM
- wygeneruj parę kluczy kryptograficznych - prywatny i publiczny. Klucz prywatny dodaj na swoim serwerze pocztowym, a publiczny umieść w kolejnym rekordzie TXT w DNS. Od teraz każda wiadomość będzie podpisywana cyfrowo.
- Uruchom DMARC w trybie monitorowania - po poprawnym ustawieniu SPF i DKIM, dodaj rekord DMARC z polityką p=none. W tym trybie serwery odbiorcze będą jedynie raportować o niezgodnościach, nie blokując jeszcze żadnych wiadomości. To czas na analizę, czy wszystkie legalne źródła wysyłki zostały poprawnie uwzględnione.
- Sprawdź konfigurację domeny i włącz raporty - analizuj raporty DMARC, aby upewnić się, że Twoje e-maile są poprawnie uwierzytelniane. Gdy będziesz mieć pewność, że wszystko działa, stopniowo zaostrzaj politykę DMARC na p=quarantine (przenoszenie do spamu), a docelowo na p=reject (całkowite odrzucanie).
Najczęstsze błędy i analiza raportów - na co uważać?
Samo dodanie rekordów to nie wszystko. Łatwo popełnić błędy, które zamiast chronić, zablokują legalną komunikację. Na co zatem uważać i o czym pamiętać?
Pułapki w konfiguracji
Często popełnianym błędem jest niekompletny rekord SPF. Firmy zapominają o wszystkich narzędziach wysyłających e-maile w ich imieniu - systemach CRM, platformach do marketingu czy fakturowania. W efekcie ich własne, ważne wiadomości są odrzucane. Unikaj też zbyt szybkiego przełączania polityki DMARC na p=reject.
Najpierw poświęć czas na analizę raportów w trybie monitorowania (p=none), inaczej ryzykujesz zablokowanie krytycznej korespondencji. Pamiętaj też o technicznym ograniczeniu rekordu SPF - nie może on generować więcej niż 10 zapytań do DNS, bo inaczej zostanie unieważniony.
Jak czytać raporty DMARC?
DMARC generuje dwa typy raportów: RUA (zbiorcze) i RUF (szczegółowe). Te pierwsze dostarczają codzienne statystyki o wszystkich wiadomościach, pokazując, które przeszły uwierzytelnienie. Analizując je, szukaj adresów IP, które wysyłają pocztę w Twoim imieniu, ale nie są uwzględnione w SPF. Pozwoli Ci to rozpoznać zarówno zapomniane, legalne usługi, jak i rzeczywiste próby phishingu oraz ataki na Twoją firmę z wykorzystaniem fałszywych domen.
Czy nadawcy masowi muszą mieć te zabezpieczenia?
Firmy prowadzące wysyłki masowe muszą uwierzytelniać swoją pocztę za pomocą SPF i DKIM. To już rynkowy standard, ponieważ dostawcy poczty tacy jak Gmail i Yahoo, wprowadzili wymóg, aby nadawcy wysyłający ponad 5000 e-maili dziennie uwierzytelniali swoje wiadomości właśnie tymi metodami. Bez tego Twoje kampanie marketingowe czy powiadomienia transakcyjne mogą masowo trafiać do spamu lub być całkowicie blokowane. Z kolei wdrożenie DMARC poprawia reputację domeny, co sprawia, że więcej Twoich e-maili trafia do skrzynek odbiorczych, a nie do spamu
Powinieneś wdrożyć SPF, DKIM i DMARC, ponieważ to dziś podstawa cyfrowej higieny każdej firmy. W ten sposób chronisz reputację marki, zwiększasz dostarczalność e-maili i utrudniasz cyberprzestępcom podszywanie się pod Twoją organizację. A jeśli chcesz sprawdzić, co Twoja firma "pokazuje na zewnątrz", zamów usługę Rekonesans bezpieczeństwa w Exea.
