FARNETIXSolutions

Poradnik

Jak zabezpieczyć firmową pocztę za pomocą SPF, DKIM i DMARC?

SPF, DKIM i DMARC pomagają odbiorcom ocenić, czy wiadomość faktycznie może pochodzić z firmowej domeny. Nie zastępują zdrowego rozsądku, ale są podstawą wiarygodnej poczty.

Problem: podszywanie się pod domenę

Spoofing polega na wysłaniu wiadomości wyglądającej tak, jakby pochodziła z cudzej domeny. Atakujący może próbować podszyć się pod zarząd, księgowość, dział handlowy albo znanego dostawcę. Same zabezpieczenia DNS nie zatrzymają każdego phishingu, ale utrudniają nadużywanie domeny i poprawiają ocenę wiarygodności poczty.

W firmie warto traktować SPF, DKIM i DMARC jako zestaw. Pojedynczy rekord SPF często nie wystarcza, bo nie potwierdza treści wiadomości i nie rozwiązuje problemu zgodności domen widocznych dla użytkownika.

Czym jest SPF?

SPF wskazuje, które serwery mogą wysyłać pocztę w imieniu domeny. Jeżeli firma korzysta z Microsoft 365, hostingu, systemu fakturowania i newslettera, wszystkie legalne źródła trzeba uwzględnić w rekordzie. Rekord SPF nie powinien zawierać starych usług, których nikt już nie używa.

Dlaczego sam SPF nie wystarcza?

SPF sprawdza techniczne źródło wysyłki, ale przy przekazywaniu wiadomości może przestać pasować. Nie podpisuje treści i nie daje odbiorcy pełnej instrukcji, co zrobić z wiadomością, która nie przejdzie kontroli.

Czym jest DKIM?

DKIM dodaje do wiadomości podpis kryptograficzny. Odbiorca może sprawdzić w DNS klucz publiczny i potwierdzić, że wiadomość została wysłana przez uprawniony system oraz nie została istotnie zmieniona po drodze. W Microsoft 365 DKIM trzeba poprawnie włączyć dla własnej domeny, a nie zakładać, że wszystko działa samo z siebie.

Czym jest DMARC i alignment?

DMARC łączy SPF i DKIM z domeną widoczną w polu From. To właśnie alignment sprawia, że mechanizmy nie sprawdzają tylko dowolnej domeny technicznej, ale domenę, którą widzi użytkownik. Dzięki temu łatwiej ograniczyć podszywanie się pod firmowy adres.

Polityka DMARC może działać w trybie none, quarantine albo reject. None służy do obserwacji i zbierania raportów. Quarantine sugeruje oznaczanie wiadomości jako podejrzanych. Reject informuje odbiorców, aby odrzucali wiadomości, które nie przejdą kontroli.

Jak wdrażać DMARC etapami?

Najrozsądniej zacząć od polityki monitorującej. Dopiero po sprawdzeniu raportów i wszystkich legalnych źródeł wysyłki można zaostrzać politykę. W przeciwnym razie firma może sama zablokować swoje newslettery, faktury, powiadomienia z CRM albo wiadomości wysyłane ze strony internetowej.

  • spisz wszystkie systemy wysyłające pocztę z firmowej domeny
  • uporządkuj SPF i usuń nieużywane źródła
  • włącz DKIM dla głównej platformy pocztowej
  • uruchom DMARC w trybie monitorowania
  • przejrzyj raporty i dopiero potem rozważ quarantine lub reject

Przykłady rekordów tylko jako ilustracja

Nie należy kopiować gotowych rekordów DNS bez analizy. Przykładowy rekord SPF dla firmy używającej wyłącznie Microsoft 365 wygląda inaczej niż rekord firmy korzystającej dodatkowo z newslettera, CRM i hostingu. Każde include zwiększa zakres zaufania i powinno mieć uzasadnienie.

Podobnie DMARC z polityką reject nie jest dobrym pierwszym krokiem, jeżeli nikt nie sprawdził raportów. Bezpieczne wdrożenie polega na przejściu od obserwacji do egzekwowania zasad.

Najczęstsze błędy

Największy bałagan powstaje wtedy, gdy rekordy DNS były zmieniane przez wiele lat przez różnych dostawców. Nikt nie wie, które wpisy są potrzebne, a firma boi się cokolwiek usunąć.

  • więcej niż jeden rekord SPF dla tej samej domeny
  • zbyt długi SPF przekraczający limity zapytań DNS
  • brak DKIM dla domeny używanej w polu From
  • DMARC ustawiony na reject bez testów
  • pominięcie systemu fakturowania, CRM, newslettera lub strony WWW

Podsumowanie

SPF, DKIM i DMARC są podstawą porządnej konfiguracji poczty firmowej. Najpierw trzeba znać źródła wysyłki, potem uporządkować DNS, włączyć podpisywanie i stopniowo egzekwować politykę DMARC. FARNETIX może pomóc w audycie domeny, konfiguracji rekordów i migracji poczty do Microsoft 365.

Powiązane usługi

Domeny i pocztaCyberbezpieczeństwoMicrosoft 365

Powiązane poradniki

Jak przygotować firmę do migracji do Microsoft 365?Jak przygotować firmę do wdrożenia uwierzytelniania MFA?Jak zaplanować kopie zapasowe w firmie zgodnie z zasadą 3-2-1?

FAQ

Najczęstsze pytania

Czy SPF, DKIM i DMARC zatrzymają każdy phishing?

Nie. Te mechanizmy ograniczają podszywanie się pod domenę i poprawiają wiarygodność poczty, ale użytkownicy nadal mogą otrzymywać phishing z innych domen.

Czy mogę skopiować rekord SPF z Internetu?

Nie warto. Rekord musi odpowiadać rzeczywistym systemom wysyłającym pocztę w firmie. Przypadkowy wpis może nic nie zabezpieczyć albo zablokować legalną wysyłkę.

Od jakiej polityki DMARC zacząć?

Najczęściej od none, czyli monitorowania. Dopiero po analizie raportów i naprawie źródeł wysyłki można przechodzić do quarantine lub reject.

Kontakt

Chcesz przełożyć ten temat na konkretne wdrożenie?

Opisz krótko problem, środowisko lub planowaną zmianę. W odpowiedzi ustalimy, czy najlepszym początkiem będzie konsultacja, przegląd konfiguracji, jednorazowe wdrożenie czy stała obsługa.

Umów konsultację kontakt@farnetix.pl
Zadzwoń