SPF, DKIM i DMARC: trzy rekordy DNS, których brak otwiera drzwi do podszywania się pod Twoją firmę

Wyobraź sobie wiadomość wysłaną do Twojego klienta z adresu [email protected] z prośbą o pilną zmianę numeru konta do przelewu. Nadawca nie włamał się na żadną skrzynkę. Po prostu wpisał Wasz adres jako nadawcę, a poczta odbiorcy go przepuściła.

E-mail wciąż jest najczęstszym kanałem ataku na organizacje, a podszywanie się pod firmową domenę prowadzi do bardzo konkretnych strat: finansowych, reputacyjnych i operacyjnych.

• Oszustwo „na prezesa” i fałszywe faktury: przestępca pisze do księgowości lub klienta z Waszego adresu i wyłudza przelew na podstawiony rachunek.
• Phishing klientów i partnerów: wiarygodna wiadomość z Waszej domeny to idealne narzędzie do kradzieży danych logowania.
• Utrata reputacji: gdy klient padnie ofiarą oszustwa „od Was”, odpowiada za to Wasza marka, nawet bez technicznego włamania.
• Problemy z dostarczalnością: Gmail i Yahoo wymagają uwierzytelnienia, więc bez niego legalne e-maile trafiają do spamu lub nie docierają.

Najłatwiej zrozumieć te trzy mechanizmy na przykładzie listu pocztowego. SPF (Sender Policy Framework) to opublikowana w DNS lista serwerów uprawnionych do wysyłania poczty w imieniu Waszej domeny, jak zgłoszenie na poczcie, że listy nadaje wyłącznie wskazana filia.

DKIM (DomainKeys Identified Mail) to cyfrowa pieczęć dołączana do każdej wiadomości. Działa jak pieczęć lakowa na liście: potwierdza, że e-mail pochodzi z Waszej domeny i nie został zmieniony po drodze.

DMARC jest najważniejszy, a zarazem najczęściej pomijany. Mówi poczcie odbiorcy, co zrobić z wiadomością, która nie przeszła weryfikacji, i wysyła Wam raporty o próbach podszywania się. Co istotne, SPF i DKIM chronią adresy techniczne, a widoczny w polu „Od” adres (ten, który wykorzystują oszuści) zabezpiecza dopiero DMARC.

• Przykładowy SPF dla Google Workspace: v=spf1 include:_spf.google.com -all. Kluczowa końcówka -all odrzuca wszystko spoza listy.
• Częsty błąd to zakończenie SPF na ~all lub +all, co w praktyce wyłącza ochronę.
• Przykładowy DMARC z pełną ochroną: v=DMARC1; p=reject; rua=mailto:[email protected].
• Parametr p: none to tylko obserwacja (brak ochrony), quarantine kieruje do spamu, a reject odrzuca i stanowi poziom docelowy.

Sprawdzenie zajmuje kilka minut i nie wymaga instalowania niczego. W wariancie prostym wpisz nazwę domeny w darmowe narzędzie online, np. MXToolbox, dmarcian lub Google Admin Toolbox, i zobacz sekcje SPF oraz DMARC.

Dział IT może wykonać zapytania DNS w wierszu poleceń: nslookup -type=TXT twojafirma.pl oraz nslookup -type=TXT _dmarc.twojafirma.pl. DKIM trudniej sprawdzić „na ślepo”, bo wymaga znajomości selektora. To dobry moment, by potwierdzić konfigurację z działem IT lub dostawcą poczty.

• Brak rekordu SPF: domena nie ma podstawowej ochrony.
• SPF kończy się na ~all, ?all lub +all: ochrona osłabiona lub wyłączona.
• Brak rekordu DMARC: każdy może podszyć się pod widoczny adres nadawcy.
• DMARC p=none to tylko obserwacja (brak realnej ochrony); p=quarantine lub p=reject: ochrona faktycznie działa.

Sama obecność rekordów nie wystarczy. W praktyce najczęściej spotykamy te same, pozornie drobne błędy, które po cichu wyłączają ochronę.

• DMARC zatrzymany na p=none: firma „ma DMARC”, ale ten w ogóle nie chroni.
• SPF z ~all zamiast -all: ochrona pozorna.
• Przekroczony limit odwołań w SPF: standard dopuszcza maks. 10 zapytań DNS; po przekroczeniu rekord przestaje działać.
• Zapomniane subdomeny: ochrona głównej domeny nie obejmuje automatycznie np. info.twojafirma.pl.
• Brak analizy raportów DMARC: raporty przychodzą, ale nikt ich nie czyta, więc próby podszywania się pozostają niewidoczne.

Uwierzytelnianie poczty rzadko bywa wymienione wprost jako osobny obowiązek. Jest jednak powszechnie uznanym mechanizmem ochrony przed phishingiem i podszywaniem się, a ochrona komunikacji i odporność na ataki socjotechniczne wynikają wprost z podejścia oczekiwanego przez KSC/NIS2 oraz z dobrych praktyk ISO/IEC 27001.

Innymi słowy: poprawnie skonfigurowane SPF, DKIM i DMARC to jeden z najprostszych i najtańszych dowodów należytej staranności. Ich brak jest natomiast jednym z pierwszych sygnałów niskiej dojrzałości bezpieczeństwa, który dostrzega zarówno audytor, jak i atakujący.

Sprawdzenie trzech rekordów to dobry pierwszy krok, ale rzadko występuje w izolacji. Jeśli brakuje ochrony poczty, zwykle brakuje też kilku innych podstaw: uwierzytelniania wieloskładnikowego, testowanych kopii zapasowych czy procedury obsługi incydentów.

W ramach Diagnostyki KSC/NIS2 w kilka dni ustalamy, czy organizacja może podlegać obowiązkom KSC/NIS2, gdzie są najważniejsze luki prawne i techniczne (w tym te dotyczące poczty) i od czego zacząć. Efektem jest krótki, zrozumiały dla zarządu raport z priorytetami działań.

Nie masz pewności, czy Twoja domena jest zabezpieczona przed podszywaniem się? Sprawdź ją według instrukcji powyżej, a po więcej umów krótką konsultację. Wspólnie ocenimy, czy warto wykonać Diagnostykę KSC/NIS2.