SPF, DKIM, DMARC: Trio Bezpieczeństwa E-mail, Którego Potrzebuje Twoje Biuro Rachunkowe

Biura rachunkowe to sektor najbardziej atakowany przez Business Email Compromise (BEC) — oszustwo, w którym atakujący wysyłają e-maile wyglądające jak wiadomości od prawdziwej firmy, aby przekierować płatności lub wyłudzić dane finansowe.

Powód, dla którego biura rachunkowe są atakowane, jest prosty: regularnie komunikują się z klientami w sprawach pieniędzy. E-mail od „Twojego księgowego” z prośbą o aktualizację konta bankowego przed nadchodzącym przelewem jest wiarygodny. A jeśli Twoja domena e-mail nie jest odpowiednio skonfigurowana, taki e-mail może naprawdę wyglądać, jakby pochodził z Twojego adresu.

Trzy rekordy DNS istnieją właśnie po to, by temu zapobiec: SPF, DKIM i DMARC.

SPF — Kto Ma Prawo Wysyłać E-mail w Twoim Imieniu

Sender Policy Framework (SPF) to rekord DNS, który wymienia serwery uprawnione do wysyłania poczty e-mail przy użyciu nazwy Twojej domeny.

Gdy przychodzi e-mail podający się za @twojafirma.pl, odbierający serwer pocztowy sprawdza Twój rekord SPF. Jeśli wysyłający serwer nie jest na zatwierdzonej liście, e-mail nie przechodzi weryfikacji SPF.

Jak wygląda podstawowy rekord SPF:

v=spf1 include:_spf.google.com ~all

~all na końcu oznacza „miękkie odrzucenie” — e-maile z niewymienionych serwerów są oznaczane jako podejrzane, ale nadal dostarczane. Zmień na -all, aby uzyskać twarde odrzucenie.

Sprawdź swój rekord: W terminalu lub za pomocą narzędzia do sprawdzania DNS online:

dig TXT twojadomena.pl

Jeśli nie widzisz rekordu v=spf1, nie masz ochrony SPF.

DKIM — Kryptograficzny Podpis na Każdym E-mailu

DomainKeys Identified Mail (DKIM) dodaje cyfrowy podpis do każdego e-maila wysyłanego przez Twój serwer. Podpis jest weryfikowany na podstawie klucza publicznego opublikowanego w Twoim DNS.

Oznacza to, że nawet jeśli atakujący wyśle e-mail z serwera, który jakoś przejdzie SPF, nie będzie w stanie odtworzyć podpisu DKIM — bo nie ma Twojego klucza prywatnego.

DKIM jest zazwyczaj włączany w ustawieniach platformy e-mail (Google Workspace, Microsoft 365 lub u dostawcy hostingu). Po włączeniu Twój DNS otrzymuje rekord:

selector._domainkey.twojadomena.pl  TXT  v=DKIM1; k=rsa; p=MIGfMA0...

DMARC — Co Zrobić, Gdy SPF lub DKIM Zawiedzie

Domain-based Message Authentication, Reporting and Conformance (DMARC) to rekord polityki, który mówi odbierającym serwerom pocztowym, co zrobić z e-mailem, który nie przejdzie weryfikacji SPF lub DKIM.

v=DMARC1; p=quarantine; rua=mailto:dmarc@twojadomena.pl

Wartość p= kontroluje, co dzieje się z nieudanymi e-mailami:

• p=none — nic nie rób, tylko raportuj (dobry punkt startowy)
• p=quarantine — wyślij do folderu spam
• p=reject — zablokuj e-mail całkowicie

DMARC wysyła też raporty zbiorcze (rua=) pokazujące, kto wysyła e-maile używając Twojej domeny — w tym atakujący. To bezcenne informacje wywiadowcze.

Ryzyko Brakujących Rekordów

Domena bez rekordu DMARC (a wiele z tylko p=none) może być sfałszowana przez każdego. Atakujący wysyłający e-maile z ksiegowosc@twojafirma.pl będą mieli te e-maile dostarczane do skrzynek klientów bez żadnych ostrzeżeń o spamie.

W naszych ocenach odkrywamy, że ponad 70% małych biur rachunkowych nie ma co najmniej jednego z tych trzech rekordów, a praktycznie żadne nie ma DMARC ustawionego na reject.

Jak Sprawdzić Swoją Domenę Teraz

1. Przejdź do MXToolbox SPF Lookup i wpisz swoją domenę
2. Przejdź do MXToolbox DMARC Lookup i wpisz swoją domenę
3. Sprawdź panel administracyjny platformy e-mail pod kątem statusu DKIM

Jeśli którykolwiek z tych rekordów zawiedzie lub nie istnieje, skontaktuj się z działem IT lub obsługą techniczną platformy e-mail. Wszystkie trzy rekordy można zazwyczaj skonfigurować w mniej niż godzinę.

---

Chcesz wiedzieć, czy domena e-mail Twojej firmy jest teraz podatna na spoofing? Nasze bezpłatne skanowanie wstępne obejmuje pełną kontrolę bezpieczeństwa e-mail — SPF, DKIM, DMARC i analizę domen lookalike. Bez kosztów, wyniki w 24 godziny.