Jak ochronić swoją pocztę przed spoofingiem – szybki poradnik

Spoofing e-mailowy to metoda podszywania się pod firmowe adresy e-mail, wykorzystywana przez cyberprzestępców do oszustw i wyłudzania danych. Aby skutecznie się przed tym bronić, warto skonfigurować odpowiednie rekordy DNS. W artukule pokrótce wyjaśniam co i jak.

Co się stało? – historia z życia wzięta

Niedawno jeden z moich starych Klientów napisał do mnie z nietypowym problemem. Otrzymali wiadomość e-mail, w której ktoś podszył się pod ich firmową domenę i wysłał fałszywą fakturę. Problem w tym, że adres nadawcy wyglądał łudząco podobnie do ich prawdziwego adresu firmowego – różnił się zaledwie kilkoma literami. 

Klient otrzymał wiadomość o treści: „W załączniku pilna faktura do opłacenia, puść ją jeszcze rano ekspresowym przelewem.” Wiadomość została wysłana z adresu jan.kowalski@abc.com, podczas gdy prawdziwy adres e-mail klienta to j.kowalski@abc.com. Odbiorca mógł łatwo przeoczyć subtelną różnicę w adresie, co czyni ten rodzaj ataku szczególnie niebezpiecznym. Otrzymałem pytanie „Jak to możliwe, że ktoś wysłał maila z naszej domeny, skoro takiego adresu nawet nie założyliśmy? I co możemy zrobić, żeby się przed tym zabezpieczyć?”

To klasyczny przykład ataku zwanego spoofingiem, który jest coraz częstszym zagrożeniem w biznesowej komunikacji e-mailowej.

Czym jest spoofing?

Spoofing to technika wykorzystywana przez cyberprzestępców do podszywania się pod innego nadawcę. W przypadku e-maili oznacza to, że atakujący może wysłać wiadomość, która wygląda tak, jakby pochodziła z Twojej domeny – mimo że w rzeczywistości w ogóle nie ma dostępu do Twojej skrzynki e-mail.

To trochę jak fałszywa przesyłka – ktoś wysyła paczkę i podpisuje ją Twoim nazwiskiem. Odbiorca widzi znane dane nadawcy, ale tak naprawdę nie masz nic wspólnego z tą wiadomością. Taka technika jest wykorzystywana między innymi do:

  • wysyłania fałszywych faktur i wyłudzania pieniędzy,
  • phishingu, czyli prób wyłudzenia danych logowania,
  • rozsiewania złośliwego oprogramowania poprzez załączniki,
  • podważania zaufania do Twojej marki i firmy.

Dobrą wiadomością jest to, że można skutecznie zabezpieczyć swoją domenę przed spoofingiem.

Jak chronić się przed spoofingiem?

Najważniejsze jest odpowiednie skonfigurowanie ustawień DNS Twojej domeny. W tym celu warto skontaktować się z administratorem IT lub dostawcą poczty i upewnić się, że w Twojej domenie są poprawnie skonfigurowane trzy kluczowe mechanizmy zabezpieczające:

  1. SPF (Sender Policy Framework) – określa, które serwery mogą wysyłać e-maile w imieniu Twojej domeny.
  2. DKIM (DomainKeys Identified Mail) – dodaje cyfrowy podpis do wysyłanych wiadomości, aby odbiorca mógł zweryfikować, czy wiadomość nie została zmieniona po drodze.
  3. DMARC (Domain-based Message Authentication, Reporting & Conformance) – łączy SPF i DKIM, a także pozwala zdefiniować, co ma się stać z wiadomościami, które nie przejdą tych zabezpieczeń (np. można je odrzucić lub oznaczyć jako spam).

SPF, DKIM i DMARC od strony technicznej

Jeśli masz dostęp do panelu zarządzania DNS Twojej domeny, możesz dodać odpowiednie rekordy ręcznie. Oto szczegółowa instrukcja dla każdego z nich:

SPF – określenie dozwolonych serwerów pocztowych

SPF to mechanizm, który określa, które serwery mają prawo wysyłać wiadomości w imieniu Twojej domeny. Aby sprawdzić, czy Twoja domena ma już skonfigurowany SPF, możesz użyć np. narzędzia MXToolbox i podać swoją domenę w kategorii SPF Record Lookup. 

Przykładowy rekord SPF dla domeny obsługiwanej przez Google Workspace wygląda następująco, przy czym:

  • include:_spf.google.com – oznacza, że serwery Google są autoryzowane do wysyłania e-maili.
  • ~all – oznacza, że wszystkie inne serwery są traktowane jako podejrzane (można użyć -all, aby je całkowicie zablokować).
v=spf1 include:_spf.google.com ~all

DKIM – podpisywanie wiadomości cyfrowym kluczem

DKIM (DomainKeys Identified Mail) dodaje unikalny podpis do każdej wiadomości e-mail, aby odbiorca mógł sprawdzić, czy wiadomość pochodzi z autoryzowanego źródła. Dla Google Workspace można wygenerować DKIM w panelu administracyjnym Google: przejdź do Admin Console > Aplikacje > Google Workspace > Gmail > Uwierzytelnianie e-maili. Następnie kliknij Skonfiguruj DKIM i wygeneruj klucz, a na końcu dodaj wygenerowany rekord DKIM do ustawień DNS Twojej domeny.

Przykładowy rekord DKIM wklejam poniżej:

domainkey._domainkey.example.com IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSI..."

DMARC – polityka ochrony przed spoofingiem

DMARC pozwala określić, co powinno stać się u odbiorcy z wiadomościami, które nie przejdą uwierzytelnienia SPF i DKIM.  Przykładowy rekord DMARC znajduje się poniżej, przy czym:

  • p=none – oznacza monitorowanie, ale bez blokowania podejrzanych wiadomości,
  • p=quarantine – oznacza, że podejrzane wiadomości trafiają do spamu.
  • p=reject – oznacza, że wiadomości są całkowicie odrzucane.

Konfigurację DMARC zaleca się od rozpoczęcia od p=none, aby monitorować wiadomości, zanim zaczniemy je blokować.

_dmarc.example.com IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com"
Scroll to Top