Spoofing e-mailowy to metoda podszywania się pod firmowe adresy e-mail, wykorzystywana przez cyberprzestępców do oszustw i wyłudzania danych. Aby skutecznie się przed tym bronić, warto skonfigurować odpowiednie rekordy DNS. W artukule pokrótce wyjaśniam co i jak.
Co się stało? – historia z życia wzięta
Niedawno jeden z moich starych Klientów napisał do mnie z nietypowym problemem. Otrzymali wiadomość e-mail, w której ktoś podszył się pod ich firmową domenę i wysłał fałszywą fakturę. Problem w tym, że adres nadawcy wyglądał łudząco podobnie do ich prawdziwego adresu firmowego – różnił się zaledwie kilkoma literami.
Klient otrzymał wiadomość o treści: „W załączniku pilna faktura do opłacenia, puść ją jeszcze rano ekspresowym przelewem.” Wiadomość została wysłana z adresu jan.kowalski@abc.com, podczas gdy prawdziwy adres e-mail klienta to j.kowalski@abc.com. Odbiorca mógł łatwo przeoczyć subtelną różnicę w adresie, co czyni ten rodzaj ataku szczególnie niebezpiecznym. Otrzymałem pytanie „Jak to możliwe, że ktoś wysłał maila z naszej domeny, skoro takiego adresu nawet nie założyliśmy? I co możemy zrobić, żeby się przed tym zabezpieczyć?”
To klasyczny przykład ataku zwanego spoofingiem, który jest coraz częstszym zagrożeniem w biznesowej komunikacji e-mailowej.
Czym jest spoofing?
Spoofing to technika wykorzystywana przez cyberprzestępców do podszywania się pod innego nadawcę. W przypadku e-maili oznacza to, że atakujący może wysłać wiadomość, która wygląda tak, jakby pochodziła z Twojej domeny – mimo że w rzeczywistości w ogóle nie ma dostępu do Twojej skrzynki e-mail.
To trochę jak fałszywa przesyłka – ktoś wysyła paczkę i podpisuje ją Twoim nazwiskiem. Odbiorca widzi znane dane nadawcy, ale tak naprawdę nie masz nic wspólnego z tą wiadomością. Taka technika jest wykorzystywana między innymi do:
- wysyłania fałszywych faktur i wyłudzania pieniędzy,
- phishingu, czyli prób wyłudzenia danych logowania,
- rozsiewania złośliwego oprogramowania poprzez załączniki,
- podważania zaufania do Twojej marki i firmy.
Dobrą wiadomością jest to, że można skutecznie zabezpieczyć swoją domenę przed spoofingiem.
Jak chronić się przed spoofingiem?
Najważniejsze jest odpowiednie skonfigurowanie ustawień DNS Twojej domeny. W tym celu warto skontaktować się z administratorem IT lub dostawcą poczty i upewnić się, że w Twojej domenie są poprawnie skonfigurowane trzy kluczowe mechanizmy zabezpieczające:
- SPF
(Sender Policy Framework)
– określa, które serwery mogą wysyłać e-maile w imieniu Twojej domeny. - DKIM
(DomainKeys Identified Mail)
– dodaje cyfrowy podpis do wysyłanych wiadomości, aby odbiorca mógł zweryfikować, czy wiadomość nie została zmieniona po drodze. - DMARC
(Domain-based Message Authentication, Reporting & Conformance)
– łączy SPF i DKIM, a także pozwala zdefiniować, co ma się stać z wiadomościami, które nie przejdą tych zabezpieczeń (np. można je odrzucić lub oznaczyć jako spam).
SPF, DKIM i DMARC od strony technicznej
Jeśli masz dostęp do panelu zarządzania DNS Twojej domeny, możesz dodać odpowiednie rekordy ręcznie. Oto szczegółowa instrukcja dla każdego z nich:
SPF – określenie dozwolonych serwerów pocztowych
SPF to mechanizm, który określa, które serwery mają prawo wysyłać wiadomości w imieniu Twojej domeny. Aby sprawdzić, czy Twoja domena ma już skonfigurowany SPF, możesz użyć np. narzędzia MXToolbox i podać swoją domenę w kategorii SPF Record Lookup.
Przykładowy rekord SPF dla domeny obsługiwanej przez Google Workspace wygląda następująco, przy czym:
include:_spf.google.com
– oznacza, że serwery Google są autoryzowane do wysyłania e-maili.~all
– oznacza, że wszystkie inne serwery są traktowane jako podejrzane (można użyć-all
, aby je całkowicie zablokować).
v=spf1 include:_spf.google.com ~all
DKIM – podpisywanie wiadomości cyfrowym kluczem
DKIM (DomainKeys Identified Mail) dodaje unikalny podpis do każdej wiadomości e-mail, aby odbiorca mógł sprawdzić, czy wiadomość pochodzi z autoryzowanego źródła. Dla Google Workspace można wygenerować DKIM w panelu administracyjnym Google: przejdź do Admin Console > Aplikacje > Google Workspace > Gmail > Uwierzytelnianie e-maili. Następnie kliknij Skonfiguruj DKIM i wygeneruj klucz, a na końcu dodaj wygenerowany rekord DKIM do ustawień DNS Twojej domeny.
Przykładowy rekord DKIM wklejam poniżej:
domainkey._domainkey.example.com IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSI..."
DMARC – polityka ochrony przed spoofingiem
DMARC pozwala określić, co powinno stać się u odbiorcy z wiadomościami, które nie przejdą uwierzytelnienia SPF i DKIM. Przykładowy rekord DMARC znajduje się poniżej, przy czym:
p=none
– oznacza monitorowanie, ale bez blokowania podejrzanych wiadomości,p=quarantine
– oznacza, że podejrzane wiadomości trafiają do spamu.p=reject
– oznacza, że wiadomości są całkowicie odrzucane.
Konfigurację DMARC zaleca się od rozpoczęcia od p=none
, aby monitorować wiadomości, zanim zaczniemy je blokować.
_dmarc.example.com IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com"