Brak uwierzytelnienia nadawcy stanowi całkiem poważne zagrożenie dla poczty elektronicznej. Konsekwencją tego może być oznaczanie wysyłanych wiadomości jako spam lub podszywanie się pod organizacje. Aby poradzić sobie z tym problemem, stosuje się protokoły SPF, DKIM i DMARC. Te trzy mechanizmy pomagają w weryfikacji tożsamości nadawcy wiadomości e-mail i chronią zarówno nadawców, jak i odbiorców przed oszustwami.
Jakie zagrożenia wiążą się z brakiem uwierzytelniania nadawcy:
- Phishing: Przestępcy mogą podszywać się pod wiarygodnych nadawców (np. firmy, banki, instytucje finansowe) lub pod Twoją organizację.
- Spam: Niezweryfikowane wiadomości mogą zawierać niechciane reklamy lub linki do złośliwego oprogramowania.
- Utrata reputacji: Wiadomości z domen bez odpowiedniej konfiguracji SPF, DKIM i DMARC mogą być automatycznie klasyfikowane jako spam.
- Niedostarczone wiadomości: Wiadomości e-mail mogą nie docierać do odbiorców lub trafiać do folderu spam, jeśli nie są odpowiednio uwierzytelnione.
Czym są SPF, DKIM i DMARC?
SPF (Sender Policy Framework): Protokół ten pozwala właścicielom domen na określenie, które serwery pocztowe są uprawnione do wysyłania wiadomości w ich imieniu. Rekord SPF w DNS zawiera listę autoryzowanych adresów IP. Serwer odbiorcy sprawdza, czy adres IP serwera wysyłającego wiadomość znajduje się na tej liście.
- Jeśli adres IP jest na liście, wiadomość jest akceptowana.
- Jeśli adres IP nie jest na liście, wiadomość może zostać odrzucona lub oznaczona jako spam.
DKIM (Domain Keys Identified Mail): Protokół ten dodaje cyfrowy podpis do wiadomości e-mail. Podpis ten jest tworzony przy użyciu klucza prywatnego i weryfikowany przez serwer odbiorcy za pomocą klucza publicznego umieszczonego w rekordzie DNS.
- Serwer odbiorcy sprawdza, czy podpis wiadomości jest zgodny z kluczem publicznym, potwierdzając autentyczność wiadomości.
- Wiadomość jest odrzucana, jeśli podpis nie pasuje do klucza publicznego.
DMARC (Domain-based Message Authentication, Reporting and Conformance): Protokół ten opiera się na SPF i DKIM i pozwala właścicielom domen na określenie polityki postępowania serwerów odbierających w przypadku nieudanej weryfikacji SPF lub DKIM. DMARC umożliwia też raportowanie o nieautoryzowanych próbach wysyłania wiadomości z danej domeny.
- Właściciel domeny określa, czy serwer odbierający ma odrzucić wiadomość, oznaczyć ją jako spam, czy dostarczyć bez zmian.
- DMARC pozwala również na otrzymywanie raportów o nieautoryzowanych działaniach, co ułatwia wykrywanie prób phishingu.
Jak SPF, DKIM i DMARC chronią Twóją organizację?
- Zapobieganie podszywaniu się: Mechanizmy te utrudniają cyberprzestępcom podszywanie się pod autentyczne adresy e-mail, co zmniejsza ryzyko phishingu.
- Ochrona reputacji domeny: Dzięki tym mechanizmom Twoje wiadomości są traktowane jako bardziej wiarygodne, co pomaga w uniknięciu filtrów antyspamowych.
- Zwiększona dostarczalność: Prawidłowa konfiguracja SPF, DKIM i DMARC zwiększa szanse na to, że Twoje wiadomości dotrą do skrzynek odbiorczych, a nie do folderów spam.
- Kontrola nad pocztą: DMARC pozwala na monitorowanie, kto wysyła wiadomości z Twojej domeny i na reagowanie na podejrzane działania.
Jak skonfigurować SPF, DKIM i DMARC?
Konfiguracja SPF, DKIM i DMARC wymaga dodania odpowiednich rekordów DNS dla Twojej domeny. Poniżej znajdziesz ogólne wskazówki. Dokładne kroki mogą się różnić w zależności od dostawcy hostingu.
SPF:
- Utwórz rekord TXT w ustawieniach DNS swojej domeny.
- Wpisz wartość rekordu SPF: Na przykład: v=spf1 include:spf.serwer.com -all.
- v=spf1 oznacza wersję SPF.
- include:spf.serwer.com wskazuje na autoryzowany serwer.
- -all oznacza, że wiadomości z nieautoryzowanych serwerów powinny być odrzucane.
- Upewnij się, że Twój rekord SPF jest poprawny, ponieważ w przeciwnym razie wiadomości mogą nie być dostarczane.
- Dodaj wszystkie aplikacje wysyłające emaile w Twoim imieniu (np. Google Apps, MailChimp) do rekordu SPF.

DKIM:
- Wygeneruj klucz publiczny w konsoli administratora swojego dostawcy poczty e-mail.
- Dodaj rekord TXT do DNS swojej domeny z wygenerowanym kluczem publicznym.
- Rekord DKIM zazwyczaj zawiera selektor (identyfikator klucza), np. selector._domainkey.domena.pl.
- Włącz podpisywanie wiadomości e-mail w ustawieniach swojego serwera pocztowego.
- Upewnij się, że podpisywanie DKIM jest włączone dla wiadomości wychodzących.

DMARC:
- Upewnij się, że masz skonfigurowane SPF i DKIM.
- Utwórz rekord TXT o nazwie _dmarc w strefie DNS swojej domeny.
- Skonfiguruj rekord DMARC, ustawiając politykę (p), adres e-mail do raportów (rua) i inne opcje.
- Przykładowy rekord: v=DMARC1; p=none; rua=mailto:dmarc@twojadomena.pl;.
- v=DMARC1 oznacza wersję DMARC.
- p=none oznacza, że serwer odbiorcy nie podejmuje żadnych działań, ale wysyła raporty.
- p=quarantine powoduje, że wiadomości są oznaczane jako spam.
- p=reject powoduje, że wiadomości są odrzucane.
- rua=mailto:dmarc@twojadomena.pl wskazuje adres e-mail do raportów.
Możesz użyć generatorów DMARC takich jak https://mxtoolbox.com/DMARCRecordGenerator.aspx aby utworzyć rekord.
- Ustaw p=none na początku, aby upewnić się, że SPF i DKIM są poprawnie skonfigurowane.

Jak sprawdzić, czy SPF, DKIM i DMARC są poprawnie skonfigurowane?
Najprostsze będzie użycie narzędzi online. Poniżej kilka przykładów:
- MxToolbox: Sprawdź rekordy SPF, DKIM i DMARC.
- Google Apps Toolbox: Sprawdź rekord SPF.
- dmarcmonitor.net: Sprawdź rekord DMARC.
- mail-tester.com: Wyślij testowy e-mail i sprawdź konfigurację.
- https://bezpiecznapoczta.cert.pl: Proste sprawdzenie poprawności konfiguracji
Wyślij testowy e-mail: Wyślij e-mail na specjalny adres testowy udostępniony przez narzędzie do weryfikacji. System zweryfikuje konfigurację SPF, DKIM i DMARC.
Testowy mail możesz wysłać na przykład wykorzystując serwis udostępniony przez CERT Polska https://bezpiecznapoczta.cert.pl

- Skorzystaj z narzędzi w panelu hostingu: Niektórzy dostawcy hostingu oferują wbudowane narzędzia do sprawdzania konfiguracji.
- Monitoruj raporty DMARC: Sprawdzaj raporty, które przychodzą na adres e-mail skonfigurowany w rekordzie DMARC, aby śledzić potencjalne próby podszywania się. Są do tego gotowe narzędzia.
Konfiguracja SPF, DKIM i DMARC to ważny krok w kierunku zabezpieczenia poczty e-mail. Te protokoły pomagają chronić przed phishingiem i podszywaniem się pod Twoją organizację. Chociaż konfiguracja tych mechanizmów może wydawać się skomplikowana, warto poświęcić czas na ich prawidłowe ustawienie. Po konfiguracji monitoruj czy rekordy są nadal poprawnie skonfigurowane.