Zrozumienie uwierzytelniania wiadomości i spoofingu domen: SPF, DKIM i DMARC

Twoja firma jest celem ataków typu spoofing oraz prób wyłudzenia informacji. Jeśli Twoje wiadomości nie są uwierzytelniane, napastnicy mogą łatwo podszyć się pod Twoją domenę. Bez uwierzytelniania każdy w internecie może wysłać wiadomość, podszywając się pod Ciebie.

Wypróbuj Proton Mail bezpłatnie przez 14 dni Zamów demo

Co oznacza uwierzytelnianie wiadomości?

Uwierzytelnianie wiadomości to zestaw standardów technicznych, które weryfikują, czy nadawca wiadomości jest tym, za kogo się podaje. Został opracowany, ponieważ oryginalny protokół poczty elektronicznej (Simple Mail Transfer Protocol, czyli SMTP) nie ma wbudowanej funkcji zapobiegającej sfałszowaniu adresu nadawcy.

Aby zrozumieć uwierzytelnianie, warto wiedzieć, że wiadomość ma dwa adresy nadawcy:

1. Nadawca kopertowy (RFC 5321)

Znany również jako adres MAIL FROM, nadawca P1 lub ścieżka powrotna (return-path). Jest to adres techniczny używany przez serwery poczty w tle do przekierowywania i doręczania.

Cel: informuje serwer odbiorczy, dokąd wysyłać automatyczne wiadomości, takie jak powiadomienia o zwrocie lub raporty o niedoręczeniu (NDR).
Widoczność: odbiorcy zazwyczaj nigdy nie widzą tego adresu w swojej aplikacji pocztowej; jest on częścią ukrytej „koperty” wiadomości.
Rola w zabezpieczeniach: jest to adres weryfikowany przez SPF.

2. Nadawca nagłówka (RFC 5322)

Znany również jako adres Od: lub nadawca P2. Jest to adres widoczny w Twojej skrzynce odbiorczej (np. Od: twoj-bank@example.com).

Cel: jest to „przyjazny” adres przeznaczony do interakcji z człowiekiem, informujący odbiorcę, od kogo rzekomo pochodzi wiadomość.
Widoczność: jest to jedyny adres, jaki większość użytkowników widzi po otwarciu swojej skrzynki odbiorczej.
Rola w zabezpieczeniach: ten adres jest najczęściej fałszowany przez napastników i to na nim skupia się weryfikacja zgodności DMARC.

Taka konstrukcja sprawia, że spoofing wiadomości (fałszowanie adresu Od:) jest prosty. Napastnik może użyć kontrolowanego przez siebie, prawidłowego nadawcy kopertowego, aby przejść podstawowe kontrole serwera, jednocześnie używając sfałszowanego nadawcy nagłówka do oszukania odbiorcy. Protokoły uwierzytelniania wiadomości, takie jak DMARC, rozwiązują ten problem, wymagając zgodności domen tych dwóch nadawców.

Dlaczego uwierzytelnianie wiadomości jest niezbędne dla firm?

Dla firm wdrożenie uwierzytelniania wiadomości to bezdyskusyjny element obrony. To rozwiązanie:

Zatrzymuje spoofing i próby wyłudzenia informacji: uniemożliwia napastnikom wysyłanie sfałszowanych wiadomości z Twojej domeny.

Chroni reputację Twojej marki: zapobiega kojarzeniu Twojej marki ze spamem i oszustwami opartymi na próbach wyłudzenia informacji.

Poprawia dostarczalność wiadomości: sygnalizuje innym dostawcom poczty e-mail, że jesteś wiarygodnym nadawcą, co zapobiega trafianiu Twoich wiadomości do folderu ze spamem.

Trzy główne metody uwierzytelniania wiadomości

Skuteczna obrona opiera się na trzech współpracujących ze sobą standardach: SPF, DKIM i DMARC. Każdy z nich bazuje na poprzednim, tworząc wielowarstwową ochronę.

1. Sender Policy Framework (SPF)

Sender Policy Framework (SPF) to publiczna lista wszystkich serwerów (według adresów IP), które mają uprawnienia do wysyłania wiadomości z Twojej domeny.

Jak to działa

Publikujesz tę listę jako rekord DNS TXT dla swojej domeny. Gdy serwer poczty odbiorcy otrzyma wiadomość, sprawdza IP serwera wysyłającego pod kątem zgodności z tą listą. Jeśli adres IP znajduje się na liście, wiadomość pomyślnie przechodzi weryfikację SPF; jeśli nie, weryfikacja kończy się niepowodzeniem.

Słaby punkt

SPF weryfikuje jedynie techniczny adres wysyłania używany przez serwery poczty, a no nie widoczny adres Od:, który użytkownicy widzą w swojej skrzynce odbiorczej. Ta luka pozwala osobom podszywającym się pod innych na pomyślne przechodzenie weryfikacji SPF. Ponieważ SPF jest protokołem opartym na ścieżce, często zawodzi również wtedy, gdy wiadomość jest przekazywana dalej przez listę mailingową lub serwer partnerski. Ponieważ serwer przekazujący dalej nie znajduje się na Twojej liście autoryzowanych serwerów, weryfikacja kończy się niepowodzeniem.

2. DomainKeys Identified Mail (DKIM)

DomainKeys Identified Mail (DKIM) dodaje do treści wiadomości unikalny, odporny na manipulacje podpis cyfrowy, obejmujący również nagłówek Od:.

Jak to działa

Podpis ten jest tworzony przy użyciu klucza prywatnego, który zna wyłącznie Twój serwer. Odpowiadający mu klucz publiczny jest publikowany w Twoim DNS. Serwery odbiorcze używają tego klucza publicznego do weryfikacji podpisu. Jeśli jest on prawidłowy, potwierdza to, że wiadomość pochodzi z Twojej domeny, a jej treść nie została zmodyfikowana podczas przesyłania.

Słaby punkt

Podobnie jak SPF, DKIM sam w sobie nie powstrzymuje spoofingu. Podpis potwierdza, że wiadomość jest autentyczna dla domeny, która ją wysłała, a niekoniecznie dla domeny widocznej w adresie Od:.

3. Uwierzytelnianie, raportowanie i zgodność komunikatów opartych na domenie (DMARC)

Uwierzytelnianie, raportowanie i zgodność komunikatów opartych na domenie (DMARC) to zasada, która łączy ze sobą SPF i DKIM. DMARC to reguła, która nakazuje serwerom pocztowym ufać wiadomościom e-mail tylko wtedy, gdy adres Od:, który widzisz, zgadza się z wynikami uwierzytelniania w tle. Zamyka to lukę, którą atakujący wykorzystują przy użyciu samego SPF lub DKIM.

Jak to działa

DMARC wymaga, aby domena w widocznym adresie Od: była zgodna z domeną użytą w pozytywnie zweryfikowanym teście SPF lub DKIM. Ten kluczowy krok łączy widoczny adres nadawcy z weryfikacją techniczną.

Informuje również serwery, co mają zrobić: Twoja zasada DMARC (p) instruuje serwery odbiorcze, jak postępować w przypadku niepowodzenia uwierzytelniania:

p=none (Monitor): Brak działań. Po prostu wysyła raporty zwrotne do Ciebie o tym, kto wysyła wiadomości z Twojej domeny.
p=quarantine (Kwarantanna): kieruj niezweryfikowane wiadomości do folderu ze spamem.
p=reject (Odrzucenie): całkowicie blokuj niezweryfikowane wiadomości.

Chroń swoją firmę przed phishingiem i spoofingiem domeny

Ponad 90% wszystkich naruszeń bezpieczeństwa danych zaczyna się od ataku phishingowego lub spoofingowego. Wdrożenie SPF, DKIM i DMARC to Twoja pierwsza linia obrony, ale musi iść w parze z dostawcą poczty e-mail, który jest domyślnie bezpieczny.

Proton Mail for Business zaprojektowano tak, aby blokować te zagrożenia, zanim w ogóle dotrą do Twojego zespołu. Nasze zaawansowane wykrywanie spoofingu, technologia PhishGuard oraz szyfrowanie end-to-end zapewniają kompleksową ochronę, którą łatwo zarządzać.

Wypróbuj Proton Mail bezpłatnie przez 14 dni Zamów demo

Jak skonfigurować uwierzytelnianie poczty e-mail (krok po kroku)

Zabezpieczenie Twojej domeny wymaga dodania kilku rekordów w ustawieniach systemu DNS (Domain Name System), którymi zarządza Twój rejestrator domeny (taki jak GoDaddy, Namecheap lub Cloudflare).

Krok 1

Utwórz swój rekord SPF

Najpierw zidentyfikuj wszystkie usługi, których używasz do wysyłania wiadomości e-mail (np. Twój dostawca poczty e-mail, usługa newslettera, taka jak Mailchimp, system CRM). Twój rekord SPF musi uwzględniać je wszystkie. Na przykład rekord SPF dla Proton Mail to v=spf1 include:_spf.proton.me mx ~all. Dodasz go jako rekord TXT w swoich ustawieniach DNS.

Krok 2

Skonfiguruj swój podpis DKIM

W swoim panelu administratora Proton Mail (lub innego dostawcy) przejdź do ustawień domeny. System wygeneruje dla Ciebie unikalny klucz DKIM. Proces konfiguracji DKIM w Microsoft 365, Google Workspace lub Protonie jest podobny: kopiujesz wygenerowany klucz i tworzysz nowy rekord TXT w swoim DNS zgodnie z instrukcją.

Krok 3

Wdróż swoją zasadę DMARC

Dodanie zasady DMARC (p) to ostatni krok. Należy wdrażać ją etapami, aby uniknąć zablokowania Twoich własnych, legalnych wiadomości e-mail:

Zacznij od p=none: utwórz rekord DMARC z zasadą p=none. Ten tryb monitorowania pozwala na otrzymywanie raportów o błędach dostarczania wiadomości e-mail bez wpływu na dostarczanie Twojej poczty.
Przeanalizuj raporty: użyj raportów DMARC, aby znaleźć wszelkie legalne usługi, które nie przechodzą weryfikacji, i dodaj je do swoich rekordów SPF i DKIM.
Przejdź do p=quarantine: gdy zyskasz pewność, zmień swoją zasadę na p=quarantine. Spowoduje to wysyłanie niezweryfikowanych wiadomości e-mail do folderu ze spamem.
Przejdź do p=reject: po dalszym monitorowaniu przejdź do p=reject, aby całkowicie blokować dostarczanie wszelkich sfałszowanych wiadomości e-mail.

Szczegółowe instrukcje konfiguracji, w tym zrzuty ekranu i wartości rekordów, znajdziesz w poradniku wsparcia Protona.

Poza podstawami: ARC i BIMI

Gdy skonfigurujesz już SPF, DKIM i DMARC, istnieją dwa opcjonalne standardy, które mogą przynieść dodatkowe korzyści:

Uwierzytelniony łańcuch odbioru (ARC)

Zachowuje wyniki uwierzytelniania w nienaruszonym stanie, gdy wiadomości e-mail są przekazywane dalej (np. przez listy mailingowe), co często powoduje błędy SPF lub DKIM.

Wskaźniki marki do identyfikacji wiadomości (BIMI)

Umożliwia wyświetlanie oficjalnego logo Twojej firmy obok Twoich wiadomości e-mail w obsługiwanych skrzynkach odbiorczych. Pomyśl o tym jak o „zweryfikowanym znaczniku wyboru” dla wiadomości e-mail. Aby się kwalifikować, potrzebujesz rygorystycznej zasady DMARC (quarantine lub reject).

Jak Proton Mail zabezpiecza Twoją pocztę firmową

Konfiguracja uwierzytelniania poczty e-mail jest kluczowa, ale to tylko jeden z elementów kompletnej strategii bezpieczeństwa. Proton Mail dodaje kolejne warstwy ochrony, aby chronić Twoją firmę przed zaawansowanymi zagrożeniami.

Zaawansowane wykrywanie spoofingu

Proton Mail automatycznie sprawdza rekordy SPF, DKIM i DMARC we wszystkich wiadomościach przychodzących. Wiadomości, które nie przejdą pomyślnie tej weryfikacji, są wyraźnie oznaczane, co zmniejsza ryzyko podszywania się pod nadawcę.

PhishGuard

PhishGuard identyfikuje podejrzane linki, wzorce i inne sygnały ostrzegawcze, które często umykają podstawowym filtrom, pomagając blokować próby wyłudzenia informacji, zanim dotrą one do pracowników.

Szyfrowanie end-to-end i zero-access

Wiadomości e-mail między użytkownikami Proton są automatycznie w pełni szyfrowane. Wszystkie Twoje dane są przechowywane przy użyciu szyfrowania zero-access, co oznacza, że nawet my nie możemy przeczytać Twoich wiadomości.

Potwierdzanie linków

Gdy użytkownicy klikną link w wiadomości, Proton Mail wyświetla pełny podgląd docelowego adresu URL, co pomaga zapobiegać przypadkowym kliknięciom złośliwych witryn.

Wypróbuj Proton Mail bezpłatnie przez 14 dni Zamów demo

Zabezpiecz swoją komunikację biznesową

Chroń swoją firmę przed próbami wyłudzenia informacji, spoofingiem i naruszeniami bezpieczeństwa danych dzięki poczcie e-mail, która stawia bezpieczeństwo i prywatność na pierwszym miejscu. Wdróż silne uwierzytelnianie wiadomości e-mail i korzystaj z szyfrowania end-to-end oraz zaawansowanej ochrony przed próbami wyłudzenia informacji – a wszystko to w ramach jednego prostego i bezpiecznego rozwiązania.

Wypróbuj Proton Mail for Business Zamów demo

Często zadawane pytania

Czym różnią się metody SPF i DKIM?: Metoda SPF sprawdza, kto może wysyłać wiadomości e-mail z Twojej domeny, weryfikując serwer wysyłający.
Metoda DKIM sprawdza za pomocą podpisu cyfrowego, czy sama wiadomość nie została naruszona.
Rozwiązują one różne problemy, więc do pełnej ochrony potrzebujesz obu tych metod (oraz protokołu DMARC).
Jak serwery poczty sprawdzają uwierzytelnianie?: Gdy serwer poczty odbiera wiadomość, sprawdza rekordy SPF, DKIM i DMARC nadawcy. Zapisuje wyniki (takie jak „spf=pass” lub „dkim=fail”) w ukrytym nagłówku o nazwie Authentication-Results. Twój dostawca poczty e-mail wykorzystuje te informacje, wraz z wieloma innymi sygnałami, aby zdecydować, czy dostarczyć wiadomość do Twojej skrzynki odbiorczej, oznaczyć ją jako spam, czy zablokować.
Ile czasu potrzeba, aby protokół DMARC zaczął działać?: Rekord DNS staje się aktywny zazwyczaj w ciągu kilku godzin. Bezpieczne wdrażanie DMARC wymaga jednak czasu: zaczynasz od zasady ograniczającej się tylko do monitorowania (p=none), analizujesz raporty, naprawiasz błędy u uprawnionych nadawców, u których weryfikacja nie powiodła się, a następnie stopniowo przechodzisz do bardziej rygorystycznych zasad (p=quarantine lub p=reject). Proces ten często trwa kilka tygodni lub miesięcy.
Co jeśli oszuści podszyją się pod mój adres e-mail?: Protokół DMARC zawiera funkcję raportowania, która informuje Cię, jeśli ktoś próbuje podszyć się pod Twoją domenę. Jeśli to wykryjesz, ostrzeż swoich pracowników, poinformuj swoich klientów i zgłoś oszustwo organom ścigania oraz organizacjom zajmującym się zwalczaniem phishingu, takim jak FTC czy Anti-Phishing Working Group.
Czy to powstrzyma wszystkie próby wyłudzenia informacji?: Żadne pojedyncze narzędzie nie powstrzyma wszystkiego. Metody SPF, DKIM i DMARC doskonale sprawdzają się w blokowaniu bezpośredniego podszywania się pod domenę (spoofingu). Jednak cyberprzestępcy stosują również sztuczki, takie jak łudząco podobne domeny lub przejęte konta. Dlatego uwierzytelnianie powinno być częścią wielowarstwowej obrony, obok szkoleń użytkowników i zaawansowanych funkcji ochronnych, takich jak PhishGuard od Protona.