DMARC, DKIM i SPF: jak zabezpieczyć pocztę firmową przed phishingiem i atakami BEC

Klient przelał pieniądze, ale nie do Ciebie

Wyobraź sobie tę sytuację: stały kontrahent dzwoni z pytaniem, dlaczego faktura wyglądała inaczej niż zwykle i skąd wziął się nowy numer konta. Twoja firma nic nie wysyłała. Ktoś użył Twojej domeny, skonstruował wiadomość nie do odróżnienia od oryginalnej i skierował przelew do siebie. To właśnie atak Business Email Compromise, jeden z najszybciej rosnących rodzajów cyberprzestępczości wymierzonych w polskie firmy sektora MŚP.

Według raportów CERT Polska za lata 2024 i 2025 liczba incydentów typu BEC wzrosła o ponad 60 procent w segmencie małych i średnich przedsiębiorstw. Atakujący nie włamują się do serwerów, nie potrzebują kosztownych narzędzi. Wystarczy im to, że większość polskich firm nigdy nie skonfigurowała trzech rekordów DNS: SPF, DKIM i DMARC.

Czym są SPF, DKIM i DMARC i dlaczego razem tworzą tarczę

Każdy z tych trzech mechanizmów rozwiązuje inny aspekt problemu uwierzytelniania poczty elektronicznej, a dopiero razem tworzą pełne zabezpieczenie.

SPF, czyli kto może wysyłać w imieniu Twojej domeny

Rekord SPF (Sender Policy Framework) to wpis TXT w DNS Twojej domeny, który precyzyjnie określa, które serwery pocztowe są uprawnione do wysyłania wiadomości z adresem nadawcy zawierającym Twoją domenę. Jeśli wiadomość pochodzi z serwera, którego nie ma na liście, serwer odbiorcy może ją odrzucić lub oznaczyć jako podejrzaną.

Dla firmy korzystającej z Microsoft 365 rekord SPF wygląda następująco:

v=spf1 include:spf.protection.outlook.com -all

Najczęstszy błąd przy SPF to zapomnienie o aktualizacji rekordu po dodaniu nowego narzędzia, które wysyła e-maile w imieniu firmy, na przykład systemu CRM, platformy newsletter czy zewnętrznego ERP. Każda taka usługa musi znaleźć się w rekordzie SPF, inaczej jej wiadomości będą trafiać do spamu klientów.

DKIM, czyli podpis cyfrowy na każdej wiadomości

DKIM (DomainKeys Identified Mail) działa jak pieczęć notarialna. Serwer pocztowy nadawcy dodaje do każdej wysyłanej wiadomości zaszyfrowany podpis cyfrowy oparty na kluczu prywatnym przechowywanym po stronie serwera. Klucz publiczny, opublikowany w DNS domeny, pozwala serwerowi odbiorcy zweryfikować, że wiadomość rzeczywiście pochodzi z autoryzowanego serwera i nie została zmodyfikowana w trakcie transmisji.

W Microsoft 365 DKIM włącza się w portalu Microsoft 365 Defender, w sekcji Email and Collaboration, następnie Policies, DKIM. Po włączeniu system generuje dwa rekordy CNAME, które należy dodać w panelu DNS domeny. Aktywacja trwa kilka godzin ze względu na propagację DNS.

DMARC, czyli polityka i widoczność

DMARC (Domain-based Message Authentication, Reporting and Conformance) łączy SPF i DKIM w jedną spójną politykę i, co równie ważne, generuje raporty o tym, co dzieje się z pocztą wysyłaną z Twojej domeny.

Rekord DMARC definiuje, co serwer odbiorcy ma zrobić z wiadomością, która nie przeszła weryfikacji SPF ani DKIM. Do wyboru są trzy poziomy: p=none pozwala na dostarczenie wiadomości, ale generuje raporty, p=quarantine kieruje podejrzane wiadomości do folderu spam, a p=reject nakazuje ich całkowite odrzucenie.

Jak wdrożyć DMARC krok po kroku

Pośpiech przy wdrażaniu DMARC jest błędem. Zbyt restrykcyjna polityka wdrożona bez uprzedniej analizy może zablokować legitymacją korespondencję firmową.

Pierwszym krokiem jest zawsze wdrożenie w trybie monitoringu. Rekord DMARC z polityką p=none i adresem do raportów daje wgląd w to, skąd faktycznie pochodzi poczta wysyłana z domeny firmy, bez ryzyka zablokowania czegokolwiek. Przykładowy rekord startowy:

v=DMARC1; p=none; rua=mailto:[email protected]; pct=100

Po dwóch do czterech tygodniach analizy raportów, dostępnych w narzędziach takich jak MXToolbox lub dmarcian, czas na przejście do p=quarantine. Na tym etapie wiadomości nieprzechodzące weryfikacji trafiają do folderu spam odbiorców, ale nie znikają. To dobry moment na wyłapanie ostatnich niezautoryzowanych źródeł.

Finalnym krokiem jest ustawienie p=reject. Od tego momentu każda wiadomość udająca, że pochodzi z Twojej domeny, a wysłana z nieautoryzowanego serwera, zostaje odrzucona przez serwer odbiorcy zanim w ogóle trafi do skrzynki.

DMARC, NIS2 i ubezpieczenia cybernetyczne

Dyrektywa NIS2, obowiązująca w Polsce od października 2024 roku, nie wymienia DMARC z nazwy, ale nakłada na objęte nią podmioty obowiązek zarządzania ryzykiem incydentów bezpieczeństwa, w tym incydentów związanych z pocztą elektroniczną. Audytorzy przeprowadzający oceny zgodności z NIS2 coraz częściej sprawdzają konfigurację DNS poczty jako jeden z podstawowych elementów oceny dojrzałości cyberbezpieczeństwa organizacji.

Niezależnie od NIS2, polskie firmy coraz częściej spotykają się z wymogami dotyczącymi DMARC ze strony ubezpieczycieli oferujących polisy cybernetyczne. Brak poprawnej konfiguracji uwierzytelniania poczty bywa powodem odmowy wypłaty odszkodowania po ataku BEC lub może wpływać na wysokość składki.

Checklist administratora: co sprawdzić dzisiaj

Weryfikacja obecnego stanu konfiguracji poczty zajmuje kilkanaście minut i nie wymaga żadnych zmian w systemie. Wystarczy przejść na stronę mxtoolbox.com i sprawdzić kolejno: czy rekord SPF istnieje i obejmuje wszystkie usługi wysyłające e-maile z domeny, czy DKIM jest aktywny w Microsoft 365 i czy klucz CNAME jest poprawnie wdrożony w DNS, czy rekord DMARC istnieje i na jakim poziomie restrykcyjności jest ustawiony, oraz czy adresy do raportów DMARC są aktywne i monitorowane.

Firmy, które przeszły pełne wdrożenie do poziomu p=reject, zablokowały możliwość skutecznego podszywania się pod swoją domenę. To zabezpieczenie, które kosztuje kilka godzin pracy administratora, a chroni przed atakami mogącymi kosztować dziesiątki lub setki tysięcy złotych strat bezpośrednich i utratę zaufania klientów.

Zadbaj o bezpieczeństwo poczty z emTeq

Jeśli prowadzisz firmę w Trójmieście lub na Pomorzu i nie jesteś pewien, czy Twoja domena pocztowa jest właściwie skonfigurowana, emTeq przeprowadzi bezpłatny audyt wstępny Twojej konfiguracji DNS i poczty. Konfigurujemy SPF, DKIM i DMARC dla firm korzystających z Microsoft 365, Google Workspace oraz własnych serwerów pocztowych na systemach Linux.

Skontaktuj się z nami i sprawdź, czy Twoja firma jest naprawdę chroniona przed podszywaniem się pod jej domenę. Bezpieczeństwo poczty firmowej to nie opcja, to fundament.