X

About Us

The argument in favor of using filler text goes something like this: If you use real content in the Consulting Process, anytime you reach a review

Contact Info

  • Chicago 12, Melborne City, USA
  • (111) 111-111-1111
  • Example@gmail.com
  • Week Days: 09.00 to 18.00 Sunday: Closed
  • Home
  • SPF, DKIM, DMARC w jedno popołudnie – jak przestać być łatwym celem spoofingu

SPF, DKIM, DMARC w jedno popołudnie – jak przestać być łatwym celem spoofingu

 Redaktor 2024-08-06 0 Komentarzy

Podszywanie się pod domenę to jeden z najstarszych trików phishingu. Na szczęście zestaw trzech protokołów — SPF, DKIM i DMARC — pozwala znacząco ograniczyć to ryzyko. Dobrze skonfigurowane, chronią zarówno Twoich pracowników, jak i klientów przed fałszywymi wiadomościami „od Ciebie”.

Trzy klocki

  • SPF (Sender Policy Framework) — rekord DNS, który mówi „z jakich serwerów wolno wysyłać pocztę w mojej domenie”. Przykład: v=spf1 include:_spf.google.com include:spf.protection.outlook.com -all
  • DKIM (DomainKeys Identified Mail) — podpis kryptograficzny wiadomości. Serwer wysyłający podpisuje e‑mail, a odbiorca weryfikuje kluczem publicznym z DNS.
  • DMARC (Domain-based Message Authentication, Reporting & Conformance) — polityka „co ma zrobić odbiorca, gdy SPF/DKIM się nie zgadza” plus raporty.

Plan na popołudnie

  1. Zbierz źródła wysyłki: M365/Google, serwer www, marketing automation, CRM, system faktur, helpdesk. Ustal, które realnie wysyłają z Twojej domeny.
  2. Ustaw SPF: dodaj include dla wszystkich dostawców, na końcu all (twarde odrzucenie). Jeśli nie jesteś pewien, zacznij od ~all (miękko).
  3. Włącz DKIM w głównym systemie poczty i w serwisach, które wspierają DKIM. Utwórz rekordy selector._domainkey.domena.pl.
  4. Dodaj DMARC: start od p=none i włącz raporty rua=mailto:dmarc@domena.pl. Po tygodniu analizy przejdź do quarantine, a docelowo reject.
  5. Testy: wyślij wiadomości na zewnętrzne skrzynki, sprawdź nagłówki („SPF=pass”, „DKIM=pass”, „DMARC=pass”). Obserwuj raporty DMARC.
  6. Specjalne przypadki: przekazywanie (forwarding) i listy dyskusyjne mogą „psuć” SPF. Pomaga poprawne DKIM i DMARC z trybem relaxed alignment.

Typowe pułapki

  • Zbyt krótki rekord SPF (limit 10 lookupów DNS). Uprość include’y, używaj mechanizmów dostawców.
  • Zapomniany system wysyłający (np. WordPress bez wtyczki SMTP) — psuje reputację domeny.
  • Brak rotacji kluczy DKIM i brak monitoringu raportów DMARC.
  • Wysyłki „w imieniu” przez zewnętrzne agencje bez właściwych wpisów w DNS.

A co z BIMI?

Gdy DMARC jest „na twardo”, możesz dodać BIMI (Brand Indicators for Message Identification) i wyświetlać logo przy wiadomościach w wybranych klientach. To „miły dodatek” poprawiający zaufanie, ale nie zastępuje DMARC.

Jak Axman może pomóc?

Mapujemy wszystkie źródła poczty, konfigurujemy SPF/DKIM/DMARC i ustawiamy raportowanie, by bezpiecznie dojść do p=reject. Przygotowujemy też instrukcje dla marketingu/IT, aby każda nowa integracja była od razu zgodna. Potrzebujesz porządku w e‑mailach w tydzień? Zrobimy to.

Podsumowanie

SPF/DKIM/DMARC to jedna z najlepszych inwestycji na start. Zmniejsza phishing i poprawia dostarczalność. Zrób przegląd raz, a potem utrzymuj dyscyplinę przy każdym nowym narzędziu, które wysyła pocztę w Twoim imieniu.

Kategorie: