BetaSPFWise jest w wersji Beta, a wszystkie funkcje są bezpłatne do jej zakończenia. Więcej informacji otrzymasz po rejestracji.
security

Czym jest spoofing poczty e-mail i jak działa

Spoofing poczty e-mail polega na sfałszowaniu widocznego adresu w polu From poprzez wykorzystanie tego, jak zwykłe SMTP oddziela kopertę od nagłówka wiadomości. Dowiedz się, jak działa to fałszerstwo, czy jest nielegalne oraz jak SPF, DKIM i DMARC z polityką p=reject faktycznie je powstrzymują.

Zaktualizowano 5 lip 20267 min czytania

Spoofing poczty e-mail to sfałszowanie widocznego adresu nadawcy wiadomości, tak aby wyglądała ona na wysłaną przez kogoś, kto jej w rzeczywistości nie wysłał. Działa to dlatego, że zwykłe SMTP traktuje nagłówek From, który widzi odbiorca, jako dowolny tekst wpisywany przez nadawcę, bez żadnej wbudowanej weryfikacji, czy nadawca ma prawo go używać. Jedyną skuteczną obroną jest opublikowanie SPF, DKIM oraz polityki DMARC ustawionej na p=reject, dzięki czemu serwery odbierające pocztę mogą odrzucać wiadomości fałszujące Twoją domenę.

Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.

Dwie tożsamości nadawcy w każdej wiadomości

Aby zrozumieć spoofing, trzeba dostrzec, że każda wiadomość niesie ze sobą dwa odrębne adresy "od kogo", a większość ludzi nigdy nie zdaje sobie sprawy, że są to dwie różne rzeczy.

  • Nadawca koperty jest ustawiany przez polecenie SMTP MAIL FROM podczas nawiązywania połączenia w celu dostarczenia wiadomości. Po dostarczeniu staje się nagłówkiem Return-Path i to na ten adres trafiają zwrotki. Zwykle pozostaje ukryty przed odbiorcą. Pełne omówienie znajdziesz w artykule czym jest Return-Path.
  • Nagłówek From jest przenoszony wewnątrz treści wiadomości po poleceniu DATA, obok Reply-To, Subject i To. To właśnie tę przyjazną nazwę i adres wyświetla w skrzynce Twój program pocztowy.

SMTP zostało ustandaryzowane w 1982 roku (RFC 821) dla niewielkiej, zaufanej sieci. Nic w podstawowym protokole nie wymaga, aby te dwa adresy były zgodne, i nic nie wymaga, aby którykolwiek z nich należał do strony faktycznie nawiązującej połączenie. Serwer wysyłający może podać w kopercie MAIL FROM:<bounce@attacker.example>, a następnie wpisać w nagłówku From: "Your Bank" <security@yourbank.com>. Program odbiorcy pokazuje security@yourbank.com i fałszerstwo jest gotowe. Żadnego oprogramowania nie oszukano; protokół zrobił dokładnie to, do czego został stworzony.

Jak w praktyce fałszuje się nagłówek From

Spoofing nie wymaga wyrafinowanych narzędzi. Napastnik łączy się z serwerem pocztowym, który przyjmie wiadomość (z własnym serwerem, przejętym hostem lub źle skonfigurowanym otwartym przekaźnikiem) i posługuje się surowym protokołem SMTP:

MAIL FROM:<anything@attacker.example>
RCPT TO:<victim@company.com>
DATA
From: "IT Helpdesk" <helpdesk@company.com>
Subject: Action required: password reset

Wiersz From: to zwykły tekst wewnątrz bloku DATA. Serwer, który jako pierwszy przyjmuje wiadomość, nie weryfikuje go względem łączącej się strony. Ponieważ większość programów pocztowych wyświetla wyłącznie nagłówek From, a kopertę całkowicie ukrywa, ofiara widzi wiadomość, która wygląda na wewnętrzną. Właśnie dlatego nie da się ocenić autentyczności na podstawie samego widocznego nadawcy i dlatego warto nauczyć się, jak czytać nagłówki wiadomości e-mail: nagłówek Authentication-Results odnotowuje, czy deklarowana tożsamość faktycznie przeszła weryfikację.

Warto rozdzielić trzy odmiany, ponieważ nie powstrzymuje ich ten sam mechanizm:

TechnikaCo jest fałszowaneZatrzymywana przez DMARC reject?
Spoofing dokładnej domenyTwoja prawdziwa domena, np. ceo@yourcompany.comTak
Domena łudząco podobna (kuzynka)Zbliżona domena, np. ceo@yourcompany.coNie
Spoofing nazwy wyświetlanejTylko przyjazna nazwa; prawdziwy adres jest innyNie

DMARC z polityką p=reject blokuje pierwszy wiersz, który jest najgroźniejszy, bo wykorzystuje Twoją autentyczną domenę. Pozostałe dwa opierają się na błędnym odczycie przez człowieka, a nie na nadużyciu protokołu, w tym na sztuczkach homograficznych podstawiających wizualnie identyczne znaki Unicode, i aby je wychwycić, potrzeba szkolenia użytkowników, monitorowania marki oraz filtrowania poczty przychodzącej.

Realne ataki oparte na spoofingu

Kompromitacja poczty służbowej (BEC). Napastnik fałszuje adres członka zarządu lub dostawcy albo bardzo dokładnie go naśladuje i prosi pracownika o przelanie środków lub zmianę danych bankowych. BEC należy do najkosztowniejszych kategorii cyberprzestępczości: FBI Internet Crime Complaint Center odnotowało w 2024 roku 21 442 zgłoszenia BEC ze zgłoszonymi stratami sięgającymi niemal 2,8 miliarda dolarów oraz blisko 8,5 miliarda dolarów w latach 2022 - 2024. Generatywna AI sprawiła, że takie wiadomości są płynne językowo i trudno je rozpoznać po samym tonie. Zestaw działań obronnych znajdziesz w liście kontrolnej dotyczącej kompromitacji poczty służbowej.

Podszywanie się pod markę i phishing. Napastnicy fałszują banki, firmy kurierskie i dostawców usług SaaS, aby rozsyłać fałszywe faktury, resety haseł i powiadomienia o dostawie, które kierują ofiary na strony wyłudzające dane logowania. Gdy domena jest dokładnie tą prawdziwą, nawet ostrożni użytkownicy nie mają żadnej wizualnej wskazówki, że coś jest nie tak. Właśnie tę lukę zamyka p=reject.

Wewnętrzne oszustwa i dostarczanie złośliwego oprogramowania. Wiadomość, która wygląda na przychodzącą z it-support@yourcompany.com i niesie ze sobą załącznik z rzekomo wymaganą aktualizacją, spotyka się ze znacznie większym zaangażowaniem niż wiadomość zewnętrzna. Sfałszowanie domeny wewnętrznej jest tu istotą całego ataku.

Czy spoofing poczty e-mail jest nielegalny?

Spoofing znajduje się w prawnej szarej strefie, ale w Stanach Zjednoczonych ustawa CAN-SPAM Act z 2003 roku wprost zakazuje istotnie fałszywych lub wprowadzających w błąd informacji w nagłówkach. Twoje pola From, To, Reply-To oraz dane trasowania, w tym domena i adres pochodzenia, muszą dokładnie wskazywać, kto zainicjował wiadomość. Ich fałszowanie stanowi naruszenie, a kary cywilne mogą sięgać nawet 53 088 dolarów za pojedynczą wiadomość e-mail zgodnie z korektą inflacyjną FTC z 2025 roku. Ustawa przewiduje także przepisy karne za czyny kwalifikowane, takie jak przekazywanie wiadomości przez cudze komputery w celu ukrycia jej pochodzenia, zakładanie kont lub rejestrowanie domen z fałszywymi danymi oraz zbieranie adresów.

Praktycznym problemem jest egzekwowanie. Napastnicy działają ponad granicami, za przejętą infrastrukturą i anonimowo. Prawo odstrasza legalnych marketerów; niewiele robi, by powstrzymać przestępców. To środki techniczne faktycznie blokują tę pocztę.

Jak SPF, DKIM i DMARC powstrzymują spoofing

Te trzy standardy powstały po to, aby dołączać weryfikowalną tożsamość do wiadomości, które SMTP w innym wypadku pozostawia bez zabezpieczeń. Pełne omówienie znajdziesz w artykule SPF, DKIM i DMARC wyjaśnione; tutaj wyjaśniamy, dlaczego każdy z nich ma znaczenie właśnie w kontekście spoofingu.

SPF publikuje w rekordzie DNS TXT, które adresy IP mogą wysyłać pocztę dla Twojej domeny, a odbiorca sprawdza łączący się adres IP względem tej listy. Co kluczowe, SPF weryfikuje domenę koperty MAIL FROM, a nie widoczny nagłówek From. Napastnik może przejść weryfikację SPF, używając w kopercie własnej domeny, jednocześnie fałszując Twoją domenę w nagłówku, więc samo SPF nie powstrzyma spoofingu, który widzi użytkownik. SPF ma także sztywny limit 10 zapytań DNS; po jego przekroczeniu weryfikacja zwraca PermError, co odbiorcy weryfikujący uwierzytelnianie traktują jako niepowodzenie.

DKIM dołącza do wiadomości podpis kryptograficzny wykonany kluczem prywatnym, a odbiorcy weryfikują go względem klucza publicznego opublikowanego w selektorze DNS, takim jak selector._domainkey.yourdomain.com. Obecnie zalecaną siłą jest klucz 2048-bitowy. DKIM dowodzi, że wiadomość nie została zmieniona w tranzycie i że podpisała ją konkretna domena, ale sam w sobie nie wymaga, aby ta podpisująca domena była zgodna z widocznym polem From.

DMARC to element, który wiąże uwierzytelnianie z adresem, który użytkownik faktycznie czyta. Wymaga on zgodności (alignment): domena z nagłówka From musi być zgodna z domeną uwierzytelnioną przez SPF, z domeną podpisującą DKIM albo z obiema. DMARC przechodzi weryfikację tylko wtedy, gdy zgodny mechanizm zakończy się powodzeniem. Następnie ustawiasz politykę, która mówi odbiorcom, co robić z niepowodzeniami:

PolitykaSkutek dla sfałszowanej pocztyZastosowanie
p=noneTylko monitorowanie, poczta nadal dostarczanaWstępne zbieranie danych
p=quarantineKierowana do spamu lub wstrzymywanaPrzejściowe egzekwowanie
p=rejectOdrzucana na poziomie SMTPPełna ochrona

Spoofing dokładnej domeny przetrwa przy p=none i p=quarantine, ponieważ wiadomość i tak jest gdzieś dostarczana. Dopiero p=reject nakazuje odbiorcy odmówić jej przyjęcia w całości, zwykle zwracając odrzucenie 550 5.7.1 z odniesieniem do polityki DMARC. Etapową ścieżkę od monitorowania do egzekwowania opisano w artykule Polityka DMARC: none, quarantine, reject, a pełną konfigurację, w tym dokładne rekordy do opublikowania oraz kolejność ich publikowania, znajdziesz w artykule jak powstrzymać spoofing Twojej domeny.

Najczęściej zadawane pytania

Czy samo SPF powstrzymuje spoofing poczty e-mail?

Nie. SPF sprawdza wyłącznie domenę koperty MAIL FROM, której odbiorca nigdy nie widzi. Napastnik może przejść weryfikację SPF z własną domeną w kopercie, jednocześnie fałszując Twoją domenę w widocznym nagłówku From, dlatego do ochrony adresu, który użytkownicy naprawdę czytają, potrzebujesz zgodności DMARC oraz polityki p=reject.

Czy spoofing poczty e-mail można całkowicie zablokować?

DMARC z polityką p=reject skutecznie powstrzymuje spoofing dokładnej domeny, w którym napastnik używa Twojej prawdziwej domeny. Nie powstrzymuje jednak domen łudząco podobnych, sztuczek z nazwą wyświetlaną ani faktycznie przejętego konta, ponieważ żadne z nich nie fałszuje Twojej uwierzytelnionej domeny. Na uwierzytelnianie nałóż dodatkowo szkolenie użytkowników i monitorowanie marki.

Jak rozpoznać, że otrzymana wiadomość została sfałszowana?

Otwórz pełne nagłówki i przeczytaj wiersz Authentication-Results. Odnotowuje on, czy SPF, DKIM i DMARC przeszły weryfikację dla domeny wysyłającej; sfałszowana wiadomość z chronionej domeny pokazuje dmarc=fail. Nie ufaj przyjaznej nazwie wyświetlanej, którą sfałszować jest banalnie łatwo.

Czy wysłanie sfałszowanej wiadomości jest niezgodne z prawem?

W Stanach Zjednoczonych ustawa CAN-SPAM Act zakazuje fałszywych lub wprowadzających w błąd informacji w nagłówkach, przewidując kary cywilne do 53 088 dolarów za wiadomość oraz kary karne za czyny kwalifikowane. Egzekwowanie ponad granicami jest trudne, więc to środki techniczne pozostają praktyczną obroną.

Spoofing Twojej własnej domeny da się powstrzymać, a najszybszym sposobem, aby sprawdzić, na czym stoisz, jest zweryfikowanie tego, co publikujesz dzisiaj. Uruchom darmowy skan SPF, DKIM i DMARC za pomocą SPFWise, aby zobaczyć, czy Twoja domena jest obecnie podatna na fałszerstwa i który rekord poprawić w pierwszej kolejności.

Sprawdź własną domenę

Uruchom darmowe skanowanie i uzyskaj swoją ocenę wraz z dokładnymi rekordami do poprawienia.

Skanuj domenę

Powiązane poradniki