Aby powstrzymać kogoś przed podszywaniem się pod Twoją domenę e-mail, potrzebujesz trzech rekordów DNS działających razem: SPF i DKIM, które potwierdzają, które serwery mogą wysyłać w Twoim imieniu, oraz DMARC ustawionego na p=reject, który mówi serwerom odbierającym, co zrobić z pocztą niezaliczającą obu tych kontroli. Gdy DMARC jest egzekwowany i wyrównany, obca osoba nie może już wstawić Twojej dokładnej domeny do widocznego adresu nadawcy (From) i trafić do skrzynek odbiorczych. Sztuka polega na tym, aby zrobić to we właściwej kolejności, żeby po drodze nie zablokować własnych newsletterów, faktur czy zgłoszeń do działu wsparcia.
Oto uczciwa wersja efektu: to zabezpiecza domenę w nagłówku From, który czyta większość ludzi. Nie powstrzymuje to jednak atakujących przed zarejestrowaniem domeny łudząco podobnej ani przed wstawieniem Twojej nazwy w pole wyświetlane innego adresu. Omówimy również te ograniczenia, aby nic Cię później nie zaskoczyło.
Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.
Najpierw zobacz, co dziś widzą serwery odbierające
Zanim zmienisz choćby jeden rekord, sprawdź, jak wygląda Twoja sytuacja. Sprawdź swoją domenę za pomocą powyższego narzędzia. Szukasz trzech rzeczy: poprawnego rekordu SPF, co najmniej jednej działającej sygnatury DKIM oraz polityki DMARC. Jeśli DMARC nie istnieje lub jest ustawiony na p=none, oszuści mogą obecnie fałszować Twoją domenę, a serwery odbierające nie mają żadnej instrukcji, by to odrzucić.
Nie przeskakuj od razu do polityki odrzucania. Jeśli wymusisz DMARC, zanim Twoi prawdziwi nadawcy zostaną uwierzytelnieni, zaczniesz odbijać legalną pocztę. Cały sens poniższej kolejności polega na tym, by dojść do egzekwowania bez strat ubocznych.
Krok 1: Zinwentaryzuj każde źródło, które wysyła z Twojej domeny
To jest krok, który ludzie pomijają, i to właśnie dlatego wdrożenia DMARC się psują. Nie możesz autoryzować nadawców, których nie spisałeś. Sporządź listę każdego systemu, który wysyła pocztę z Twoją domeną w adresie From:
- Dostawca skrzynek pocztowych (Google Workspace, Microsoft 365)
- Platformy marketingowe (Mailchimp, HubSpot, Klaviyo)
- Nadawcy wiadomości transakcyjnych (SendGrid, Postmark, Amazon SES)
- Narzędzia do fakturowania, CRM, obsługi zgłoszeń i e-commerce
- Każdy lokalny serwer pocztowy lub serwer aplikacji, który wysyła powiadomienia
Każde z nich musi być uwierzytelnione. Jeśli jakieś źródło nie znajduje się w Twoim rekordzie SPF i nie podpisuje wiadomości za pomocą DKIM, nie zaliczy DMARC w momencie, gdy zaczniesz go egzekwować. To właśnie inwentaryzacja zamienia ryzykowne zgadywanie w kontrolowaną zmianę.
Krok 2: Doprowadź SPF do zaliczania kontroli, nie psując go
SPF (RFC 7208) publikuje w DNS listę serwerów uprawnionych do wysyłania w imieniu Twojej domeny. Podstawowy rekord wygląda tak:
v=spf1 include:_spf.google.com include:sendgrid.net -all
Dla ochrony przed podszywaniem liczą się dwie zasady. Po pierwsze, zakończ rekord na -all (twarde odrzucenie), a nie na ~all czy niebezpiecznym +all, aby serwery odbierające traktowały nieautoryzowane serwery jako fałszerstwa. Po drugie, mieść się w limicie 10 zapytań DNS; jego przekroczenie sprawia, że SPF zwraca permerror, który po cichu unieważnia Twoją ochronę. Jeśli masz nawarstwione wiele mechanizmów include:, przeczytaj jak naprawić zbyt wiele zapytań DNS w SPF, zanim cokolwiek zaczniesz egzekwować. Pełną konfigurację opisujemy w artykule jak skonfigurować SPF.
Jedno istotne ograniczenie: SPF sprawdza nadawcę koperty (Return-Path), a nie nagłówek From, który faktycznie widzą Twoi użytkownicy. To właśnie dlatego samo SPF nie powstrzymuje podszywania się i dlatego istnieje DMARC.
Krok 3: Podpisuj pocztę za pomocą DKIM
DKIM (RFC 6376) dodaje do każdej wiadomości kryptograficzną sygnaturę. Serwer odbierający pobiera Twój klucz publiczny z DNS i weryfikuje, że wiadomość została autoryzowana przez domenę i nie została zmieniona w drodze. Ponieważ sygnatura podróżuje razem z wiadomością, DKIM przetrwa niektóre scenariusze przekazywania poczty, w których SPF przestaje działać.
Włącz DKIM na każdej platformie wysyłkowej, opublikuj rekord selektora, który Ci przekaże, i potwierdź, że przechodzi weryfikację. Większość dostawców daje Ci rekord w postaci selector._domainkey.yourdomain.com. Przejdź przez to krok po kroku w artykule jak skonfigurować DKIM. Zadbaj o to, aby każde źródło z inwentaryzacji z Kroku 1 poprawnie podpisywało wiadomości, zanim ruszysz dalej.
Krok 4: Zrozum wyrównanie, czyli element, który naprawdę blokuje podszywanie
Oto koncepcja, dzięki której DMARC działa. DMARC nie sprawdza jedynie tego, czy SPF lub DKIM zostały zaliczone. Sprawdza, czy domena, dla której je zaliczono, zgadza się z domeną w widocznym adresie From. Nazywa się to wyrównaniem (alignment).
Atakujący z łatwością może sprawić, że SPF zostanie zaliczony dla jego własnej domeny, wysyłając ze swojego uwierzytelnionego serwera. Czego nie może zrobić, to sprawić, by SPF lub DKIM zostały zaliczone dla domeny w nagłówku From, która wskazuje Twoją domenę. Wyrównanie to pułapka, która ich łapie. Jeśli SPF zostało zaliczone, ale dla attacker.com, podczas gdy From wskazuje yourdomain.com, DMARC widzi niezgodność i wiadomość nie przechodzi kontroli.
Dlatego właśnie potrzebujesz, aby SPF lub DKIM zostały zaliczone i były wyrównane do Twojej domeny. Jedno wyrównane zaliczenie wystarczy, aby DMARC przeszedł, ale warto skonfigurować oba dla większej odporności przy przekazywaniu poczty i u różnych serwerów odbierających.
Krok 5: Opublikuj DMARC, a potem zaostrzaj go aż do odrzucania
Zacznij od trybu monitorowania, aby móc obserwować, zanim zaczniesz blokować:
v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com
p=none niczego nie zmienia w doręczaniu. Prosi serwery odbierające, aby przysyłały Ci zbiorcze raporty o tym, kto wysyła w imieniu Twojej domeny. Daj temu tydzień lub dwa. Potwierdź, że wszystkie Twoje legalne źródła przechodzą kontrolę z wyrównaniem, a jedyne niepowodzenia dotyczą nadawców nieautoryzowanych lub fałszujących.
Następnie zaostrz politykę. Przejdź na kwarantannę, która kieruje niezaliczoną pocztę do spamu:
v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com
Wreszcie, gdy nabierzesz pewności, wymuś odrzucanie, aby sfałszowana poczta była odrzucana od razu:
v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain.com
Przy p=reject wiadomość, która wstawia Twoją dokładną domenę w adres From i nie zalicza uwierzytelniania, zostaje odbita, zanim dotrze do skrzynki odbiorczej. To jest stan, który powstrzymuje podszywanie się pod domenę. Uzasadnienie każdego etapu znajdziesz w artykule polityka DMARC: none, quarantine czy reject, a pełny przewodnik w jak skonfigurować DMARC.
Co to blokuje, a czego nie
Egzekwowany DMARC to najsilniejsza kontrola, jaką masz, ale bądź świadomy jej granic, aby nic Cię nie zaskoczyło.
Co blokuje
Podszywanie się pod dokładną domenę. Nikt nie może wysłać wiadomości z billing@yourdomain.com w adresie From i dotrzeć do skrzynek odbiorczych u serwerów respektujących DMARC, do których należą Gmail, Yahoo i Microsoft. To eliminuje najczęstszy schemat ataku typu business email compromise i oszustwa fakturowego, który opiera się na Twojej prawdziwej domenie.
Czego nie blokuje
- Domeny łudząco podobne. Atakujący rejestrujący
yourdomaln.comlubyourdomain-support.comwysyła z domeny, której nie kontrolujesz, więc Twój rekord DMARC nie ma tu nic do powiedzenia. Obroną są tu monitorowanie domen, rejestracja obronna i świadomość użytkowników. - Podszywanie się pod nazwę wyświetlaną. Wiadomość z
contact@random-gmail.comwciąż może ustawić nazwę wyświetlaną na "Twoja Firma". DMARC uwierzytelnia tylko domenę, a nie przyjazną nazwę. Pomocne jest BIMI, które pokazuje Twoje zweryfikowane logo i pomaga odbiorcom rozpoznać prawdziwego nadawcę. - Przejęte konta. Jeśli atakujący wykradnie prawdziwe dane logowania i wyśle przez Twój własny uwierzytelniony system, poczta jest faktycznie uwierzytelniona. To problem bezpieczeństwa konta, a nie podszywania się.
DMARC zamyka drzwi przed najłatwiejszym i najbardziej szkodliwym atakiem. Więcej o tym, gdzie zaczyna się i kończy jego ochrona, przeczytasz w artykule czy DMARC powstrzymuje phishing.
Najczęściej zadawane pytania
Ile czasu zajmuje powstrzymanie podszywania po skonfigurowaniu DMARC?
Zmiany w DNS propagują się w ciągu od kilku minut do kilku godzin. Powinieneś jednak najpierw spędzić od tygodnia do dwóch w trybie p=none, aby zweryfikować, że Twoi legalni nadawcy przechodzą kontrolę, a dopiero potem przejść na kwarantannę i odrzucanie. Pośpieszne przejście do odrzucania, zanim inwentaryzacja zostanie zakończona, grozi zablokowaniem własnej poczty.
Czy mogę powstrzymać podszywanie za pomocą samego SPF?
Nie. SPF sprawdza nadawcę koperty, a nie adres From, który widzą odbiorcy, więc atakujący może zaliczyć SPF dla swojej własnej domeny, jednocześnie fałszując Twoją w widocznym nagłówku. Dopiero wyrównanie DMARC wiąże uwierzytelnianie z domeną From, i to właśnie ono faktycznie blokuje podszywanie.
Ktoś już wysyła pocztę z mojej domeny. Co mam zrobić teraz?
Opublikuj natychmiast rekord DMARC z p=none, aby zacząć zbierać raporty i zobaczyć skalę zjawiska, jednocześnie inwentaryzując i uwierzytelniając swoich prawdziwych nadawców. Następnie przejdź na p=quarantine i p=reject tak szybko, jak pozwoli na to Twoja inwentaryzacja. To właśnie egzekwowanie powstrzymuje doręczanie sfałszowanej poczty.
Czy polityka odrzucania szkodzi mojej własnej dostarczalności?
Nie, jeśli wcześniej przeprowadziłeś inwentaryzację i wyrównałeś swoich prawdziwych nadawców. Poprawnie skonfigurowany DMARC poprawia dostarczalność, ponieważ buduje reputację domeny i spełnia wymagania stawiane masowym nadawcom przez najwięksi dostawców. Problemy pojawiają się tylko wtedy, gdy zaczynasz egzekwować politykę, zanim Twoje legalne źródła zostaną uwierzytelnione.