Poradniki o uwierzytelnianiu poczty
Praktyczne i konkretne poradniki o SPF, DKIM i DMARC. Napraw to, co nie działa, i trzymaj swoją pocztę z dala od spamu.
Phishing a spoofing: na czym polega różnica?
Spoofing to technika fałszowania tożsamości nadawcy, a phishing to oszustwo, które ona umożliwia. Ten przewodnik wyjaśnia różnicę, punkty wspólne oraz to, jakie zabezpieczenia powstrzymują każde z tych zagrożeń.
Czym jest spoofing poczty e-mail i jak działa
Spoofing poczty e-mail polega na sfałszowaniu widocznego adresu w polu From poprzez wykorzystanie tego, jak zwykłe SMTP oddziela kopertę od nagłówka wiadomości. Dowiedz się, jak działa to fałszerstwo, czy jest nielegalne oraz jak SPF, DKIM i DMARC z polityką p=reject faktycznie je powstrzymują.
Czym jest uwierzytelnianie poczty e-mail? Kompletny przewodnik
Napisany prostym językiem przewodnik filarowy po uwierzytelnianiu poczty e-mail: dlaczego otwarty protokół SMTP nie ma wbudowanej tożsamości oraz jak SPF, DKIM, DMARC i sygnały wspierające takie jak PTR, ARC, BIMI i MTA-STS wspólnie potwierdzają, że wiadomość naprawdę pochodzi z Twojej domeny.
DMARC dla domen zaparkowanych i niewysyłających: konfiguracja p=reject od pierwszego dnia
Domena, która nigdy nie wysyła poczty, jest ulubionym celem podszywania się. Ten przewodnik daje Ci gotowy do skopiowania zestaw rekordów blokujących dla domeny zaparkowanej lub niewysyłającej: v=spf1 -all, pusty klucz DKIM, null MX oraz rekord DMARC ustawiony od razu na p=reject, bez etapu monitorowania. Otrzymasz też wzorzec CNAME do zarządzania dziesiątkami zaparkowanych domen z jednego centralnego rekordu, a także sposób na potwierdzenie blokady darmowym narzędziem.
Jak skonfigurować TLS-RPT: rekord DNS raportowania SMTP TLS krok po kroku
TLS-RPT informuje serwery wysyłające pocztę, dokąd mają przesyłać codzienne raporty, gdy negocjacja TLS z Twoją domeną się nie powiedzie. Dodaj jeden rekord TXT w _smtp._tls.twojadomena.com z v=TLSRPTv1 oraz punktem końcowym rua, skieruj go na dedykowaną skrzynkę raportową lub kolektor HTTPS, a zyskasz wgląd w awarie szyfrowania. Ten przewodnik daje Ci gotowy do skopiowania rekord, szczegóły operacyjne pomijane w większości poradników oraz wyjaśnia, jak TLS-RPT współpracuje z MTA-STS i DANE.
Jak skonfigurować DANE i rekordy TLSA dla poczty (SMTP)
DANE pozwala przypiąć w DNS certyfikat TLS Twojego serwera pocztowego, dzięki czemu serwery wysyłające odmawiają dostarczenia poczty przez połączenie z obniżonym poziomem zabezpieczeń lub podszyte. Ten przewodnik podaje dokładną kolejność wdrożenia: potwierdź DNSSEC od początku do końca, wygeneruj skrót z certyfikatu STARTTLS za pomocą OpenSSL, opublikuj rekord TLSA pod adresem _25._tcp.twoj-host-mx i wybierz właściwe usage, selektor oraz typ dopasowania. Zawiera kroki walidacji oraz błąd
Czy subdomeny potrzebują własnego rekordu SPF?
SPF nie przenosi się z subdomeny na domenę główną, więc subdomena bez rekordu zwraca wynik "none" i łatwo ją podszyć. Ten przewodnik pokazuje, dlaczego dziedziczenie SPF to mit, jak tworzyć rekordy dla poszczególnych subdomen, jak zabezpieczyć subdomeny, które nigdy nie wysyłają poczty, oraz jak tag sp= w DMARC wypełnia lukę pozostawioną przez SPF.
Jak skonfigurować MTA-STS: przewodnik krok po kroku z plikiem polityki i rekordami DNS
Gotowy do skopiowania przewodnik po wszystkich trzech elementach MTA-STS: rekordzie TXT _mta-sts, pliku polityki mta-sts.txt serwowanym przez HTTPS pod standardową ścieżką well-known oraz dyrektywach mx, mode i max_age. Zawiera kroki weryfikacji za pomocą dig i curl, które potwierdzają, że każdy element działa, zanim przełączysz się z trybu testowego na tryb wymuszania, a także wyjaśnia, jak MTA-STS łączy się z TLS-RPT, DANE i DMARC.
MTA-STS a DANE: który standard bezpieczeństwa transportu poczty wybrać?
MTA-STS i DANE wymuszają szyfrowane doręczanie poczty przez SMTP, ale opierają zaufanie na czymś innym. MTA-STS korzysta z HTTPS i publicznego systemu urzędów certyfikacji, z luką typu zaufanie przy pierwszym użyciu. DANE korzysta z rekordów TLSA podpisanych przez DNSSEC i nie ma okna pierwszego kontaktu. Gmail i Outlook honorują MTA-STS jako nadawcy, lecz nie weryfikują DANE przy odbiorze, dlatego publikuj MTA-STS dla zasięgu i dodaj DANE tam, gdzie wspiera je Twój DNS i odbiorcy.
Sprawdzenie czarnej listy e-mail: jak ustalić, czy jesteś wpisany, i usunąć wpis z każdej ważnej DNSBL
Czarna lista (DNSBL) to aktualizowana na bieżąco lista adresów IP lub domen, którą serwery pocztowe odpytują, aby zdecydować, czy odrzucić Twoją wiadomość albo wrzucić ją do spamu. Ten przewodnik pokazuje, jak sprawdzić, czy Twoja domena lub wysyłający adres IP jest na liście, które listy blokujące naprawdę wpływają na dostarczalność (Spamhaus, Barracuda, SpamCop, Microsoft), a które listy prestiżowe można zignorować, oraz jaka lista kontrolna przyczyn źródłowych sprawia, że usunięcie wpisu
Business Email Compromise (BEC): lista kontrolna uwierzytelniania poczty, która naprawdę ogranicza ryzyko
Business email compromise to nie jeden atak, lecz trzy: podszywanie się pod dokładny adres domeny, podszywanie się przez domenę bliźniaczą oraz faktycznie przejęte konto. DMARC ustawiony na reject powstrzymuje tylko pierwszy z nich. Ta lista kontrolna przypisuje każdemu zabezpieczeniu atak, który ono rzeczywiście blokuje, a następnie porządkuje je tak, abyś najpierw usunął luki o największym znaczeniu - zaczynając od bezpłatnego sprawdzenia uwierzytelniania własnej domeny.
SPF +all to najniebezpieczniejsze ustawienie poczty: oto dlaczego
Rekord SPF zakończony na +all mówi każdemu serwerowi odbiorczemu, że dowolny adres IP w internecie może wysyłać pocztę w imieniu Twojej domeny. To jedyne ustawienie SPF, które aktywnie pomaga atakującym podszywać się pod Ciebie. Ten przewodnik pokazuje realne skutki phishingu i utraty reputacji, wyjaśnia różnice między -all, ~all i ?all oraz daje bezpieczną ścieżkę przejścia z softfail na hardfail, którą potwierdzisz darmowym sprawdzeniem.