25 sierpnia została opublikowana ustawa z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej. Wśród innych istotnych rozwiązań, znajdziemy w niej także obowiązek stosowania mechanizmów umożliwiających weryfikację nadawcy wiadomości e-mail. Zapisy te dotyczą dostawców poczty, którzy świadczą usługi dla:
- co najmniej 500 000 użytkowników poczty lub
- dla podmiotu publicznego.
Podstawą bezpiecznej komunikacji jest uwierzytelnienie domeny za pomocą SPF, DKIM i DMARC. Konfiguracja tych rekordów w znaczący sposób wpływa nie tylko na bezpieczeństwo, ale i samą dostarczalność e-maili.
Aby ułatwić pracę administratorom, powstało publiczne narzędzie pod adresem bezpiecznapoczta.cert.pl, którego celem jest sprawdzenie poprawności konfiguracji mechanizmów podnoszących bezpieczeństwo poczty.
Sprawdzenie poprawności wszystkich rekordów SPF, DMARC i DKIM można dokonać w następujący sposób:
1. Wysyłamy e-mail z konta pocztowego pod wskazany adres pocztowy:
c0c9495064e6c2fed23dd85485e4bd1d@bezpiecznapoczta.cert.pl
2. Sprawdzenia SPF i DMARC dla domeny dokonujemy poprzez weryfikację wpisów DNS.
Wyjaśniamy, czym jest SPF, DKIM i DMARC…
Polityki SPF, DKIM, DMARC zapewniają każdej organizacji, nawet tej najmniejszej, większe bezpieczeństwo oraz odporność na podszywanie się. Łącznie zapewniają autentyczność i bezpieczeństwo wiadomości e-mail oraz pomagają w walce z phishingiem, fałszowaniem nadawcy i innymi próbami nadużycia.
SPF
SPF (Sender Policy Framework) ma na celu zdefiniowanie i zweryfikowanie, kto może wysyłać wiadomości e-mail z Twojej domeny. SPF działa na podstawie rekordów DNS przypisanych w konfiguracji domeny i umożliwia serwerom e-mailowym sprawdzenie, czy adres IP nadawcy jest upoważniony do wysyłania wiadomości w imieniu określonej domeny. Jeśli adres IP się zgadza, e-mail jest uważany za autentyczny.
DKIM
DKIM (DomainKeys Identified Mail) jest mechanizmem zabezpieczającym wiadomości e-mail przed fałszowaniem nadawcy oraz pomaga w zweryfikowaniu, czy wiadomość e-mail została wysłana z autentycznego źródła.
DKIM pozwala nadawcy e-maila podpisać wiadomość za pomocą klucza prywatnego, a następnie odbiorca może zweryfikować tę wiadomość, używając klucza publicznego dostępnego w DNS dla domeny nadawcy. To pozwala na sprawdzenie, czy wiadomość e-mail jest rzeczywiście wysłana przez prawidłowego nadawcę.
DMARC
DMARC (Domain-based Message Authentication, Reporting, and Conformance) to kolejny mechanizm zabezpieczający e-maile, który działa razem z DKIM i SPF (Sender Policy Framework). DMARC dodaje dodatkową warstwę kontroli i zabezpieczeń do procesu dostarczania wiadomości e-mail. Odpowiada za weryfikację autentyczności nadawcy: DMARC pomaga w weryfikacji, czy nadawca wiadomości e-mail jest autentyczny. Działa na podstawie informacji zawartych w nagłówku DKIM i SPF oraz określa, czy wiadomość jest zgodna z polityką DMARC nadawcy.
Możliwe polityki DMARC to „reject” (odrzuć), „quarantine” (kwarantanna) lub „none” (brak akcji).
