Zabezpieczenia poczty SPF, DKIM, DMARC – co to i jak to działa?

W dobie rosnących zagrożeń cybernetycznych, takich jak phishing i spoofing, ochrona poczty elektronicznej stała się kluczowym elementem bezpieczeństwa w sieci – bo przecież nikt nie lubi spamu… Trzy główne technologie pomagają chronić e-maile przed nieautoryzowanymi działaniami to SPF, DKIM i DMARC.

SPF – Sender Policy Framework 

SPF to protokół pozwalający zweryfikować, czy serwer wysyłający e-mail jest uprawniony do wysyłania wiadomości w imieniu danej domeny.

Jak działa SPF? Właściciel domeny tworzy dedykowany wpis w strefie DNS (system nazw domen) – rekord TXT, w którym zawiera listę serwerów pocztowych uprawnionych do wysyłania wiadomości z tej domeny. Kiedy e-mail dociera do odbiorcy, serwer sprawdza wspomniany wyżej rekord SPF nadawcy, aby upewnić się, że wiadomość pochodzi z uprawnionego serwera. Porównywany jest adres IP serwera nadawcy z adresami serwerów, które zostały uprawnione do wysyłki maili z danej domeny.

Przykład wykorzystania SPF

  • Serwer wysyła pocztę z adresu kontakt@firma.com na zamowienia@producent.com,
  • Serwer odbiorcy (producent.com) sprawdza, czy serwer wysyłający wiadomość jest uprawniony w rekordzie SPF do wysyłania poczty z domeny „firma.com”,
  • Jeśli tak – wiadomość jest dostarczana do odbiorcy, czyli do konta zamowienia@producent.com. Jeśli nie – wówczas mail może być odrzucony z odpowiednim komunikatem lub oznaczona jako spam.

DKIM – DomainKeys Identified Mail

DKIM umożliwia nadawcom cyfrowe „podpisywanie” wiadomości, aby odbiorca mógł ją zweryfikować i potwierdzić, że nie została zmodyfikowana w trakcie przesyłania – np. przez jakiś serwer pośredniczący, wirus, atak hackerski. DKIM używa pary kluczy kryptograficznych: prywatnego (używanego przez nadawcę) i publicznego (udostępnianego w DNS). 

Jaki jest mechanizm działania DKIM? W pierwszej kolejności serwer nadawcy generuje podpis cyfrowy dla wysyłanego e-maila przy użyciu swojego klucza prywatnego. Odbiorca, korzystając z klucza publicznego pobranego z rekordów DNS danej domeny, sprawdza integralność wiadomości. Jeśli podpis się zgadza, oznacza to, że e-mail nie został zmieniony i może być zaakceptowany w takiej formie.

Przykład działania zabezpieczenia DKIM:

  • Serwer nadawcy wysyła wiadomości podpisaną kluczem DKIM,
  • Serwer odbiorcy pobiera klucz publiczny z listy rekordów DNS domeny i weryfikuje podpis,
  • Jeśli weryfikacja się powiedzie, wiadomość jest uznawana za autentyczną i zostaje zaakceptowana. W innym przypadku jest odbijana przez serwer z odpowiednim komunikatem.

DMARC – Domain-based Message Authentication, Reporting & Conformance

DMARC to protokół, który łączy mechanizmy SPF i DKIM, a także umożliwia nadawcom kontrolę nad tym, co powinno się stać z wiadomościami, które nie przejdą autoryzacji. Dodatkowo DMARC pozwala na otrzymywanie raportów o próbach nieautoryzowanego wysyłania wiadomości z domeny.

Jak działa DMARC? Właściciel domeny konfiguruje politykę DMARC (DMARC policy), która określa, co powinien zrobić serwer odbiorcy w przypadku, gdy e-mail nie przejdzie weryfikacji SPF lub DKIM. Może to być dostarczenie, oznaczenie jako spam lub odrzucenie wiadomości. DMARC umożliwia także śledzenie, które e-maile nie przeszły weryfikacji, dzięki czemu administratorzy mogą analizować potencjalne nadużycia i reagować na konkretne zdarzenia.

Poszczególne etapy funkcjonowania DMARC

  • Odbiorca otrzymuje e-mail, który nie przechodzi weryfikacji SPF lub DKIM.
  • Serwer odbiorcy sprawdza politykę DMARC nadawcy – dowiaduje się z niej co ma zrobić w przypadku niespełnienia warunków otrzymania maila (np. „odrzuć e-maile, które nie przeszły weryfikacji”).
  • Zgodnie z polityką, wiadomość jest odrzucana, a nadawca otrzymuje raport o nieudanej weryfikacji.

Rola administratora aerwera w konfiguracji i zarządzaniu SPF, DKIM i DMARC

Administracja serwerem odgrywa kluczową rolę w konfiguracji i utrzymaniu zabezpieczeń całego serwera, a w szczególności poczty. Na etapie konfiguracji, administrator powinien:

  • Skonfigurować rekordy DNS: Tworzenie i utrzymywanie poprawnych rekordów SPF i DKIM w DNS jest obecnie niezbędne. Administrator odpowiada za określenie, które serwery mają prawo wysyłać pocztę z danej domeny (SPF) oraz za generowanie par kluczy kryptograficznych dla DKIM, które są używane do potwierdzenia autentyczności wiadomości email.
  • Monitorowanie polityki DMARC: Odpowiednia konfiguracja DMARC, mimo iż nie jest obecnie wymagana, to nie tylko chroni przed atakami, ale także umożliwia otrzymywanie raportów o próbach nieautoryzowanego wykorzystania domeny. Administratorzy analizują te raporty, aby monitorować nadużycia, próby podszycia się i ataków – a ostatecznie podejmować odpowiednie działania prewencyjne.

Po zakończeniu konfiguracji, administratorzy muszą regularnie:

  • Sprawdzać poprawność ustawień: Okresowa weryfikacja, czy rekordy SPF, DKIM i DMARC są aktualne i odpowiednio skonfigurowane, jest kluczowa, aby uniknąć problemów z dostarczalnością e-maili.
  • Reagować na problemy: W razie zgłoszeń o problemach z dostarczaniem poczty, administratorzy muszą analizować logi serwera pocztowego oraz raporty DMARC, aby zdiagnozować, czy problemy wynikają z błędnej konfiguracji zabezpieczeń czy ataków zewnętrznych.
  • Dbać o utrzymanie kluczy DKIM: Klucze DKIM powinny być okresowo rotowane (generowane od nowa), aby zwiększyć bezpieczeństwo, jak również należy upewnić się, że publiczny klucz jest zapisany w rekordach DNS jest zawsze poprawny i dostępny.
 

Zatem co to jest SPF, DKIM, DMARC i dlaczego warto to mieć?

SPF, DKIM i DMARC to trzy kluczowe technologie, które współpracują w celu ochrony poczty e-mail przed nieautoryzowanymi działaniami. SPF weryfikuje, czy e-mail pochodzi z uprawnionego serwera, DKIM zapewnia integralność wiadomości, a DMARC łączy oba te mechanizmy, oferując dodatkowe opcje raportowania i kontroli. Implementacja tych zabezpieczeń znacznie zwiększa wiarygodność poczty i chroni przed zagrożeniami takimi jak phishing czy spoofing.

Dzięki prawidłowej konfiguracji powyższych zabezpieczeń i regularnemu monitorowaniu zagrożeń, administrator serwera skutecznie zwiększa bezpieczeństwo poczty, ale nie tylko. Dba także o jej prawidłowe działanie i dostarczalność wiadomości, co jest kluczowe dla sprawnego funkcjonowania firmy – bo przecież nikt nie lubi, gdy jego ważne maile trafiają do spamu lub po prostu nie docierają do odbiorcy.

Inne artykuły, które na pewno Cię zainteresują