Ponad 90% cyberataków na firmy rozpoczyna się od wiadomości e-mail. Fundamentem ochrony poczty firmowej są mechanizmy uwierzytelniania nadawcy — SPF, DKIM i DMARC — uzupełnione o uwierzytelnianie dwuskładnikowe (2FA). Ten artykuł wyjaśnia, jak działają te mechanizmy i w jakiej kolejności je wdrożyć.
SPF pozwala właścicielowi domeny wskazać w rekordzie DNS TXT, jakie serwery pocztowe są uprawnione do wysyłania wiadomości w jej imieniu. Gdy serwer odbiorcy otrzymuje wiadomość, porównuje adres IP nadawcy z listą autoryzowanych adresów w rekordzie SPF. Jeśli IP nie figuruje na liście, wiadomość może zostać odrzucona lub oznaczona jako podejrzana.
Ograniczenie: SPF weryfikuje jedynie adres z koperty SMTP (MAIL FROM), a nie adres widoczny dla odbiorcy w polu "Od". Ponadto SPF nie radzi sobie z przekazywaniem wiadomości — po przesłaniu adres IP serwera pośredniczącego nie figuruje w oryginalnym rekordzie.
DKIM pozwala cyfrowo podpisywać wiadomości za pomocą kryptografii asymetrycznej. Serwer nadawcy generuje parę kluczy — prywatny (do podpisywania) i publiczny (publikowany w DNS). Przy wysyłaniu serwer oblicza skrót wybranych nagłówków i treści, szyfruje go kluczem prywatnym i dołącza podpis w nagłówku DKIM-Signature.
Serwer odbiorcy pobiera klucz publiczny z DNS, deszyfruje podpis i porównuje skróty. Zgodność potwierdza autentyczność i integralność wiadomości. W odróżnieniu od SPF, podpis DKIM zachowuje ważność nawet po przekazaniu wiadomości, ponieważ jest powiązany z treścią, nie z adresem IP.
DMARC łączy SPF i DKIM w spójną politykę uwierzytelniania z systemem raportowania. Mechanizm sprawdza tzw. wyrównanie (alignment) — czy domena w nagłówku "Od" (widoczna dla odbiorcy) jest zgodna z domeną użytą w weryfikacji SPF lub DKIM. To eliminuje lukę, którą pozostawia sam SPF.
Właściciel domeny może ustawić jedną z trzech polityk:
Raporty DMARC (RUA — zbiorcze, RUF — forensic) dostarczają informacji o tym, jakie serwery wysyłają wiadomości z Twojej domeny i jakie wyniki uzyskują w testach SPF/DKIM.
Nawet silne i unikalne hasła mogą zostać skradzione w wyniku phishingu, wycieku bazy danych czy keyloggera. 2FA wymaga podania drugiego, niezależnego czynnika — kodu z aplikacji TOTP (Google Authenticator, Microsoft Authenticator), SMS-a lub klucza sprzętowego.
Konta zabezpieczone uwierzytelnianiem wieloskładnikowym są o ponad 99% mniej narażone na przejęcie w porównaniu z kontami chronionymi wyłącznie hasłem. Wdrożenie 2FA na wszystkich kontach firmowych powinno być traktowane jako obowiązkowe minimum bezpieczeństwa.
SPF, DKIM i DMARC chronią domenę — zapewniają, że nikt nie wyśle wiadomości podszywając się pod Twoją firmę. 2FA chroni konta użytkowników — zapobiega przejęciu skrzynki nawet po wycieku hasła. Dopiero połączenie obu warstw — uwierzytelniania domeny i uwierzytelniania użytkownika — tworzy kompleksową ochronę poczty firmowej.