Defaults.Exposed › Naprawy › DMARC (Ochrona przed podszywaniem się pod pocztę)

Jak naprawić DMARC (Ochrona przed podszywaniem się pod pocztę)

DMARC to jedyne ustawienie, które naprawdę każe dostawcom poczty na całym świecie BLOKOWAĆ e-maile fałszujące nazwę Twojej firmy. SPF i DKIM sprawdzają zamki; DMARC decyduje, co się stanie, gdy fałszywka nie przejdzie kontroli — wyrzucić do kosza, oznaczyć czy przepuścić. Źle ustawiony — Twoja domena jest w pełni do podrobienia; dobrze ustawiony — podszywanie się kończy się przed skrzynką.

W skrócie dla Twojej firmy: Bez egzekwowania DMARC przestępca może wysyłać e-maile wyglądające dokładnie jak od Twojej firmy — do klientów, pracowników i dostawców — i lądują one w skrzynce odbiorczej, a nie w spamie. Ludzie zostają oszukani w Twoim imieniu i obwiniają Ciebie.

Ile może Cię to kosztować

Oszust wysyła Twojemu klientowi realistyczną fakturę «od Twojego działu księgowości» z własnym numerem konta. Klient ją opłaca. Dowiadujesz się tygodnie później, gdy dopomina się towaru, za który już zapłacił — i obarcza Cię odpowiedzialnością.
Fałszywy e-mail o «pilnym przelewie» trafia do Twojej osoby od finansów, wyglądając, jakby pochodził od Ciebie, właściciela. Przelewa pieniądze, zanim ktokolwiek pomyśli o weryfikacji — a gdy trafią na konto przestępcy, niemal nigdy nie da się ich odzyskać.
Dział IT dużego potencjalnego klienta przeprowadza kontrolę bezpieczeństwa Twojej domeny przed podpisaniem. Wynik to «poczta niechroniona — można się pod nią podszyć». Tracisz transakcję na rzecz konkurenta, którego domena przeszła.
Twoja domena zostaje użyta w fali phishingu. Oszukani klienci zostawiają wściekłe opinie i ostrzegają innych. Szkody reputacyjne przeżywają atak o całe miesiące.
Nawet Twoja prawdziwa poczta zaczyna trafiać do kosza, bo Google i Yahoo coraz mniej ufają — a teraz czasem wprost odrzucają — domeny bez egzekwowanego DMARC.

Dlaczego to ma znaczenie. Poczta nigdy nie była zbudowana tak, by udowodnić, kto naprawdę wysłał wiadomość, więc sfałszowanie adresu nadawcy jest banalne. DMARC to jedyne zabezpieczenie, które zamienia «umiemy wykryć fałszywki» w «fałszywki są blokowane» — i daje Ci codzienne raporty ujawniające, kto wysyła pocztę pod Twoją marką. Duzi dostawcy skrzynek traktują dziś brakujący lub nieegzekwowany DMARC jako sygnał nieufności wobec Ciebie, więc wpływa to też na to, czy Twoja własna poczta jest dostarczana.

Czym jest DMARC, prostymi słowami

Poczta ma brudny sekret: linia „od” to tylko wpisany tekst. Każdy, gdziekolwiek, może wpisać nazwę i adres Twojej firmy w pole „od” e-maila i go wysłać. Internet nigdy nie był zaprojektowany, by ich powstrzymać.

Są trzy ustawienia, które razem to naprawiają. Pomyśl o nich jak o ochronie budynku:

SPF to lista, kto może wejść głównymi drzwiami (które usługi pocztowe mogą wysyłać w Twoim imieniu).
DKIM to nienaruszalna pieczęć dowodząca, że wiadomości nie zmieniono w drodze.
DMARC to ochroniarz, który sprawdza listę i pieczęć — i, co kluczowe, decyduje, co zrobić, gdy się nie zgadzają: przepuścić, wysłać do spamu czy zawrócić w drzwiach.

Możesz mieć listę (SPF) i pieczęć (DKIM), a nadal nie mieć ochroniarza. To pojedyncza, najczęstsza i najgroźniejsza sytuacja: zamki istnieją, ale nic ich nie egzekwuje. DMARC to egzekwowanie. To różnica między „umiemy stwierdzić, że ten e-mail jest fałszywy” a „ten fałszywy e-mail nigdy nie dociera do Twojego klienta”.

Ile może Cię to kosztować

To nie teoria. Oto konkretne sposoby, w jakie niechroniona domena zamienia się w prawdziwe pieniądze i prawdziwe szkody:

Oszustwo na fałszywą fakturę. Przestępca wysyła Twojemu klientowi coś, co wygląda dokładnie jak prawdziwa faktura od Twojej księgowości — ta sama nazwa, ta sama domena, profesjonalny układ — ale z własnym numerem konta. Ponieważ Twoja domena nie jest egzekwowana, ląduje w skrzynce odbiorczej, a nie w spamie. Klient płaci. Odkrywasz to tygodnie później, gdy pyta, gdzie jest zamówienie. Pieniądze zwykle przepadają, a klient często obarcza odpowiedzialnością Ciebie.
Przelew z oszustwa «na prezesa». E-mail wygląda, jakby pochodził od Ciebie, właściciela, do Twojej osoby od finansów: „Możesz pilnie przepchnąć ten przelew, jestem na spotkaniu”. Wygląda całkowicie prawdziwie, bo to Twój adres — tylko sfałszowany. Przelew wychodzi. Ten wzorzec — Business Email Compromise — to jedno z najkosztowniejszych oszustw dotykających małe firmy, właśnie dlatego, że e-mail naprawdę pochodzi z Twojej własnej domeny, więc przemyka prosto obok podejrzeń.
Utracony kontrakt. Poważny potencjalny klient przeprowadza kontrolę bezpieczeństwa lub zakupową przed podpisaniem. Ich narzędzia raportują Twoją domenę jako „podatną na podszywanie — brak egzekwowania uwierzytelniania poczty”. Ta jedna czerwona flaga może wystarczyć, by przyznać kontrakt konkurentowi, którego domena przeszła. Nigdy nawet nie poznasz prawdziwego powodu.
Cios reputacyjny, którego nie cofniesz. Twoja domena zostaje wciągnięta do kampanii phishingowej. Dziesiątki oszukanych w Twoim imieniu osób publikują ostrzeżenia i opinie. Atak trwa tydzień; pytanie „czy ta firma jest w ogóle bezpieczna?” wisi miesiącami.
Twoja własna poczta trafiająca do spamu. Google i Yahoo aktywnie nie ufają domenom bez egzekwowanego DMARC. Oferty, faktury i odpowiedzi, które naprawdę wysłałeś, zaczynają po cichu lądować w folderach spamu. Transakcje utykają, a Ty nigdy nie dowiadujesz się dlaczego.

Czym to właściwie jest (i jak wygląda „dobrze”)

DMARC istnieje jako pojedyncza linia tekstu w ustawieniach Twojej domeny — wpis DNS „TXT” opublikowany pod specjalną nazwą _dmarc.twojadomena. W środku jest kilka krótkich instrukcji. Dwie liczą się najbardziej i są to dokładnie te dwie rzeczy, które sprawdza ta ocena.

1. Polityka (p=) — rozkazy dla ochroniarza. To mocno ważona część kontroli. Może być jedną z trzech rzeczy:

p=none — tylko obserwacja. Ochroniarz notuje, kto wszedł, ale nikogo nie zatrzymuje. To nie chroni przed niczym; to etap monitorowania, nie gotowa konfiguracja. (Nasz silnik ocenia to jako niezaliczone — lepsze niż brak DMARC w ogóle, ale nie jest ochroną.)
p=quarantine — wysyłaj fałszywki do spamu. Prawdziwa ochrona, ale zdeterminowany atakujący liczy na to, że ludzie sprawdzają folder spamu. Solidny krok pośredni — zdobywa mniej więcej połowę punktów.
p=reject — odmawiaj przyjęcia fałszywek w drzwiach. Sfałszowany e-mail nigdy nie zostaje doręczony. To jedyne ustawienie, które w pełni Cię chroni i zdobywa pełną punktację.

Jak wygląda „dobrze”: p=reject. Cokolwiek mniej pozostawia lukę.

Dwa szczegóły techniczne, na które nasza kontrola także patrzy, warto je znać, by się nie nadziać:

Polityka subdomen (sp=). Możesz ustawić silną politykę dla domeny głównej, a przypadkiem zostawić subdomeny (jak mail.twojadomena czy news.twojadomena) całkowicie otwarte. Nasz silnik karze to ostro — domena z p=reject, ale sp=none jest oceniana w dół niemal jak brak egzekwowania, bo atakujący po prostu podrobią subdomenę. Dobra praktyka to pozwolić, by sp odziedziczyło Twoją silną politykę główną, albo ustawić je jawnie na reject.
Procent (pct=). Podczas ostrożnego wdrożenia możesz zastosować egzekwowanie tylko do ułamka poczty (np. pct=25). To prawowite narzędzie przejściowe, ale częściowe wdrożenie daje tylko częściową ochronę, a nasza ocena to odzwierciedla — rośnie miarowo, gdy przesuwasz się od 25% ku 100%, lecz pełna punktacja wymaga pełnego pokrycia.

2. Adres raportowania (rua=) — Twoja widoczność. To druga kontrola na tej stronie. Znacznik rua= prosi każdego dostawcę poczty na świecie o przesyłanie Ci codziennego podsumowania, kto próbował wysłać pocztę z Twojej domeny — Twoje własne systemy i wszelkich podszywających się. Bez niego lecisz na ślepo: nie masz pojęcia, kto nadużywa Twojej nazwy. Z nim firmy rutynowo odkrywają od 5 do 50 nieautoryzowanych nadawców już pierwszego dnia.

Jak wygląda „dobrze” dla raportowania: poprawny adres rua=mailto: (lub adres https: usługi raportującej), który faktycznie odbiera raporty. Nasza kontrola sprawdza format — błędnie wpisany lub uszkodzony adres oznacza, że raporty po cichu trafiają donikąd, co punktuje jako wynik częściowy lub niezaliczony, mimo że znacznik jest technicznie „obecny”.

Jak to naprawić (za darmo, ~30 minut rozłożone na dwa tygodnie)

Przekaż tę sekcję osobie zarządzającej Twoją domeną, stroną lub IT — naprawa jest całkowicie darmowa. Pobieramy opłatę jedynie za monitorowanie, że ustawienie pozostaje poprawne w czasie, za zarządzanie portfelem domen albo za audyt. Sama zmiana nic nie kosztuje.

Złota zasada: nigdy nie przeskakuj od razu na reject. Najpierw włącz monitorowanie, obserwuj raporty, potwierdź, że Twoja prawdziwa poczta jest rozpoznawana, a potem zaostrzaj. Wykonane w tej kolejności jest bezpieczne; wykonane w pośpiechu może wyrzucić do kosza Twoją własną pocztę.

Krok 1 — Najpierw upewnij się, że SPF i DKIM są na miejscu. DMARC na nich polega. Jeśli któregokolwiek brakuje, ogarnij je przed egzekwowaniem DMARC (zobacz strony SPF i DKIM).

Krok 2 — Opublikuj wpis monitorujący z włączonym raportowaniem. Dodaj wpis DNS TXT:

Host / nazwa: _dmarc.twojadomena (Twój dostawca DNS może pokazywać to jako samo _dmarc)
Typ: TXT
Wartość: v=DMARC1; p=none; rua=mailto:dmarc@twojadomena; adkim=s; aspf=s

To obserwuje i raportuje, jeszcze niczego nie blokując. Części adkim=s; aspf=s proszą o ścisłe dopasowanie — pomiń je na początku, jeśli nie masz pewności, i dodaj, gdy potwierdzisz, że Twoja poczta jest czysta.

Krok 3 — Czytaj raporty przez ~2 tygodnie. Surowe raporty DMARC to gęsty XML. Użyj darmowej usługi raportującej (na przykład dmarcian albo darmowego narzędzia DMARC firmy Postmark), by zamienić je w czytelny pulpit. Potwierdź, że każdy prawowity nadawca — dostawca skrzynki, narzędzie do newslettera, CRM, helpdesk, aplikacja do fakturowania — przechodzi. Napraw każdego prawdziwego nadawcę, który nie przechodzi.

Krok 4 — Przejdź na quarantine. Gdy Twoja prawdziwa poczta jest czysta, zmień p=none na p=quarantine. Obserwuj jeszcze kilka dni.

Krok 5 — Przejdź na reject. Na koniec zmień p=quarantine na p=reject. Jesteś teraz w pełni chroniony. Końcowy wpis wygląda tak:

v=DMARC1; p=reject; rua=mailto:dmarc@twojadomena; adkim=s; aspf=s

Krok 6 — Nie zapomnij o subdomenach. Upewnij się, że nie zostawiłeś sp=none. Jeśli w ogóle nie publikujesz sp, subdomeny dziedziczą Twoją główną politykę p=, czego właśnie chcesz.

Uwagi wedle popularnej platformy:

Google Workspace / Microsoft 365: Obie w pełni wspierają DMARC. Sam wpis DMARC trafia do Twojego dostawcy DNS, a nie do panelu administracyjnego Google czy Microsoftu — najpierw upewnij się, że SPF i DKIM są włączone w panelu, a potem opublikuj wpis DMARC TXT u rejestratora/dostawcy DNS.
Cloudflare: DNS > Records > Add record > TXT, nazwa _dmarc, wklej wartość. Cloudflare oferuje też wbudowane zarządzanie DMARC, które może to za Ciebie ustawić i zbierać raporty.
Popularne hostingi / rejestratorzy (GoDaddy itd.): Poszukaj „DNS”, „DNS Zone” lub „Advanced DNS”, dodaj wpis TXT o nazwie _dmarc z wartością powyżej. Propagacja zwykle zajmuje od kilku minut do godziny.

Częste błędy

Zatrzymanie się na p=none. Najczęstszy błąd, zdecydowanie. Monitorowanie to start, a nie meta — domena utknięta na none nadal jest w pełni do podrobienia. Nasz silnik ocenia to jako niezaliczone właśnie z tego powodu.
Skok od razu na reject bez monitorowania. Błąd odwrotny. Bez etapu raportowania możesz nie zorientować się, że prawowity nadawca (często narzędzie do newslettera lub fakturowania) nie jest dopasowany — i zaczniesz blokować własną pocztę.
Zapomnienie o polityce subdomen. Silne p=reject z sp=none zostawia boczne drzwi otwarte na oścież; atakujący po prostu podrabiają subdomenę.
Zepsuty adres raportowania. Błędnie wpisany rua= (lub bez przedrostka mailto:) oznacza, że raporty trafiają donikąd, a Ty pozostajesz na ślepo, nie zdając sobie z tego sprawy. Format musi być poprawnym URI mailto: lub https:, inaczej raporty nigdy nie zostaną dostarczone.
«Nie wysyłamy poczty, więc to pominiemy». Niewysyłająca domena to główny cel właśnie dlatego, że nikt jej nie pilnuje. Opublikuj rygorystyczną politykę reject, by całkowicie ją zaryglować.

Słowo o ocenianiu

Kontrola polityki (p=) to jeden z najmocniej ważonych elementów całej oceny — bo to pojedynczo największy czynnik decydujący o tym, czy można podszyć się pod Twoją firmę. reject zdobywa pełny wynik; quarantine zdobywa mniej więcej połowę; none i brakujący wpis punktują jako niezaliczone. Słabsza polityka subdomen lub częściowe wdrożenie pct= ściąga wynik w dół, by odpowiadał realnemu poziomowi ochrony, jaki faktycznie masz.

Kontrola raportowania (rua=) też niesie realną wagę, ale myśl o niej mniej jak o kratce do odhaczenia, a bardziej jak o narzędziu, które pozwala bezpiecznie dojść do reject. Skonfiguruj je w tym samym czasie co wpis monitorujący, a zwróci się widocznością już pierwszego dnia.

Skonfiguruj to u swojego dostawcy

Krok po kroku dla popularnych dostawców:

Najczęstsze pytania

Zupełnie nie znam się na technice — czy naprawdę dam sobie z tym radę?

Tak, ale nie musisz robić tego osobiście. Naprawa to kilka linijek dodanych do ustawień Twojej domeny i jest darmowa. Najprostsza droga to przekazać sekcję «Jak to naprawić» poniżej osobie zarządzającej Twoją stroną lub wsparciem IT. Zwykle zajmuje im to znacznie poniżej godziny, rozłożonej na kilka tygodni bezpiecznego monitorowania.

Czy włączenie DMARC przypadkiem nie zatrzyma moich własnych e-maili?

Może — ale tylko jeśli pominiesz bezpieczne wdrożenie. Cały sens rozpoczęcia od trybu «tylko monitorowanie» (p=none) z włączonym raportowaniem to obserwacja przez dwa tygodnie i potwierdzenie, że każdy prawowity nadawca (Twoja skrzynka, narzędzie do newslettera, aplikacja do fakturowania) jest poprawnie rozpoznawany ZANIM przełączysz na blokowanie. Wykonane w tej kolejności, Twoja prawdziwa poczta pozostaje nienaruszona. Skok od razu na «reject» bez sprawdzenia raportów to jeden częsty błąd, który psuje dostarczanie.

Mam już skonfigurowane SPF i DKIM. Czy to nie wystarczy?

Nie — i to najważniejsza rzecz do zrozumienia. SPF i DKIM to zamki; DMARC to instrukcja mówiąca: «jeśli zamki się nie zgadzają, odmów przyjęcia wiadomości». Bez DMARC ustawionego na «reject» serwer odbierający może zauważyć, że e-mail jest sfałszowany, a mimo to go doręczyć. SPF i DKIM są warunkiem koniecznym działania DMARC, ale same w sobie nie powstrzymują sfałszowanej wiadomości przed dotarciem do skrzynki.

Jaka jest różnica między «none», «quarantine» a «reject»? Którego potrzebuję?

«none» tylko obserwuje i raportuje — niczego nie zatrzymuje, więc Cię nie chroni. «quarantine» wysyła fałszywki do folderu spamu. «reject» odrzuca je wprost, więc nigdy nie docierają. «reject» to cel i jedyne ustawienie z pełną punktacją. «quarantine» to rozsądny krok pośredni; «none» to punkt startowy na pierwsze dwa tygodnie, a nie miejsce docelowe.

Czym jest to raportowanie «rua» i czy go potrzebuję?

Znacznik rua prosi dostawców poczty o przesyłanie Ci codziennego podsumowania każdego systemu, który próbował wysłać pocztę z Twojej domeny — w tym przestępców. Tak właśnie firmy odkrywają od 5 do 50 nieautoryzowanych nadawców zwykle nadużywających domeny już pierwszego dnia. Samo w sobie waży mniej niż polityka, ale dzięki niemu bezpiecznie przejdziesz na «reject» bez psucia prawdziwej poczty, więc skonfiguruj je w tym samym czasie.

Prawie nie wysyłamy poczty albo w ogóle nie wysyłamy jej z tej domeny. Czy nadal potrzebujemy DMARC?

Zwłaszcza wtedy. Domena, która wysyła mało lub nic, to idealny, cichy cel dla przestępców do podszywania się, bo nikt jej nie pilnuje. Domena, z której nigdy nie wysyłasz poczty, powinna publikować rygorystyczną politykę reject — to czysta, niskiego ryzyka wygrana, która całkowicie zatrzaskuje drzwi.