Wyobraź sobie, że Twój klient dostaje e-mail „od Ciebie" z prośbą o pilny przelew na nowe konto bankowe. Wiadomość wygląda identycznie jak Twoja korespondencja — ta sama domena, ta sama stopka. Problem? Ty jej nigdy nie wysłałeś. To właśnie email spoofing — jeden z najstarszych i wciąż najskuteczniejszych wektorów ataku w cyberprzestrzeni. W tym artykule rozkładamy go na czynniki pierwsze i pokazujemy 5 konkretnych kroków, które realnie utrudniają lub uniemożliwiają podszywanie się pod Twoją domenę.
Czym jest email spoofing i dlaczego wciąż działa?
Spoofing (z ang. to spoof — mistyfikować) polega na sfałszowaniu jednego lub kilku pól nagłówka wiadomości e-mail tak, aby odbiorca widział innego nadawcę niż rzeczywisty. Protokół SMTP, zaprojektowany w 1982 roku (RFC 821), nie przewidywał żadnego mechanizmu uwierzytelniania — każdy serwer mógł podać dowolną wartość w polu MAIL FROM i nagłówku From:. Trzy dekady później ta architektoniczna słabość nadal jest aktywnie wykorzystywana.
Według raportu Verizon Data Breach Investigations Report 2023, phishing (którego spoofing jest kluczowym narzędziem) był obecny w ponad 36% wszystkich naruszonych incydentów bezpieczeństwa. Ataki Business Email Compromise (BEC) kosztowały firmy na całym świecie ponad 2,7 miliarda dolarów w samym 2022 roku — dane FBI IC3. To nie jest problem akademicki.
Anatomia ataku — jak dokładnie działa podszywanie się pod e-mail?
Aby skutecznie się bronić, trzeba najpierw zrozumieć mechanizm. Atak spoofingowy przebiega w kilku warstwach, które warto rozróżnić.
Warstwa 1: Fałszowanie nagłówka „From:"
Nagłówek From: to ten, który widzi odbiorca w kliencie pocztowym. Atakujący ustawia go na kontakt@twojafirma.pl, podczas gdy rzeczywisty adres nadawcy (tzw. envelope sender, pole MAIL FROM w sesji SMTP) pochodzi z zupełnie innej domeny — np. attacker@randomdomain.xyz. Większość programów pocztowych domyślnie pokazuje tylko nagłówek From:, ukrywając techniczne szczegóły sesji SMTP.
Warstwa 2: Spoofing domeny podobnej (lookalike)
Bardziej wyrafinowana odmiana to rejestracja domeny łudząco podobnej do oryginalnej: twoja-firma.pl, twojafirrma.pl lub twojafirma.com zamiast twojafirma.pl. W tym przypadku atakujący ma pełną kontrolę nad domeną, więc podstawowe rekordy DNS mogą wyglądać poprawnie — obrona wymaga tu innych narzędzi (np. monitorowania rejestracji podobnych domen).
Warstwa 3: Kompromitacja konta (ATO)
Jeśli atakujący przejmie rzeczywiste konto pocztowe w Twojej organizacji (Account Takeover), spoofing staje się zbędny — wysyła z prawdziwej skrzynki. To scenariusz najtrudniejszy do wykrycia i wykraczający poza sam spoofing, ale warto go mieć na uwadze projektując obronę warstwową.
Jak wygląda typowy atak BEC krok po kroku?
- Atakujący rejestruje domenę
twojafirma-pl.comlub konfiguruje serwer SMTP z fałszywym nagłówkiemFrom:. - Wysyła wiadomość do księgowego ofiary, podszywając się pod prezesa lub dyrektora finansowego.
- Treść zawiera pilną prośbę o przelew lub zmianę danych bankowych dostawcy.
- Wiadomość trafia do skrzynki odbiorczej, bo domena ofiary nie ma wdrożonego DMARC z polityką
reject. - Pracownik, działając pod presją czasu, realizuje polecenie bez weryfikacji.
Cały atak może zająć atakującemu mniej niż 30 minut przygotowań. Strata po stronie ofiary — od kilku do kilkuset tysięcy złotych.
Krok 1: Wdróż rekord SPF (Sender Policy Framework)
SPF to rekord TXT w DNS Twojej domeny, który definiuje, które serwery IP mają prawo wysyłać pocztę w imieniu tej domeny. Serwer odbiorczy sprawdza, czy adres IP nadawcy zgadza się z listą dozwolonych serwerów.
Przykładowy rekord SPF dla domeny korzystającej z jednego serwera SMTP i usługi zewnętrznej:
v=spf1 ip4:203.0.113.10 include:_spf.mailer.example.pl ~all
Kluczowe parametry końcowe:
- -all — twarda odmowa (hard fail): wiadomości spoza listy są odrzucane. Zalecane dla domen produkcyjnych.
- ~all — miękka odmowa (soft fail): wiadomości trafiają do spamu. Dobry punkt startowy przy wdrożeniu.
- +all — zezwolenie na wszystko. Nigdy nie używaj.
Ważne ograniczenie: SPF chroni pole MAIL FROM (envelope sender), a nie nagłówek From: widoczny dla odbiorcy. Dlatego sam SPF nie wystarczy — atakujący może ustawić prawidłowy envelope sender na własną domenę, a sfałszować tylko From:. Tu wkracza DKIM i DMARC.
Krok 2: Podpisz wiadomości kluczem DKIM
DKIM (DomainKeys Identified Mail) dodaje do każdej wiadomości kryptograficzny podpis cyfrowy. Serwer nadawcy podpisuje wybrane nagłówki i treść wiadomości kluczem prywatnym, a klucz publiczny publikuje w DNS. Serwer odbiorczy weryfikuje podpis — jeśli wiadomość została zmodyfikowana w trakcie transmisji lub pochodzi z nieautoryzowanego serwera, weryfikacja się nie powiedzie.
Jak wygląda rekord DKIM w DNS?
mail._domainkey.twojafirma.pl TXT "v=DKIM1; k=rsa; p=MIGfMA0GCS..."
Selektor (mail) pozwala mieć wiele kluczy jednocześnie — przydatne przy rotacji kluczy lub korzystaniu z kilku dostawców wysyłki. Zalecana długość klucza RSA to minimum 2048 bitów (klucze 1024-bitowe uznaje się za przestarzałe).
DKIM chroni integralność wiadomości i powiązuje ją z domeną podpisującą. Nawet jeśli atakujący przekaże wiadomość przez własny serwer, podpis DKIM będzie nieprawidłowy lub nieobecny — co DMARC może wykorzystać do podjęcia decyzji.
Krok 3: Wymuś politykę DMARC
DMARC (Domain-based Message Authentication, Reporting and Conformance) to warstwa nadzorcza, która łączy wyniki SPF i DKIM i definiuje, co serwer odbiorczy ma zrobić z wiadomością, która nie przejdzie weryfikacji. To właśnie DMARC zamyka lukę, której nie pokrywa sam SPF — sprawdza, czy domena w nagłówku From: jest zgodna z domeną zweryfikowaną przez SPF lub DKIM (tzw. alignment).
Trzy polityki DMARC
| Polityka | Działanie | Kiedy stosować? |
|---|---|---|
| p=none | Monitorowanie — brak akcji, tylko raporty | Faza wdrożenia i audytu |
| p=quarantine | Wiadomości trafiają do spamu/kwarantanny | Faza przejściowa |
| p=reject | Wiadomości są odrzucane na poziomie serwera | Docelowa konfiguracja produkcyjna |
Przykładowy rekord DMARC z raportowaniem:
_dmarc.twojafirma.pl TXT "v=DMARC1; p=reject; rua=mailto:dmarc-raporty@twojafirma.pl; ruf=mailto:dmarc-forensic@twojafirma.pl; pct=100"
Parametr rua wskazuje adres do zbiorczych raportów XML (Aggregate Reports), które codziennie przysyłają główne serwery pocztowe (Gmail, Outlook, Yahoo). Analizując je, zobaczysz dokładnie, kto i skąd wysyła e-maile podszywające się pod Twoją domenę. Nie wdrażaj od razu p=reject — zacznij od p=none przez 2–4 tygodnie, przeanalizuj raporty, upewnij się że wszystkie legalne strumienie pocztowe mają poprawne SPF i DKIM, a dopiero potem zaostrzaj politykę.
Krok 4: Zabezpiecz infrastrukturę wysyłkową i monitoruj anomalie
Techniczne rekordy DNS to podstawa, ale obrona przed spoofingiem to też higiena infrastruktury po Twojej stronie.
Skonfiguruj reverse DNS (PTR)
Rekord PTR (odwrotny DNS) dla Twojego serwera SMTP powinien wskazywać na jego nazwę hosta. Brak rekordu PTR lub niezgodność z nazwą w komendzie EHLO to sygnał alarmowy dla serwerów odbiorczych i może powodować odrzucenie wiadomości lub obniżenie reputacji IP.
Ogranicz otwarte przekaźniki (open relay)
Serwer SMTP skonfigurowany jako open relay przyjmuje i przekazuje pocztę od dowolnego nadawcy do dowolnego odbiorcy — to raj dla spamerów i atakujących. Upewnij się, że Twój serwer wymaga uwierzytelnienia (AUTH) przed akceptacją wiadomości do wysyłki.
Monitoruj logi i ustaw alerty
Wdrożenie DMARC z raportowaniem to dopiero połowa sukcesu — raporty trzeba czytać. Narzędzia takie jak parsery raportów DMARC (dmarcian, Postmark DMARC, czy własne skrypty) pozwalają wychwycić nieautoryzowane źródła wysyłki zanim wyrządzą szkodę. Warto ustawić alert na nagły wzrost wolumenu wiadomości z Twojej domeny z nieznanych IP.
Jeśli korzystasz z platformy do mailingu transakcyjnego lub marketingowego — upewnij się, że dostawca obsługuje podpisywanie DKIM Twoją własną domeną (nie domeną dostawcy). W MailerPRO każda skrzynka SMTP jest konfigurowana z własną domeną nadawcy, co ułatwia utrzymanie spójnej polityki DMARC bez wyjątków dla subdomen dostawcy.
Krok 5: Edukacja zespołu i procedury weryfikacji
Najlepsze zabezpieczenia techniczne nie pomogą, jeśli pracownik zrobi przelew na podstawie sfałszowanej wiadomości, bo „prezes prosił pilnie". Ludzki element pozostaje najsłabszym ogniwem — i jedynym, który można wzmocnić szkoleniem.
Procedura weryfikacji „drugiego kanału"
Wprowadź żelazną zasadę: każda prośba o przelew, zmianę danych bankowych lub przekazanie poufnych informacji otrzymana e-mailem wymaga potwierdzenia innym kanałem — telefonem na znany numer, przez komunikator firmowy lub osobiście. Ta prosta procedura eliminuje skutki nawet najbardziej przekonującego ataku BEC.
Regularne ćwiczenia phishingowe
Wysyłanie kontrolowanych wiadomości phishingowych do własnych pracowników (za zgodą zarządu i z poszanowaniem przepisów o ochronie danych — art. 6 ust. 1 lit. f RODO jako podstawa prawna uzasadnionego interesu administratora) pozwala mierzyć podatność zespołu i identyfikować osoby wymagające dodatkowego szkolenia. Firmy, które regularnie przeprowadzają takie ćwiczenia, redukują wskaźnik kliknięć w linki phishingowe o 50–70% w ciągu roku (dane Proofpoint Security Awareness Training, 2023).
Oznaczanie wiadomości zewnętrznych
Skonfiguruj serwer pocztowy lub filtr antyspamowy tak, by automatycznie dodawał etykietę [ZEWNĘTRZNY] lub banner ostrzegawczy do każdej wiadomości przychodzącej spoza Twojej organizacji. To prosty mechanizm, który natychmiast sygnalizuje pracownikom, że wiadomość rzekomo od „prezesa@twojafirma.pl" faktycznie pochodzi z zewnątrz.
Szybka checklista — czy Twoja domena jest chroniona?
- ☐ Rekord SPF opublikowany w DNS z polityką
-alllub~all - ☐ DKIM skonfigurowany na wszystkich serwerach/usługach wysyłających pocztę z Twojej domeny
- ☐ Rekord DMARC opublikowany, docelowo z
p=reject - ☐ Raporty DMARC (rua) regularnie analizowane
- ☐ Rekord PTR skonfigurowany dla serwera SMTP
- ☐ Serwer SMTP nie działa jako open relay
- ☐ Procedura weryfikacji „drugiego kanału" wdrożona i znana zespołowi
- ☐ Pracownicy przeszkoleni z rozpoznawania prób phishingu i spoofingu
- ☐ Oznaczanie wiadomości zewnętrznych aktywne w kliencie pocztowym
Email spoofing i podszywanie się pod domeny firmowe to zagrożenie realne, tanie w wykonaniu po stronie atakującego i kosztowne w skutkach po stronie ofiary. Dobra wiadomość jest taka, że obrona — choć wymaga kilku godzin konfiguracji — jest dostępna dla każdej firmy bez względu na budżet. SPF, DKIM i DMARC to otwarte standardy, działające na każdym serwerze DNS. Zacznij od audytu obecnej konfiguracji (narzędzie MXToolbox lub Google Admin Toolbox pozwolą Ci sprawdzić rekordy w kilka minut), wdróż brakujące elementy etapami i nie zapomnij o czynniku ludzkim — bo żaden rekord DNS nie zastąpi przeszkolonego pracownika, który zadzwoni zanim zrobi przelew.
📨 Wypróbuj Mailer PRO
Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.
Zobacz cennik Jak to działa
