Wyobraź sobie, że Twój klient dostaje wiadomość „od Ciebie" z prośbą o pilny przelew — a Ty o niczym nie wiesz. Email spoofing to nie science-fiction: według raportu Verizon DBIR 2023 ponad 74% naruszeń danych zaczyna się od wiadomości e-mail, a fałszowanie nadawcy należy do najczęściej wykorzystywanych technik. W tym artykule wyjaśniamy, jak dokładnie działa spoofing domeny email, dlaczego protokół SMTP sam w sobie nie chroni przed tym atakiem, i — co najważniejsze — jakie 6 mechanizmów skutecznie zamyka tę lukę.
Czym jest email spoofing i dlaczego SMTP na to pozwala?
Email spoofing polega na sfałszowaniu pola nadawcy wiadomości e-mail tak, by odbiorca widział adres, który nie należy do rzeczywistego wysyłającego. Atakujący może wpisać w nagłówku From: dosłownie dowolny adres — np. faktury@twojaFirma.pl — nawet nie mając dostępu do tej skrzynki ani serwera.
Winowajcą jest architektura protokołu SMTP (Simple Mail Transfer Protocol), zaprojektowanego w latach 80. XX wieku bez mechanizmów uwierzytelniania. Spoofing SMTP wykorzystuje fakt, że serwer pocztowy podczas przekazywania wiadomości domyślnie nie weryfikuje, czy nadawca faktycznie kontroluje domenę, którą podaje. Dopiero późniejsze rozszerzenia — opisane poniżej — załatają tę lukę.
Rodzaje spoofingu, które musisz znać
- Display name spoofing — atakujący zmienia tylko wyświetlaną nazwę (np. „Jan Kowalski <losowy@gmail.com>"), licząc, że odbiorca nie spojrzy na faktyczny adres.
- Exact domain spoofing — pole From: zawiera dokładną domenę ofiary (np. cfo@twojafirma.pl). Najtrudniejszy do wykrycia gołym okiem.
- Lookalike domain spoofing — rejestracja domeny łudząco podobnej, np. twojafirma-pl.com lub twøjafirma.pl (homoglyph attack).
- Subdomain spoofing — wysyłka z faktury.twojafirma.pl, jeśli subdomena nie jest objęta polityką DMARC.
Jak przebiega typowy atak — krok po kroku
Zrozumienie mechanizmu ataku to pierwszy krok do skutecznej ochrony przed spoofingiem. Poniżej schemat typowego scenariusza Business Email Compromise (BEC):
- Rekonesans — atakujący sprawdza publicznie dostępne informacje: strukturę firmy, adresy e-mail pracowników, dostawców.
- Przygotowanie wiadomości — konfiguruje własny serwer SMTP lub korzysta z otwartego relay'a i ustawia pole From: na adres ofiary.
- Wysyłka — wiadomość trafia do serwera pocztowego odbiorcy. Jeśli domena nadawcy nie ma skonfigurowanego SPF/DKIM/DMARC, serwer przyjmuje wiadomość bez zastrzeżeń.
- Działanie ofiary — odbiorca, ufając znajomemu adresowi, wykonuje przelew, klika link lub ujawnia dane logowania.
FBI szacuje, że straty wywołane atakami BEC wyniosły globalnie ponad 2,9 mld USD w samym 2023 roku (raport IC3). Polska nie jest wyjątkiem — CERT Polska odnotowuje setki zgłoszeń rocznie dotyczących fałszowania nadawcy email.
6 mechanizmów anti-spoofing, które chronią Twoją domenę
Poniższe mechanizmy działają warstwowo — każdy kolejny uzupełnia poprzedni. Wdrożenie wszystkich sześciu daje najwyższy poziom ochrony bezpieczeństwa email.
1. SPF (Sender Policy Framework)
SPF to rekord DNS typu TXT, który definiuje listę serwerów uprawnionych do wysyłania poczty w imieniu Twojej domeny. Serwer odbiorcy sprawdza, czy adres IP nadawcy znajduje się na tej liście. Jeśli nie — wiadomość może zostać odrzucona lub oznaczona jako podejrzana.
Przykład rekordu SPF: v=spf1 ip4:203.0.113.10 include:_spf.mailerPRO.pl ~all
Dyrektywa ~all (softfail) oznacza, że wiadomości spoza listy są akceptowane, ale oznaczane. Dyrektywa -all (hardfail) powoduje odrzucenie. SPF ma jednak istotne ograniczenie: nie chroni nagłówka From: widocznego dla użytkownika — weryfikuje tylko techniczny adres Return-Path.
2. DKIM (DomainKeys Identified Mail)
DKIM dodaje do wiadomości cyfrowy podpis kryptograficzny oparty na parze kluczy RSA lub Ed25519. Klucz prywatny podpisuje nagłówki i treść wiadomości na serwerze nadawcy, a klucz publiczny jest publikowany w DNS. Serwer odbiorcy pobiera klucz publiczny i weryfikuje podpis.
Kluczowa zaleta DKIM: podpis jest powiązany z domeną widoczną w nagłówku From:, co bezpośrednio utrudnia spoofing domeny email. Dodatkowo gwarantuje integralność — jakakolwiek modyfikacja treści po podpisaniu unieważnia sygnaturę.
3. DMARC (Domain-based Message Authentication, Reporting & Conformance)
DMARC to polityka łącząca SPF i DKIM oraz dodająca mechanizm raportowania. Definiuje, co serwer odbiorcy ma zrobić z wiadomością, która nie przejdzie weryfikacji SPF lub DKIM: none (tylko monitoring), quarantine (spam) lub reject (odrzucenie).
| Polityka DMARC | Działanie serwera | Kiedy stosować |
|---|---|---|
| p=none | Brak akcji, tylko raport | Faza wdrożenia / audyt |
| p=quarantine | Przeniesienie do spamu | Testowanie po konfiguracji SPF/DKIM |
| p=reject | Odrzucenie wiadomości | Docelowa, pełna ochrona |
DMARC generuje też raporty XML (RUA/RUF), dzięki którym wiesz, kto i skąd wysyła maile podszywając się pod Twoją domenę. To bezcenne narzędzie analityczne, nie tylko ochronne.
4. BIMI (Brand Indicators for Message Identification)
BIMI to stosunkowo nowy standard, który wyświetla logo Twojej marki obok wiadomości w skrzynce odbiorcy (obsługują go m.in. Gmail, Apple Mail, Yahoo). Warunkiem jest wdrożenie DMARC z polityką quarantine lub reject oraz — w przypadku Gmail — posiadanie certyfikatu VMC (Verified Mark Certificate).
BIMI nie blokuje spoofingu bezpośrednio, ale pełni funkcję wizualnego sygnału zaufania: odbiorca widzi zweryfikowane logo i natychmiast odróżnia autentyczną wiadomość od podróbki.
5. MTA-STS i DANE — szyfrowanie transportu
MTA-STS (Mail Transfer Agent Strict Transport Security) wymusza szyfrowanie TLS podczas przesyłania wiadomości między serwerami pocztowymi. Publikujesz plik polityki pod adresem https://mta-sts.twojadomena.pl/.well-known/mta-sts.txt oraz rekord DNS _mta-sts. Serwer wysyłający musi nawiązać połączenie TLS — jeśli nie może, wstrzymuje dostarczenie zamiast wysyłać w niezaszyfrowanym kanale.
DANE (DNS-based Authentication of Named Entities) idzie krok dalej: łączy certyfikaty TLS z rekordami DNSSEC, eliminując ryzyko podstawienia fałszywego certyfikatu. Wymaga jednak wdrożenia DNSSEC dla domeny — co wciąż nie jest standardem u wszystkich rejestratorów w Polsce.
6. ARC (Authenticated Received Chain)
ARC rozwiązuje problem, który pojawia się przy przekazywaniu wiadomości (forwarding) i listach mailingowych — pośredni serwer może nieumyślnie „złamać" podpis DKIM lub wyrównanie SPF. ARC zachowuje łańcuch wyników uwierzytelnienia z każdego przeskoku, dzięki czemu serwer docelowy może ocenić, czy wiadomość była prawidłowo uwierzytelniona na wcześniejszych etapach.
ARC jest szczególnie ważny w środowiskach korporacyjnych z bramkami antyspamowymi, które modyfikują nagłówki lub stopkę wiadomości przed dostarczeniem do skrzynki końcowego odbiorcy.
Jak sprawdzić, czy Twoja domena jest podatna na spoofing?
Weryfikację możesz przeprowadzić samodzielnie w kilka minut. Sprawdź kolejno:
- SPF: dig TXT twojadomena.pl lub narzędzia online jak MXToolbox — szukaj rekordu zaczynającego się od v=spf1.
- DKIM: wyślij testową wiadomość na konto Gmail i sprawdź nagłówki (Show original) — poszukaj dkim=pass.
- DMARC: dig TXT _dmarc.twojadomena.pl — brak rekordu oznacza brak polityki, czyli pełną podatność na exact domain spoofing.
Jeśli któregokolwiek z tych rekordów brakuje, Twoja domena jest podatna na fałszowanie nadawcy email. Warto też pamiętać, że RODO (art. 32 RODO) nakłada obowiązek wdrożenia „odpowiednich środków technicznych" zapewniających bezpieczeństwo przetwarzania — brak podstawowych mechanizmów anti-spoofing może być traktowany jako naruszenie tego wymogu przez organ nadzorczy (UODO).
Wdrożenie krok po kroku — od czego zacząć?
Nie musisz wdrażać wszystkiego naraz. Zalecana kolejność to:
- Opublikuj rekord SPF — to zajmuje dosłownie kilka minut w panelu DNS rejestratora.
- Skonfiguruj DKIM na serwerze pocztowym lub w narzędziu do wysyłki (np. MailerPRO generuje parę kluczy i podaje gotowy rekord DNS do wklejenia).
- Dodaj rekord DMARC z polityką p=none i adresem RUA do zbierania raportów. Analizuj raporty przez 2–4 tygodnie.
- Gdy raporty potwierdzą, że cały ruch legitymacyjny przechodzi weryfikację — przejdź na p=quarantine, a docelowo p=reject.
- Rozważ MTA-STS i BIMI jako kolejny poziom dojrzałości.
Pamiętaj o domenach, z których nie wysyłasz poczty — np. zapasowych lub brandingowych. Dla nich ustaw rekord SPF v=spf1 -all oraz DMARC p=reject, by całkowicie zablokować możliwość ich użycia w atakach spoofingowych.
Podsumowanie — ochrona domeny to nie opcja, to standard
Email spoofing jest prosty w wykonaniu i kosztowny w skutkach — zarówno finansowo, jak i wizerunkowo. Sześć opisanych mechanizmów (SPF, DKIM, DMARC, BIMI, MTA-STS/DANE, ARC) tworzy wielowarstwową tarczę, która skutecznie eliminuje ryzyko fałszowania nadawcy email. Każdy z nich jest bezpłatny w konfiguracji i wymaga jedynie dostępu do panelu DNS oraz serwera pocztowego. Jeśli jeszcze nie masz wdrożonego choćby SPF i DMARC — zacznij dziś: każdy dzień bez tych rekordów to otwarte drzwi dla atakujących, którzy chętnie skorzystają z Twojej reputacji domenowej.
📨 Wypróbuj Mailer PRO
Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.
Zobacz cennik Jak to działa
