Wyobraź sobie, że Twoi klienci dostają e-maile z adresu noreply@twojafirma.pl z prośbą o „pilną weryfikację danych płatniczych" — a Ty o tym nie wiesz. To nie scenariusz z filmu. Według raportu CERT Polska za 2023 rok, phishing stanowił ponad 64% wszystkich zgłoszonych incydentów bezpieczeństwa. W tym poradniku dostaniesz konkretne narzędzia i kroki, żeby wykryć spoofing Twojej domeny, zablokować go technicznie i zbudować trwałą ochronę marki.
Czym jest spoofing domeny i dlaczego uderza w Twoją markę
Spoofing domeny to technika, w której atakujący fałszuje nagłówek From: wiadomości e-mail tak, by wyglądała jak wysłana z Twojej domeny. Odbiorca widzi np. kontakt@twojafirma.pl, choć wiadomość wyszła z serwera w zupełnie innym kraju. Nie potrzeba do tego żadnego włamania na Twoje konto — wystarczy skonfigurować dowolny serwer SMTP i wpisać dowolny adres nadawcy.
Konsekwencje dla marki są poważne: klienci tracą zaufanie, Twoja reputacja nadawcy spada (co przekłada się na dostarczalność legalnych kampanii), a w skrajnych przypadkach możesz ponieść odpowiedzialność za naruszenie danych osobowych klientów zgodnie z art. 5 ust. 1 lit. f RODO (zasada integralności i poufności). Urząd Ochrony Danych Osobowych może uznać brak technicznych środków ochrony za naruszenie art. 32 RODO.
Jak rozpoznać, że ktoś podszywa się pod Twoją domenę
Sygnały od klientów i partnerów
Pierwszy alarm to zgłoszenia od odbiorców: „Dostałem od was dziwną wiadomość z linkiem". Nie bagatelizuj takich sygnałów — to najczęściej pierwszy dowód aktywnej kampanii phishingowej wymierzonej w Twoją markę. Stwórz prosty adres e-mail (np. bezpieczenstwo@twojafirma.pl) i poinformuj klientów, gdzie mogą przesyłać podejrzane wiadomości.
Raporty DMARC — kopalnia informacji
Jeśli masz wdrożony DMARC (nawet w trybie p=none), każdy serwer pocztowy, który odbierze wiadomość podszywającą się pod Twoją domenę, może wysłać Ci raport XML. Raporty te zawierają adresy IP nadawców, wyniki weryfikacji SPF i DKIM oraz liczbę wiadomości. Narzędzia takie jak dmarcian, Postmark DMARC lub MXToolbox pozwalają parsować te raporty do czytelnej postaci.
Google Postmaster Tools i Microsoft SNDS
Jeśli Twoi klienci korzystają z Gmaila lub Outlooka, masz dostęp do bezpłatnych narzędzi reputacyjnych. Google Postmaster Tools pokazuje wskaźnik spamu dla Twojej domeny — nagły skok bez zmiany w Twoich kampaniach to wyraźny sygnał, że ktoś wysyła spam „w Twoim imieniu". Microsoft Smart Network Data Services (SNDS) działa analogicznie dla skrzynek Outlook/Hotmail.
Trójca techniczna: SPF, DKIM i DMARC
Ochrona domeny przed phishingiem opiera się na trzech rekordach DNS, które współpracują ze sobą. Wdrożenie wszystkich trzech to absolutne minimum dla każdej firmy wysyłającej e-maile do klientów.
| Mechanizm | Co robi | Gdzie konfigurowany | Bez niego |
|---|---|---|---|
| SPF | Definiuje listę serwerów uprawnionych do wysyłki z Twojej domeny | Rekord TXT w DNS | Każdy serwer może wysłać e-mail „od Ciebie" |
| DKIM | Podpisuje wiadomość kryptograficznie — odbiorca weryfikuje podpis | Rekord TXT w DNS + konfiguracja SMTP | Brak dowodu autentyczności treści |
| DMARC | Określa politykę dla wiadomości, które nie przeszły SPF/DKIM, i zbiera raporty | Rekord TXT w DNS (_dmarc.domena.pl) | Nawet poprawny SPF/DKIM nie blokuje spoofingu |
Krok 1 — Skonfiguruj SPF
Rekord SPF to wpis TXT w strefie DNS Twojej domeny. Przykład dla firmy, która wysyła e-maile przez własny serwer i narzędzie do mailingu:
v=spf1 ip4:203.0.113.10 include:_spf.mailerpro.pl ~all
Mechanizm ~all (softfail) oznacza, że wiadomości spoza listy będą oznaczane, ale nie odrzucane. Docelowo — po przetestowaniu — zmień na -all (hardfail). Uwaga: masz limit 10 mechanizmów DNS lookup w jednym rekordzie SPF — przekroczenie go powoduje błąd weryfikacji.
Krok 2 — Wdróż DKIM
DKIM wymaga wygenerowania pary kluczy RSA (minimum 2048 bitów). Klucz prywatny trafia na Twój serwer pocztowy, klucz publiczny — do DNS jako rekord TXT pod adresem selektor._domainkey.twojafirma.pl. Większość platform do mailingu (w tym MailerPRO) generuje klucze automatycznie i podaje gotowy rekord DNS do wklejenia. Sprawdź poprawność wdrożenia narzędziem MXToolbox DKIM Lookup.
Krok 3 — Wdróż DMARC i dojdź do p=reject
DMARC łączy wyniki SPF i DKIM z polityką działania. Wdrożenie warto podzielić na etapy:
- Faza monitoringu (
p=none) — zbierasz raporty przez 2-4 tygodnie, nie blokujesz nic. Analizujesz, które serwery wysyłają w imieniu Twojej domeny. - Faza kwarantanny (
p=quarantine) — podejrzane wiadomości trafiają do spamu odbiorcy. Obserwujesz, czy legalne wiadomości nie są błędnie klasyfikowane. - Faza blokowania (
p=reject) — serwery odbiorców odrzucają wiadomości, które nie przeszły weryfikacji. To cel końcowy, czyli DMARC reject.
Przykładowy rekord DMARC na etapie docelowym:
v=DMARC1; p=reject; rua=mailto:dmarc-raporty@twojafirma.pl; ruf=mailto:dmarc-forensic@twojafirma.pl; pct=100; adkim=s; aspf=s;
Parametr pct=100 oznacza, że polityka dotyczy 100% wiadomości. Możesz zacząć od pct=10 i stopniowo zwiększać, minimalizując ryzyko zakłóceń w legalnej wysyłce.
Co zrobić, gdy wykryjesz aktywną kampanię phishingową
Natychmiastowe działania (pierwsze 24 godziny)
- Zbierz nagłówki podejrzanych wiadomości (pełne, nie tylko „od/do/temat") — to materiał dowodowy i źródło adresów IP atakujących.
- Sprawdź w raportach DMARC lub narzędziu MXToolbox, z jakich serwerów wychodzą fałszywe wiadomości.
- Jeśli masz już DMARC w trybie
p=nonelubp=quarantine— przyspiesz przejście dop=reject(po weryfikacji, że Twoja legalna wysyłka ma poprawne SPF i DKIM). - Poinformuj klientów o kampanii — krótki e-mail lub post w mediach społecznościowych z informacją „nie prosimy o dane przez e-mail" może uchronić dziesiątki osób przed stratą.
Zgłoszenie do odpowiednich instytucji
Phishing to przestępstwo z art. 287 Kodeksu karnego (oszustwo komputerowe). Zgłoś incydent do CERT Polska przez stronę incydent.cert.pl — to bezpłatne i zwiększa szansę na szybkie zablokowanie infrastruktury atakujących. Jeśli doszło do wycieku danych klientów, masz obowiązek zgłoszenia naruszenia do UODO w ciągu 72 godzin (art. 33 RODO). Równolegle złóż zawiadomienie na policję lub do prokuratury.
Takedown fałszywych stron i domen
Phishing często idzie w parze z fałszywą stroną imitującą Twój serwis. Zidentyfikuj domenę (narzędzia: VirusTotal, URLscan.io), a następnie złóż wniosek o jej usunięcie do rejestratora domeny (przez formularz abuse) oraz do firmy hostingowej. Wiele rejestratorów reaguje w ciągu 24-48 godzin. Możesz też zgłosić URL do list blokujących Google Safe Browsing i Microsoft SmartScreen — po weryfikacji strona zostanie oznaczona jako niebezpieczna w przeglądarkach.
Długoterminowa ochrona marki przed phishingiem
Monitoruj swoją domenę i podobne domeny
Atakujący często rejestrują domeny łudząco podobne do Twojej: twojafirma-pl.com, twoja-firma.pl, twojafirmaonline.pl. Usługi takie jak DNSTwist, DomainTools lub darmowy alert Google Alerts na nazwę Twojej marki pomogą wychwycić nowe rejestracje. Rozważ defensywne zarejestrowanie najważniejszych wariantów Twojej domeny (z myślnikiem, z przyrostkiem .com, .eu).
BIMI — wizualna weryfikacja nadawcy
Brand Indicators for Message Identification (BIMI) to standard, który wyświetla logo Twojej firmy obok wiadomości w skrzynce odbiorcy (obsługują go Gmail, Apple Mail, Yahoo). Wymaga wdrożonego DMARC p=reject lub p=quarantine oraz certyfikatu VMC (Verified Mark Certificate). BIMI nie tylko wzmacnia ochronę marki, ale też zwiększa wskaźniki otwarć — badania Entrust pokazują wzrost open rate nawet o 21% po wdrożeniu.
Edukacja wewnętrzna i procedury
Technika to połowa sukcesu. Twoi pracownicy muszą wiedzieć, jak rozpoznać phishing i co zrobić po jego wykryciu. Przeprowadź symulowany atak phishingowy (usługi: KnowBe4, Proofpoint Security Awareness) — wyniki często zaskakują nawet doświadczone zespoły. Stwórz prostą procedurę: kto przyjmuje zgłoszenia, kto decyduje o komunikacji do klientów, kto kontaktuje się z CERT.
Regularne audyty konfiguracji DNS
Rekordy SPF, DKIM i DMARC to nie konfiguracja „raz na zawsze". Zmiana dostawcy poczty, dodanie nowego narzędzia do mailingu czy migracja serwera mogą nieświadomie złamać łańcuch weryfikacji. Ustaw kwartalny przegląd konfiguracji — narzędzie MXToolbox lub dmarcian wyśle alert, gdy coś się zmieni. W MailerPRO możesz zweryfikować poprawność rekordów bezpośrednio z panelu przed uruchomieniem kampanii, co eliminuje ryzyko wysyłki bez podpisu DKIM.
Najczęstsze błędy przy wdrożeniu ochrony domeny
- Zatrzymanie na p=none — monitorowanie bez blokowania to jak alarm bez zamka. Zbieraj dane maksymalnie 4-6 tygodni, potem przejdź dalej.
- Zbyt wiele mechanizmów w SPF — każdy
include:to osobne zapytanie DNS. Przekroczenie limitu 10 powoduje błądPermErrori SPF przestaje działać. - Brak weryfikacji po zmianie dostawcy — jeśli zmieniasz platformę do wysyłki e-maili, natychmiast zaktualizuj SPF i DKIM. Stary klucz DKIM wygenerowany przez poprzedniego dostawcę jest bezużyteczny.
- Ignorowanie raportów DMARC — raporty XML są generowane automatycznie, ale bez analizy nic nie wnoszą. Skonfiguruj narzędzie do ich parsowania od pierwszego dnia.
- Brak polityki dla subdomen — jeśli używasz newsletter.twojafirma.pl, musisz osobno zabezpieczyć tę subdomenę lub użyć parametru
sp=rejectw rekordzie DMARC domeny głównej.
Phishing podszywający się pod Twoją markę to realne zagrożenie, które nie wymaga żadnego włamania do Twoich systemów — wystarczy niezabezpieczona domena. Dobra wiadomość: trzy rekordy DNS (SPF, DKIM, DMARC) w konfiguracji dmarc reject eliminują zdecydowaną większość ataków spoofingowych. Zacznij od audytu obecnej konfiguracji DNS już dziś — narzędzie MXToolbox zajmie Ci 5 minut, a wyniki mogą zaskoczyć. Jeśli potrzebujesz pomocy z konfiguracją DKIM dla Twojej domeny wysyłkowej, sprawdź dokumentację swojego narzędzia do mailingu lub skontaktuj się z jego supportem — to inwestycja, która chroni zarówno Twoich klientów, jak i reputację Twojej firmy.
📨 Wypróbuj Mailer PRO
Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.
Zobacz cennik Jak to działa
