Ktoś właśnie wysyła e-maile z Twojego adresu — a Ty nic o tym nie wiesz. Spoofing e-mail to technika, która pozwala atakującemu podszyć się pod dowolną domenę bez przejmowania serwera pocztowego. Skutki? Utrata reputacji, zablokowane kampanie, a w skrajnych przypadkach odpowiedzialność prawna za dane odbiorców. W tym poradniku znajdziesz wszystko: definicję, mechanizm działania, sposób wykrywania i konkretne kroki, które zablokują spoofing Twojej domeny raz na zawsze.
Czym jest spoofing e-mail?
Spoofing e-mail (ang. email spoofing) polega na sfałszowaniu nagłówka wiadomości — przede wszystkim pola From: — tak, żeby odbiorca widział nadawcę, którym atakujący nie jest. Protokół SMTP, stworzony w 1982 roku, nie przewidywał mechanizmów uwierzytelniania: każdy serwer może wpisać w pole MAIL FROM dowolny adres. To luka projektowa, z której cyberprzestępcy korzystają do dziś.
Spoofing różni się od przejęcia konta (ang. account takeover). Atakujący nie loguje się do Twojej skrzynki — on jedynie udaje, że wiadomość pochodzi z Twojej domeny. Dla przeciętnego odbiorcy różnica jest niewidoczna.
Rodzaje spoofingu e-mail
- Display name spoofing — zmiana wyświetlanej nazwy nadawcy (np. „Jan Kowalski <atakujacy@zlosdomena.com>"). Adres e-mail jest inny, ale nazwa wygląda znajomo.
- Exact domain spoofing — fałszowanie dokładnej domeny (np.
faktura@twojafirma.pl). Najtrudniejszy do zablokowania bez SPF/DKIM/DMARC. - Lookalike domain spoofing — rejestracja domeny łudząco podobnej (np.
twojafirma-pl.comzamiasttwojafirma.pl). Technicznie legalne wysyłanie, wizualnie mylące. - Subdomain spoofing — użycie subdomeny (np.
mail.twojafirma.pl.atakujacy.net), która w skróconej wersji wygląda jak Twoja domena.
Jak działają fałszywe nagłówki e-mail?
Każda wiadomość e-mail składa się z kopert (envelope) i nagłówków (headers). Koperta zawiera prawdziwy adres nadawcy używany podczas transmisji SMTP (MAIL FROM), natomiast nagłówek From: to tylko tekst wyświetlany użytkownikowi. Serwer pocztowy odbiorcy domyślnie nie weryfikuje, czy oba adresy są zgodne.
Wyobraź sobie list w kopercie: na kopercie widnieje prawdziwy nadawca (używany przez pocztę do dostarczenia), ale na papierze wewnątrz możesz napisać cokolwiek. Klient pocztowy pokazuje tylko to, co jest na papierze.
Jak wygląda nagłówek sfałszowanej wiadomości?
Received: from mail.atakujacy.ru (mail.atakujacy.ru [185.220.xx.xx])
From: Dział Finansowy <faktury@twojafirma.pl>
Reply-To: collect@atakujacy.ru
Subject: Pilna faktura do opłacenia
Pole Received: zdradza prawdziwy serwer wysyłający. Pole From: pokazuje sfałszowany adres. Pole Reply-To: kieruje odpowiedź do atakującego. Większość użytkowników patrzy tylko na From: — i właśnie na tym polega skuteczność ataku.
Jak wykryć spoofing e-mail?
Wykrycie spoofingu wymaga analizy pełnych nagłówków wiadomości — nie tylko tych wyświetlanych domyślnie przez klienta pocztowego.
Krok 1 — Sprawdź pełne nagłówki
W Gmailu: otwórz wiadomość → menu (trzy kropki) → Pokaż oryginał. W Outlooku: otwórz wiadomość → Plik → Właściwości → pole Nagłówki internetowe. Szukaj rozbieżności między From: a Return-Path: lub Received:.
Krok 2 — Zweryfikuj wyniki uwierzytelniania
Nowoczesne serwery dodają do nagłówków wyniki weryfikacji:
Authentication-Results: spf=fail— serwer wysyłający nie jest autoryzowany w rekordzie SPF domeny.dkim=nonelubdkim=fail— brak podpisu DKIM lub podpis nieprawidłowy.dmarc=fail— wiadomość nie przeszła polityki DMARC.
Jeśli widzisz którykolwiek z powyższych statusów przy wiadomości rzekomo od zaufanego nadawcy — masz do czynienia ze spoofingiem.
Krok 3 — Użyj narzędzi diagnostycznych
- MXToolbox Header Analyzer — wklej nagłówki i otrzymasz wizualną analizę każdego pola.
- Google Admin Toolbox — Messageheader — dedykowane narzędzie Google do parsowania nagłówków.
- mail-tester.com — wyślij testową wiadomość i sprawdź, jak Twoja domena jest oceniana pod kątem uwierzytelniania.
Trzy filary ochrony: SPF, DKIM i DMARC
Skuteczna ochrona anty-spoofingowa opiera się na trzech standardach DNS, które razem tworzą kompletną tarczę. Każdy z nich pełni inną rolę — wdrożenie tylko jednego daje częściową ochronę.
| Standard | Co weryfikuje? | Gdzie jest konfigurowany? | Czy blokuje spoofing samodzielnie? |
|---|---|---|---|
| SPF | Czy serwer wysyłający jest uprawniony dla domeny | Rekord TXT w DNS | Częściowo (tylko envelope-from) |
| DKIM | Czy treść wiadomości nie została zmieniona | Rekord TXT w DNS + konfiguracja serwera | Nie (bez DMARC nie wymusza odrzucenia) |
| DMARC | Czy From: jest zgodny z SPF/DKIM i co zrobić przy niezgodności | Rekord TXT w DNS | Tak — przy polityce reject |
Konfiguracja SPF krok po kroku
SPF (Sender Policy Framework) to rekord TXT w DNS, który wymienia serwery uprawnione do wysyłania e-maili w imieniu Twojej domeny. Przykładowy rekord dla firmy korzystającej z Google Workspace i zewnętrznego SMTP:
v=spf1 include:_spf.google.com include:twojsmtp.pl ip4:203.0.113.10 ~all
Dyrektywa ~all (softfail) oznacza, że wiadomości z nieuprawnionych serwerów są oznaczane, ale nie odrzucane. Dla pełnej ochrony użyj -all (hardfail) — jednak dopiero po upewnieniu się, że wszystkie Twoje serwery wysyłające są wymienione w rekordzie. Uwaga: SPF ma limit 10 zapytań DNS — przekroczenie go powoduje błąd permerror.
Konfiguracja DKIM krok po kroku
DKIM (DomainKeys Identified Mail) dodaje do każdej wiadomości kryptograficzny podpis cyfrowy. Serwer odbiorcy weryfikuje podpis przy użyciu klucza publicznego opublikowanego w DNS. Kroki:
- Wygeneruj parę kluczy RSA (minimum 2048 bitów) w panelu swojego serwera pocztowego lub narzędziem
opendkim-genkey. - Opublikuj klucz publiczny jako rekord TXT:
selector._domainkey.twojadomena.pl. - Skonfiguruj serwer SMTP do podpisywania wychodzących wiadomości kluczem prywatnym.
- Przetestuj konfigurację, wysyłając wiadomość na adres testowy i sprawdzając nagłówek
DKIM-Signature.
Wybór nazwy selektora (np. mail2024) jest dowolny — pozwala na rotację kluczy bez przerwy w działaniu poczty.
Konfiguracja DMARC — najważniejszy element
DMARC (Domain-based Message Authentication, Reporting and Conformance) łączy SPF i DKIM oraz definiuje politykę dla wiadomości, które nie przeszły weryfikacji. To właśnie DMARC jest tym elementem, który faktycznie blokuje spoofing Twojej domeny przez innych.
Przykładowy rekord DMARC dla domeny twojafirma.pl:
v=DMARC1; p=reject; rua=mailto:dmarc-raporty@twojafirma.pl; ruf=mailto:dmarc-forensics@twojafirma.pl; pct=100; adkim=s; aspf=s
- p=reject — serwery odbiorców mają odrzucać wiadomości niespełniające polityki. Alternatywy:
none(tylko monitoring) iquarantine(do spamu). - rua — adres do zbiorczych raportów XML (wysyłanych codziennie przez serwery odbiorców).
- ruf — adres do raportów forensycznych (szczegóły konkretnych incydentów).
- pct=100 — polityka obejmuje 100% wiadomości (można zacząć od niższego % podczas wdrożenia).
- adkim=s / aspf=s — tryb ścisły (strict): domena w DKIM/SPF musi dokładnie zgadzać się z domeną w
From:.
Rekomendowana ścieżka wdrożenia: zacznij od p=none i analizuj raporty przez 2-4 tygodnie, potem przejdź na p=quarantine, a docelowo na p=reject.
Spoofing a DMARC — dlaczego samo SPF nie wystarczy?
Częsty błąd to przekonanie, że poprawny rekord SPF chroni przed podszywaniem się pod domenę. SPF weryfikuje jedynie envelope-from (adres koperty SMTP), a nie pole From: widoczne dla użytkownika. Atakujący może ustawić prawidłowy envelope-from (np. ze swojej domeny, która ma SPF) i jednocześnie sfałszować From: na Twoją domenę — SPF to przepuści.
Dopiero DMARC wymaga wyrównania (alignment) między domeną w From: a domeną zweryfikowaną przez SPF lub DKIM. Bez DMARC spoofing dokładnej domeny jest nadal możliwy nawet przy poprawnym SPF i DKIM.
Dodatkowe warstwy ochrony bezpieczeństwa poczty firmowej
MTA-STS i TLS-RPT
MTA-STS (Mail Transfer Agent Strict Transport Security) wymusza szyfrowanie TLS podczas transmisji między serwerami. Publikujesz plik polityki pod adresem https://mta-sts.twojadomena.pl/.well-known/mta-sts.txt i rekord DNS _mta-sts.twojadomena.pl. TLS-RPT dostarcza raporty o problemach z szyfrowaniem — analogicznie do raportów DMARC.
BIMI — wizualne potwierdzenie autentyczności
BIMI (Brand Indicators for Message Identification) wyświetla logo Twojej firmy obok wiadomości w skrzynce odbiorcy (obsługiwane m.in. przez Gmail, Yahoo, Apple Mail). Wymaga wdrożonego DMARC z polityką quarantine lub reject oraz — dla pełnej weryfikacji — certyfikatu VMC (Verified Mark Certificate). To nie tylko bezpieczeństwo, ale też element budowania zaufania do marki.
Filtrowanie na poziomie bramki e-mail
Korporacyjne bramki pocztowe (SEG — Secure Email Gateway), takie jak Proofpoint, Mimecast czy Microsoft Defender for Office 365, oferują dodatkowe warstwy analizy: reputację IP, analizę behawioralną linków i załączników oraz wykrywanie anomalii w nagłówkach. Dla MŚP wystarczającą ochroną jest jednak poprawne wdrożenie SPF + DKIM + DMARC z p=reject.
Spoofing a RODO i odpowiedzialność prawna
Jeśli atakujący używa Twojej domeny do rozsyłania phishingu, możesz ponieść pośrednie konsekwencje wizerunkowe. Jednak gdy Twoja organizacja jest ofiarą spoofingu i dochodzi do wycieku danych klientów (np. ktoś podszywa się pod Ciebie i wyłudza dane), może to rodzić obowiązek zgłoszenia naruszenia do UODO na podstawie art. 33 RODO (zgłoszenie naruszenia ochrony danych osobowych do organu nadzorczego w ciągu 72 godzin) oraz art. 34 RODO (zawiadomienie osób, których dane dotyczą, jeśli naruszenie może powodować wysokie ryzyko). Brak wdrożenia podstawowych zabezpieczeń technicznych może być uznany za naruszenie zasady art. 25 RODO (privacy by design i privacy by default).
Praktyczna checklista anty-spoofingowa
- Opublikuj rekord SPF z
-alllub~alldla każdej domeny wysyłającej. - Skonfiguruj DKIM (klucz min. 2048 bitów) na wszystkich serwerach SMTP.
- Wdróż DMARC — zacznij od
p=none, docelowop=reject. - Monitoruj raporty DMARC (narzędzia: Postmark DMARC, dmarcian, EasyDMARC).
- Zabezpiecz domeny, z których nie wysyłasz maili — ustaw dla nich
v=spf1 -alliv=DMARC1; p=reject. - Wdróż MTA-STS dla szyfrowania transmisji.
- Rozważ BIMI jako dodatkową warstwę zaufania wizualnego.
- Regularnie audytuj rekordy DNS po każdej zmianie dostawcy poczty lub SMTP.
Jeśli korzystasz z własnych skrzynek SMTP do wysyłki kampanii — jak w przypadku MailerPRO — poprawna konfiguracja SPF, DKIM i DMARC jest nie tylko kwestią bezpieczeństwa, ale też warunkiem dostarczalności wiadomości. Serwery odbiorców coraz częściej odrzucają lub spamują wiadomości z domen bez polityki DMARC. Wdrożenie opisanych mechanizmów zajmuje zwykle kilka godzin, a chroni Twoją domenę, reputację i klientów na lata — zacznij od analizy raportów DMARC już dziś.
📨 Wypróbuj Mailer PRO
Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.
Zobacz cennik Jak to działa
