Skuteczna ochrona Twojego serwera e-mail: SPF, DKIM, DMARC

  • 8 grudnia 2022
  • 359 Views

“Cześć, tu Elon Musk. Mam już dość Twittera i postanowiłem, że oddam Ci wszystkie akcje, potrzebuję tylko, żebyś przesłał mi 8 USD na koszty manipulacyjne, bo moją kartę zatrzasnąłem wczoraj w zamkniętym biurze. Mój numer konta to …”

Na pewno niejeden taki mail zagościł już na Twojej skrzynce. Piszą dyktatorzy, generałowie, wdowy po generałach, sieroty po generałach, osobliwie nigeryjskich, stąd przyjęła się nazwa – Nigerian scam, nigeryjskie oszustwo. Kiedyś słali listy albo faksy (pamiętam, byłem świadkiem, kiedy taki fax trafił do biura mojego wuja – ten jednak jakoś nie uwierzył w okazję…), teraz ślą maile. Ty, świadomy użytkowniku lub użytkowniczko, z pewnością odrzucisz takiego maila w mgnieniu oka – jeśli wcześniej nie zrobi tego Twój filtr antyspamowy; ale już czyjś wujek, przypadkiem nieco mniej ogarnięty od mojego, może się złapać… Nie chcesz, żeby ludzie wokół Ciebie otrzymywali takie maile, ale z pewnością jeszcze bardziej nie chcesz, żeby ktoś podszył się – nie pod nigeryjskiego watażkę – ale pod Ciebie. Bo, jeśli Twój serwer jest słabo zabezpieczony – jest to możliwe.

Co zrobić, żeby uniknąć niezręcznych sytuacji i tłumaczenia się z dziwnej korespondencji przed nieznajomymi (albo przed policją)? A także, żeby skutecznie filtrować nadchodzący spam? Warto dobrze zabezpieczyć swój serwer i domenę, konfigurując trzy usługi: SPF, DKIM i DMARC. Co oznaczają te skróty? Po kolei:

  • SPF – Sender Policy Framework – najbardziej podstawowe zabezpieczenie, polegające na konfiguracji odpowiedniego rekordu określającego dozwolone IP serwerów wysyłających maile z danej domeny. Jeśli ktoś zechce podszyć się pod Twoją domenę i wysłać maila ze swojego serwera (o nieautoryzowanym IP), to serwer odbiorcy dostrzeże problem i zablokuje wiadomość. To zabezpieczenie zazwyczaj działa dobrze, jednak spamerzy i scamerzy potrafią stosować metody typu IP-spoofing – fałszują IP w wysyłanych pakietach.
  • DKIM – DomainKeys Identified Mail – zabezpieczenie mocniejsze od SPF, wykorzystujące podpisy cyfrowe. Serwer nadawcy umieszcza  w nagłówku wysyłanej wiadomości podpis stworzony za pomocą klucza prywatnego, a serwer odbiorcy łączy go z kluczem publicznym domeny, z której wysyłana jest wiadomość. Jeśli podpis jest zgodny z kluczem publicznym, wiadomość jest akceptowana (a w przeciwnym wypadku, jak można się domyślić, przeciwnie).
  • DMARC – Domain-based Message Authentication, Reporting and Conformance – to mechanizm, który rozszerza dwa poprzednie, pozwalając właścicielowi domeny na publikację tzw. polityki, określającej, jak dokładnie należy stosować i rozumieć zabezpieczenia, oraz co zrobić z mailami, które zostały odrzucone.

Oczywiście, możesz żyć bez tych zabezpieczeń, podobnie, jak nie musisz nosić czapki na mrozie ani pić wody. Jeśli tylko akceptujesz, że Twoi pracownicy będą zalewani bajecznymi ofertami od “Elona Muska”, a Twoi klienci będą dostawać te same oferty, ale podpisane przez Ciebie… To wtedy faktycznie nie potrzebujesz administracji, możesz zwolnić wszystkich fachowców – i nie wzywać NetSupportu. Który, jeśli jednak chcesz czuć się bezpiecznie, chętnie pomoże.