Cyberprzestępcy podszywają się pod instytucje lub konkretne osoby, wysyłając fałszywe wiadomości z „podrobionych” adresów e-mail. Jak się przed tym bronić? Bezpieczna poczta, proste narzędzie stworzone w NASK, weryfikuje bezpieczeństwo usług pocztowych w danej domenie. Skorzystało z niego już 25 tysięcy użytkowników.
Dzięki Bezpiecznej poczcie administratorzy mogą sprawdzić, czy domeny w ich organizacji mają poprawnie skonfigurowane mechanizmy zapobiegające spoofingowi poczty elektronicznej, czyli podszywania się przestępców pod adresy e-mail jakiejś organizacji. Tego rodzaju ataki są w Polsce dość popularne – zdarzały się przypadki spoofingu maili z domen partii politycznych czy instytucji rządowych. Odpowiednia konfiguracja domeny może to uniemożliwić – wyjaśnia Sebastian Kondraszuk, szef zespołu CERT Polska, działającego w NASK.
Jak to działa w praktyce? Organizacja (firma, instytucja publiczna) o nazwie „Bardzoprzykladowanazwa” korzysta z poczty elektronicznej w domenie bardzoprzykladowanazwa.pl. Jeśli w tej organizacji nie stosuje się mechanizmów zabezpieczających, cyberprzestępcy mogą wysłać wiadomość e-mail, która będzie wyglądała na pochodzącą z jej domeny, np. od Jan.Randomowski@bardzoprzykladowanazwa.pl.
Może to zmylić pracowników lub klientów tej organizacji i sprawić, że przekażą przestępcom dane, o które proszą, bądź wykonają pilny przelew.
Jeśli zaś organizacja stosuje mechanizmy SPF, DMARC i DKIM – co weryfikuje właśnie Bezpieczna poczta – ten sposób podszywania się pod osoby należące do organizacji jest niemożliwy.
Jak korzystać z Bezpiecznej poczty?
To narzędzie proste w użyciu. Poprzez stronę bezpiecznapoczta.cert.pl można sprawdzić konfigurację poczty na dwa sposoby:
1. Sprawdzenie domeny
Po wybraniu tej opcji należy wpisać adres domeny w odpowiednie pole, zatwierdzić i czekać na wynik analizy. Pojawia się on już po kilku sekundach.
W ten sposób sprawdzane są mechanizmy SPF i DMARC. Aby skontrolować działanie mechanizmu DKIM, należy skorzystać z drugiej metody, rekomendowanej przez CERT Polska.
2. Wysłanie testowego e-maila
Druga metoda wymaga wysłania wiadomości testowej na specjalnie wygenerowany, jednorazowy adres e-mail. Już po kilku sekundach od kliknięcia „Wyślij” strona odświeży się, pokazując informacje o konfiguracji wszystkich trzech mechanizmów weryfikacji nadawcy poczty: SPF, DMARC i DKIM.
Wysyłanie maila wymaga od użytkownika więcej zaangażowania niż proste wpisanie adresu domeny. Dlatego udostępniamy też uproszczony sposób weryfikacji, którego jedyną wadą jest to, że sprawdzane są tylko dwa z trzech mechanizmów zabezpieczających – wyjaśniają eksperci CERT Polska.
Warto zaznaczyć, że weryfikacja systemu za pomocą Bezpiecznej poczty nie wymaga od zwykłego użytkownika poczty żadnych dodatkowych działań. Jeśli administrator poprawnie skonfiguruje instrumenty SPF, DMARC i DKIM, wiadomości są weryfikowane automatycznie.
Bezpieczna poczta – o projekcie CERT Polska
Bezpieczna poczta (bezpiecznapoczta.cert.pl) powstała niecały rok temu, by chronić użytkowników poczty elektronicznej i ułatwić instytucjom sprawdzenie poprawności konfiguracji mechanizmów zapewniających jej bezpieczeństwo. Z narzędzia korzystają instytucje publiczne i firmy prywatne. Od sierpnia 2023 r. przeskanowano nim już ponad 25 tysięcy domen.
Co ciekawe, działający w NASK zespół CERT Polska udostępnił kod źródłowy tego narzędzia na platformie Github, dzięki czemu organizacje, które zajmują się cyberbezpieczeństwem w innych krajach, mogą stworzyć podobne rozwiązania. Na Litwie już uruchomiono – z wykorzystaniem polskiego kodu – tamtejszą wersję Bezpiecznej poczty, a zainteresowanych nią jest kilka kolejnych państw europejskich.
Obowiązki dostawców poczty
Ustawa z 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej nakłada na dostawców poczty elektronicznej obowiązek stosowania mechanizmów SPF, DMARC i DKIM, umożliwiających weryfikację nadawcy wiadomości e-mail. Zapisy te dotyczą dostawców poczty, którzy:
- świadczą usługi dla co najmniej 500 000 użytkowników poczty,
- świadczą usługi dla podmiotu publicznego.
Narzędzie udostępnione przez NASK pozwala sprawdzić, czy stosują się oni do zapisów ustawy. Każdy może także sprawdzić za pomocą Bezpiecznej poczty, czy system pocztowy podmiotu, którego prawo wprost nie obliguje do stosowania mechanizmów zabezpieczających, robi to w trosce o cyberbezpieczeństwo swoje i użytkowników poczty.
