Ochrana emailov

Email je najčastejším vektorom útoku na firmy. DMARC, DKIM a SPF sú vaša prvá línia obrany proti podvrhovaniu a phishingu.

CEO Fraud — najdrahší emailový útok

Business Email Compromise (BEC), znamy aj ako „CEO fraud“, je typ útoku, kde útočník posle email, ktorý vyzera akoby prisel od vášho riaditela, účtovníka alebo dodávateľa. Email obsahuje požiadavok na prevod penazi na „nový účet“.

Podľa FBI bolo medzi 2013–2023 nahlasenych $55.3 miliardy strat z BEC útokov celosvetovo. Priemerná strata na jednu firmu je $125,000. Na Slovensku tieto útoky narastajú — CSIRT.SK reportoval 340% narast v roku 2024.

Ako BEC útok funguje krok za krokom

1 Prieskum: Útočník najde meno vášho CEO, CFO a účtovníkov na LinkedIn, firemnom webe alebo v obchodnom registri.
2 Podvrhnutie: Útočník posle email s hlavickou From: jan.novak@vasadomena.sk — bez SPF/DMARC to mailový server prijme.
3 Naliehavost: „Potrebujem okamžitý prevod 47,000 EUR na tento účet. Je to doverne, nerieste to s nikym.“
4 Uctovnik vidi znamene meno, znamy emailovy format, žiadne varovania — a peniaze pošle.
5 Vysledok: Peniaze sú na zahraničnom účte, nezvrátiteľne. Firma zistí podvod o hodiny alebo dni neskôr.

SPF — kto môže posielať emaily za vašu doménu

SPF (Sender Policy Framework) je DNS záznam, ktorý presne definuje, ktoré servery sú oprávnené posielať emaily z vašej domény. Ak email príde z iného servera, prijímateľ vie, že je podvrhnutý.

Prečo ~all nestaci

Kritická chýba: softfail (~all)

Veľa firiem má v SPF zázname ~all (softfail) namiesto -all (hardfail). Softfail hovorí: „Emaily z neautorizovanych serverov sú podozrive, ale prijmi ich.“ To je ako mať zámok na dverách, ale nechať ich otvorené.

Správne: v=spf1 include:_spf.google.com -all
Zle: v=spf1 include:_spf.google.com ~all

DKIM — digitálny podpis emailu

DKIM (DomainKeys Identified Mail) pridáva k emailu kryptografický podpis. Server prijmatela overi podpis voce verejnemu klucu, ktorý najde v DNS vašej domény. Ak bol email počas prenosu upravený — zmenený obsah, pridaný link — podpis sa nezhoduje a email je označený.

DKIM chroni pred manipulaciou obsahu emailu pocas prenosu. SPF kontroluje kto email poslal, DKIM kontroluje, ci bol obsah zmeneny.

Ako to funguje

Váš mailový server pri odoslaní vypočíta hash (odtlacok) z tela emailu a vybranych hlaviciek, sifruje ho privatnym klucom a vloží do hlavičky DKIM-Signature. Prijímateľ stiahne verejný kľúč z DNS (selector._domainkey.vasadomena.sk) a overí zhodu. Cely proces je automaticky — používateľ nic nevidia.

DMARC — politika pre podvrhnutý email

DMARC (Domain-based Message Authentication, Reporting, and Conformance) spája SPF a DKIM do jedného rozhodnutia: čo robiť s emailom, ktorý neprejde overenim.

DMARC má tri úrovne politiky:

DMARC p=none je ako alarm bez sirény

Ak mate p=none, podvrhnutý email sa doručuje normálne — len dostanete report. Vas zamestnanec alebo zakaznik podvrhnuty email obdrzi a môže nan reagovat. 80 % firiem s DMARC používa p=none (Agari, 2024). To je falesny pocit bezpečnosťi.

Správna implementácia DMARC

Odporúčaný postup je postupná eskalácia: zacat s p=none na 2–4 tyzdne (analyza reportov), prejst na p=quarantine s pct=10 (testovanie na 10 % emailov), a po overeni zvysit na p=reject. Tento postup zabráni zablokovaniu legitímnych emailov.

MTA-STS — šifrovanie medzi servermi

MTA-STS (Mail Transfer Agent Strict Transport Security) je menej známy, ale kritický mechanizmus. SPF, DKIM a DMARC chránená autenticitu emailu. MTA-STS chroni samotny prenos medzi mailservmi.

Bez MTA-STS môže útočník v pozicii man-in-the-middle odpočúvať alebo meniť emaily počas prenosu medzi mailservermi (SMTP downgrade útok). MTA-STS vynúti použitie TLS a overenie certifikátu cieľového servera.

Prečo je to dôležité — finančný dopad

$55.3B
celosvetové straty z BEC útokov (FBI, 2013–2023)
91 %
cyberutokov zacina emailom (Proofpoint, 2024)
$125K
priemerná strata na jeden BEC útok

Emailovy podvod nie je problém velkych korporacii — 43 % BEC útokov cieli malé a stredné firmy (Barracuda, 2024). Útočníci vedia, že menšie firmy majú slabšiu ochranu emailov. Firmy bez DMARC p=reject sú 5x častejším cieľom phishingu.

Okrem priamych finančných strat hrozia aj reputacne skody: ak útočník posiela phishing z vašej domény vasim zakaznikom, stracate ich doveru. Google a Microsoft zvyšujú doručiteľnosť emailov z domén s plným DMARC — bez neho môžu vaše legitimne emaily koncit v spame.

Čo sa stane ak to nemáte

Bez SPF

Kdokolvek na svete môže poslat email, ktorý vyzera akoby prisel z vašej domény. Váš zamestnanec, zákazník alebo partner dostane email od „vás" s požiadavkou na platbu alebo zdieľanie prihlasovacích údajov.

Bez DKIM

Emaily nemajú digitalny podpis. Útočník môže zmeniť obsah emailu pocas prenosu — napríklad nahradit cislo bankoveho uctu v fakture. Prijimatel nema sposob overiť integritu správy.

Bez DMARC (alebo s p=none)

Aj ked mate SPF a DKIM, bez DMARC p=reject neexistuje instrukcina pre prijmatelov server čo robiť s podvrhnutymi emailami. Dorucuju sa normalne. Navyse: od februara 2024 Google a Yahoo vyzaduju DMARC pre odosielatelov nad 5,000 emailov denne.

Regulatórne požiadavky

FrameworkČlánok / KontrolaPoziadavok
NIS2 Článok 21 ods. 2 písm. e) Bezpečnosť komunikacnych kanalov vratane emailovej komunikácie
SOC 2 CC6.7 Ochrana hranic systému — overovanie zdroja komunikácie
GDPR Článok 32 ods. 1 Primerena bezpečnosť vrátane integrity komunikácie
ISO 27001 A.13.2.1 Politiky a postupy prenosu informácií
NIST SP 800-177 Kapitola 4 Doporucenia pre SPF, DKIM a DMARC implementaciu

Overte si ochranu vašich emailov

Náš audit skontroluje SPF, DKIM, DMARC a MTA-STS za 30 sekúnd. Zistite, ci môže niekto posielať emaily za vašu doménu.

Spustiť audit