Email je najčastejším vektorom útoku na firmy. DMARC, DKIM a SPF sú vaša prvá línia obrany proti podvrhovaniu a phishingu.
Business Email Compromise (BEC), znamy aj ako „CEO fraud“, je typ útoku, kde útočník posle email, ktorý vyzera akoby prisel od vášho riaditela, účtovníka alebo dodávateľa. Email obsahuje požiadavok na prevod penazi na „nový účet“.
Podľa FBI bolo medzi 2013–2023 nahlasenych $55.3 miliardy strat z BEC útokov celosvetovo. Priemerná strata na jednu firmu je $125,000. Na Slovensku tieto útoky narastajú — CSIRT.SK reportoval 340% narast v roku 2024.
From: jan.novak@vasadomena.sk — bez SPF/DMARC to mailový server prijme.
SPF (Sender Policy Framework) je DNS záznam, ktorý presne definuje, ktoré servery sú oprávnené posielať emaily z vašej domény. Ak email príde z iného servera, prijímateľ vie, že je podvrhnutý.
~all nestaci
Veľa firiem má v SPF zázname ~all (softfail) namiesto -all (hardfail). Softfail hovorí: „Emaily z neautorizovanych serverov sú podozrive, ale prijmi ich.“ To je ako mať zámok na dverách, ale nechať ich otvorené.
Správne: v=spf1 include:_spf.google.com -all
Zle: v=spf1 include:_spf.google.com ~all
DKIM (DomainKeys Identified Mail) pridáva k emailu kryptografický podpis. Server prijmatela overi podpis voce verejnemu klucu, ktorý najde v DNS vašej domény. Ak bol email počas prenosu upravený — zmenený obsah, pridaný link — podpis sa nezhoduje a email je označený.
DKIM chroni pred manipulaciou obsahu emailu pocas prenosu. SPF kontroluje kto email poslal, DKIM kontroluje, ci bol obsah zmeneny.
Váš mailový server pri odoslaní vypočíta hash (odtlacok) z tela emailu a vybranych hlaviciek, sifruje ho privatnym klucom a vloží do hlavičky DKIM-Signature. Prijímateľ stiahne verejný kľúč z DNS (selector._domainkey.vasadomena.sk) a overí zhodu. Cely proces je automaticky — používateľ nic nevidia.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) spája SPF a DKIM do jedného rozhodnutia: čo robiť s emailom, ktorý neprejde overenim.
DMARC má tri úrovne politiky:
p=none — len monitoruj, nič nerob (žiadna ochrana)p=quarantine — presun do spamu (castecna ochrana)p=reject — odmietni doručenie (plná ochrana)
Ak mate p=none, podvrhnutý email sa doručuje normálne — len dostanete report. Vas zamestnanec alebo zakaznik podvrhnuty email obdrzi a môže nan reagovat. 80 % firiem s DMARC používa p=none (Agari, 2024). To je falesny pocit bezpečnosťi.
Odporúčaný postup je postupná eskalácia: zacat s p=none na 2–4 tyzdne (analyza reportov), prejst na p=quarantine s pct=10 (testovanie na 10 % emailov), a po overeni zvysit na p=reject. Tento postup zabráni zablokovaniu legitímnych emailov.
MTA-STS (Mail Transfer Agent Strict Transport Security) je menej známy, ale kritický mechanizmus. SPF, DKIM a DMARC chránená autenticitu emailu. MTA-STS chroni samotny prenos medzi mailservmi.
Bez MTA-STS môže útočník v pozicii man-in-the-middle odpočúvať alebo meniť emaily počas prenosu medzi mailservermi (SMTP downgrade útok). MTA-STS vynúti použitie TLS a overenie certifikátu cieľového servera.
Emailovy podvod nie je problém velkych korporacii — 43 % BEC útokov cieli malé a stredné firmy (Barracuda, 2024). Útočníci vedia, že menšie firmy majú slabšiu ochranu emailov. Firmy bez DMARC p=reject sú 5x častejším cieľom phishingu.
Okrem priamych finančných strat hrozia aj reputacne skody: ak útočník posiela phishing z vašej domény vasim zakaznikom, stracate ich doveru. Google a Microsoft zvyšujú doručiteľnosť emailov z domén s plným DMARC — bez neho môžu vaše legitimne emaily koncit v spame.
Kdokolvek na svete môže poslat email, ktorý vyzera akoby prisel z vašej domény. Váš zamestnanec, zákazník alebo partner dostane email od „vás" s požiadavkou na platbu alebo zdieľanie prihlasovacích údajov.
Emaily nemajú digitalny podpis. Útočník môže zmeniť obsah emailu pocas prenosu — napríklad nahradit cislo bankoveho uctu v fakture. Prijimatel nema sposob overiť integritu správy.
Aj ked mate SPF a DKIM, bez DMARC p=reject neexistuje instrukcina pre prijmatelov server čo robiť s podvrhnutymi emailami. Dorucuju sa normalne. Navyse: od februara 2024 Google a Yahoo vyzaduju DMARC pre odosielatelov nad 5,000 emailov denne.
| Framework | Článok / Kontrola | Poziadavok |
|---|---|---|
| NIS2 | Článok 21 ods. 2 písm. e) | Bezpečnosť komunikacnych kanalov vratane emailovej komunikácie |
| SOC 2 | CC6.7 | Ochrana hranic systému — overovanie zdroja komunikácie |
| GDPR | Článok 32 ods. 1 | Primerena bezpečnosť vrátane integrity komunikácie |
| ISO 27001 | A.13.2.1 | Politiky a postupy prenosu informácií |
| NIST SP 800-177 | Kapitola 4 | Doporucenia pre SPF, DKIM a DMARC implementaciu |
Náš audit skontroluje SPF, DKIM, DMARC a MTA-STS za 30 sekúnd. Zistite, ci môže niekto posielať emaily za vašu doménu.
Spustiť audit