Tożsamość nadawcy wiadomości e-mail: czym jest i dlaczego ma znaczenie

Wartość wiadomości e-mail zależy od tożsamości osoby, która ją wysłała, a obecnie Twoja tożsamość może być łatwiejsza do sfałszowania, niż myślisz. Tożsamość nadawcy wiadomości e-mail określa, od kogo pochodzi wiadomość i w jaki sposób tożsamość ta jest weryfikowana technicznie. Opiera się ona na nagłówkach SMTP, rekordach DNS i protokołach uwierzytelniania, takich jak SPF, DKIM i DMARC. Bez odpowiedniej weryfikacji osoby atakujące mogą podszywać się pod domeny, podszywać się pod kadrę kierowniczą i przeprowadzać kampanie phishingowe, które szkodzą reputacji marki i dostarczalności wiadomości e-mail. Egzekwowanie DMARC (p=reject), zharmonizowane SPF i DKIM oraz ciągłe monitorowanie chronią Twoją domenę przed bezpośrednim podszywaniem się i atakami typu Business Email Compromise.

Czym jest tożsamość nadawcy wiadomości e-mail?

Tożsamość nadawcy wiadomości e-mail to adres e-mail i domena widoczne w polu „Od”, które informują, od kogo pochodzi wiadomość. Jednak ze względu na sposób, w jaki napisano protokół SMTP (Simple Mail Transfer Protocol), istnieje ogromna rozbieżność między deklarowaną tożsamością a zweryfikowaną tożsamością.

• Deklarowana tożsamość: to, za kogo podaje się nadawca. Atakujący może z łatwością wpisać adres „From: [email protected]” w metadanych wiadomości e-mail. Bez uwierzytelnienia serwer pocztowy odbiorcy nie ma powodu, aby w to wątpić.
• Zweryfikowana tożsamość: Jest to tożsamość poparta technicznym „dowodem własności”. Wykorzystuje ona rekordy DNS i klucze kryptograficzne w celu potwierdzenia, że nadawca ma prawo do korzystania z danej nazwy domeny.

Tożsamość jest reprezentowana w trzech warstwach:

• Nazwa wyświetlana, czyli nazwa przyjazna dla użytkownika.
• Nagłówek „Od”, czyli widoczny adres e-mail.
• Koperta Od, która jest technicznym adresem routingu.

Gdzie pojawia się tożsamość nadawcy wiadomości e-mail

Dla zwykłego użytkownika wiadomość e-mail wygląda jak zwykły list. Dla serwera pocztowego jest to złożony zestaw nagłówków.

Adres nadawcy (nagłówek „From”)

Zdefiniowane przez RFC 5322, jest to adres, który pojawia się w polu „Od” w skrzynce odbiorczej. Jest to najważniejszy sygnał identyfikacyjny, ponieważ determinuje zachowanie użytkownika. Jeśli użytkownik widzi adres [email protected], statystycznie jest bardziej prawdopodobne, że kliknie link niż w przypadku adresu [email protected].

Nazwa wyświetlana a rzeczywisty adres

To właśnie tutaj zaczyna się większość ataków phishingowych. Atakujący może ustawić nazwę wyświetlaną jako „Microsoft Security”, podczas gdy rzeczywisty adres to [email protected]. Ponieważ wiele urządzeń mobilnych ukrywa rzeczywisty adres, aby zaoszczędzić miejsce na ekranie, użytkownicy widzą tylko „przyjazną” nazwę, co prowadzi do wysokiego wskaźnika skuteczności podszywania się.

Tożsamości na poziomie nagłówka: RFC 5322 a RFC 5321

• RFC 5322. Od: „Nagłówek listu”. To jest to, co widzi człowiek.
• Return-Path (Envelope-From / RFC 5321): „Adres zwrotny” na kopercie. To właśnie tam serwer odbiorczy wysyła wiadomości „bounce”, jeśli wiadomość e-mail nie może zostać dostarczona. Te dwa adresy nie muszą być identyczne, chyba że obowiązują określone zasady bezpieczeństwa.

Jak weryfikowana jest tożsamość nadawcy wiadomości e-mail

Ponieważ „przypisanie” tożsamości jest tak łatwe do sfałszowania, branża opracowała kompleksowy zestaw protokołów uwierzytelniających w celu jej weryfikacji.

1. SPF

SPF to rekord DNS, który zawiera listę wszystkich adresów IP i usług uprawnionych do wysyłania wiadomości e-mail dla Twojej domeny.

• Jak to działa: Kiedy przychodzi wiadomość e-mail, serwer odbiorczy sprawdza DNS domeny Return-Path, żeby zobaczyć, czy adres IP nadawcy jest na „liście gości”.
• Wada: SPF sprawdza tylko „kopertę”, a nie „nagłówek” (adres nadawcy widoczny dla użytkownika). Atakujący może użyć własnej domeny do sprawdzenia SPF, ale umieścić Twoją domenę w widocznym polu nadawcy.

2. DKIM

DKIM dodaje podpis cyfrowy do nagłówka wiadomości e-mail przy użyciu kryptografii klucza publicznego.

• Korzyść: gwarantuje, że wiadomość nie została zmieniona podczas przesyłania i potwierdza, że właściciel domeny autoryzował wiadomość. W przeciwieństwie do SPF, podpis DKIM pozostaje przy wiadomości e-mail, nawet jeśli jest ona przekazywana dalej przez listę mailingową.

3. DMARC

DMARC jest najważniejszą warstwą. Rozwiązuje problem „dostosowania tożsamości”.

• Logika: DMARC zadaje pytanie: „Czy domena widoczna w polu „Od:” adresuje się z domeną zweryfikowaną przez SPF lub DKIM?”.
• Egzekwowanie zasad: umożliwia właścicielom domen poinformowanie serwerów odbiorczych, jak mają postępować w przypadku niezgodności tożsamości:
• Żadne, co oznacza, że nie należy podejmować żadnych działań.
• Kwarantanna, co oznacza wysłanie do spamu
• Odrzuć, co jest najsurowszą polityką i oznacza całkowite zablokowanie wiadomości e-mail.

4. ARC (autentyczny łańcuch odbiorczy)

Chociaż DMARC jest potężnym narzędziem, ma jedną „słabość”: często zawodzi w przypadku przekazywania wiadomości e-mail (np. poprzez listę mailingową lub automatyczne przekierowanie). Przekazywanie często narusza SPF lub modyfikuje wiadomość e-mail na tyle, że podpis DKIM staje się nieważny.

• Jak to działa: ARC działa jak „cyfrowy przekaźnik”. Kiedy zaufany pośrednik (np. lista mailingowa) otrzymuje wiadomość e-mail, weryfikuje oryginalny certyfikat SPF/DKIM/DMARC, a następnie dołącza własny podpis (łańcuch ARC), aby potwierdzić, że wiadomość była autentyczna w momencie jej pierwotnego dostarczenia.
• Korzyść: pozwala to ostatecznemu odbiorcy „przejrzeć” łańcuch przekazywania wiadomości i zaufać tożsamości pierwotnego nadawcy, nawet jeśli technicznie rzecz biorąc DMARC zawodzi.

Tożsamość nadawcy wiadomości e-mail a uwierzytelnianie wiadomości e-mail

Łatwo jest pomylić te dwa terminy, ale pełnią one różne role w systemie zabezpieczeń.

• Tożsamość to „kto”: jest to cyfrowa osobowość Twojej marki. To zaufanie, które zbudowałeś wśród klientów, dzięki czemu wiedzą oni, że wiadomość e-mail od [email protected] jest autentyczna.
• Uwierzytelnianie to „jak”: są to mechanizmy techniczne, SPF, DKIM, DMARC, które służą do potwierdzania tożsamości.

Pomyśl o tym jak o paszporcie. Twoja tożsamość to status obywatela uprawnionego do podróżowania. Uwierzytelnianie to fizyczny paszport i chip biometryczny w środku, który potwierdza, że jesteś tym, za kogo się podajesz. Uwierzytelnianie istnieje wyłącznie po to, aby chronić Twoją tożsamość przed przejęciem. Gdy występuje „rozbieżność” między tymi dwoma elementami, co oznacza, że weryfikacja uwierzytelniająca przebiega pomyślnie, ale tożsamość nie jest zgodna, zaufanie zostaje naruszone i właśnie w tym momencie hakerzy znajdują swoją szansę.

W jaki sposób atakujący wykorzystują tożsamość nadawcy wiadomości e-mail

Cyberprzestępcy wykorzystują „oszustwa tożsamościowe”, aby ominąć ludzką intuicję i filtry techniczne.

• Spoofing domeny dokładnej: Jeśli firma nie wdrożyła protokołu DMARC z ustawieniem p=reject, osoba atakująca może wysłać wiadomość e-mail, która jest identyczna z prawdziwą wiadomością wewnętrzną.
• Podszywanie się pod nazwę wyświetlaną: Często nazywane „oszustwem CEO”, jest skierowane do zapracowanych pracowników. E-mail wygląda, jakby pochodził od „nazwiska CEO” i zawiera prośbę o pilny przelew bankowy lub zakup karty podarunkowej.
• Podobne domeny (pokrewne): Atakujący rejestrują domeny takie jak nike-support.com zamiast nike.com.
• Ataki homograficzne: Wykorzystanie znaków z różnych alfabetów, które wyglądają identycznie, np. zastąpienie łacińskiej litery „o” grecką literą „ο” (omicron).

Dlaczego tożsamość nadawcy wiadomości e-mail ma znaczenie dla firm

1. Reputacja marki: Twoja domena jest Twoją cyfrową wizytówką. Jeśli jest wykorzystywana do rozsyłania spamu, Twoja marka będzie kojarzona z „niebezpiecznymi” treściami.
2. Dostarczalność: Na początku 2024 roku Google i Yahoo zaczęły wymagać stosowania protokołu DMARC od nadawców masowych wiadomości. Jeśli Twoja tożsamość nie zostanie zweryfikowana, Twoje legalne wiadomości marketingowe i transakcyjne, takie jak te dotyczące resetowania hasła, będą blokowane.
3. Bezpieczeństwo finansowe: Ataki typu „business email compromise” powodują miliardowe straty rocznie. Weryfikacja tożsamości to jedyny techniczny sposób na powstrzymanie tych ataków na dużą skalę.

Typowe błędy związane z tożsamością nadawcy wiadomości e-mail

• Pułapka „p=none”: Wiele firm konfiguruje DMARC, ale pozostawia go na zawsze w „trybie monitorowania” (p=none). Zapewnia to widoczność, ale nie daje żadnej ochrony przed spoofingiem.
• Nadmierne poleganie na SPF: SPF ma „limit 10 wyszukiwań”. Jeśli Twój rekord jest zbyt złożony, operacja zakończy się niepowodzeniem, pozostawiając Twoją tożsamość całkowicie otwartą.
• Nieznajomość Shadow IT: Działy marketingu lub HR często rejestrują się w nowych narzędziach bez powiadamiania działu IT. Jeśli nie zostaną one uwierzytelnione, nie przejdą kontroli DMARC i znikną w folderach spamowych.

Najlepsze praktyki w zakresie zabezpieczania tożsamości

Lista kontrolna techniczna

• Wdrożenie protokołu DMARC: należy dążyć do osiągnięcia wartości p=reject. Jest to „złoty standard” ochrony tożsamości.
• Wdrożenie BIMI: Brand Indicators for Message Identification (wskaźniki marki służące do identyfikacji wiadomości) umożliwiają wyświetlanie zweryfikowanego logo marki w skrzynce odbiorczej, aby zapewnić wizualny znak „Zweryfikowano”.
• Używaj unikalnych selektorów DKIM: przypisz różne klucze DKIM do różnych dostawców, aby móc cofnąć jeden z nich bez wpływu na pozostałe.

Strategia organizacyjna

• Ciągłe monitorowanie: użyj narzędzia do monitorowania DMARC, aby sprawdzić, czy nie pojawiły się nowe usługi wysyłające wiadomości e-mail w Twoim imieniu.
• Ćwiczenia dla pracowników dotyczące phishingu: Naucz pracowników, aby nigdy nie ufali wyłącznie wyświetlanej nazwie.

Zapewnij wsparcie ARC

Jeśli korzystasz z listy mailingowej lub usługi przekazywania wiadomości, upewnij się, że jest ona skonfigurowana tak, aby „plombować” wiadomości za pomocą ARC. Zapobiega to odrzucaniu legalnych wiadomości przekazywanych przez surowe zasady DMARC.

Podsumowując: przestań pozwalać nieznajomym nosić Twoją markę

Pomyśl o swojej tożsamości nadawcy wiadomości e-mail jako o cyfrowych „drzwiach wejściowych” do Twojej firmy. Bez odpowiednich zamków, SPF, DKIM i DMARC, zasadniczo pozostawiasz te drzwi szeroko otwarte. W początkach internetu poczta elektroniczna opierała się na uścisku dłoni, ale w dzisiejszym świecie „zaufanie” jest czymś, co musisz udowodnić technicznie w każdej wysyłanej wiadomości.

Jeśli nie chronisz swojej tożsamości, ryzykujesz nie tylko kilka skarg dotyczących spamu, ale także oddajesz reputację swojej marki w ręce każdego, kto zechce ją przejąć. Kiedy osoba atakująca wysyła fałszywą fakturę lub link phishingowy, używając Twojej domeny, ofiara nie obwinia hakera, ale Ciebie. Zabezpieczenie swojej tożsamości to nie tylko techniczna lista rzeczy do zrobienia. Chodzi o to, aby kiedy mówisz „cześć” klientowi lub partnerowi, wiedzieli bez cienia wątpliwości, że to naprawdę Ty.

Nie czekaj, aż e-mail z oszustwem typu „CEO Fraud” trafi do Twojego działu księgowości, zanim podejmiesz działania. Twoja marka zasługuje na zweryfikowaną tożsamość, której dostawcy skrzynek pocztowych mogą zaufać, a atakujący nie mogą naruszyć. Już dziś skorzystaj z bezpłatnej wersji próbnej PowerDMARC, aby uprościć „alfabetyczną zupę” zabezpieczeń poczty elektronicznej, przechodząc z podatnej polityki p=none do bardziej rygorystycznej polityki p=reject.

Najczęściej zadawane pytania

Czy można sfałszować tożsamość nadawcy wiadomości e-mail?

W mgnieniu oka. Pierwotny „język” poczty elektronicznej (SMTP) przypomina wysyłanie pocztówki – każdy może wpisać fałszywe nazwisko nadawcy na odwrocie. Bez nowoczesnych zabezpieczeń, takich jak SPF i DKIM, haker może wpisać nazwisko i adres e-mail dyrektora generalnego w polu „Od”, a większość skrzynek pocztowych po prostu to zaakceptuje.

Czy DMARC zapobiega wszystkim przypadkom spoofingu?

Nie do końca. DMARC doskonale radzi sobie z powstrzymywaniem spoofingu dokładnej domeny (ktoś podszywa się pod [email protected]). Nie powstrzymuje jednak „domen podobnych” (takich jak twoja-marka.com) ani „spoofingu nazwy wyświetlanej” (gdzie nazwa jest prawidłowa, ale adres e-mail jest losowym kontem Gmail). Wciąż trzeba mieć na to oko.

Jaka jest różnica między From a Return-Path?

Adres nadawcy można porównać do nazwiska widniejącego na papierze firmowym wewnątrz koperty – jest to adres widoczny dla odbiorcy. Adres zwrotny to adres wydrukowany na zewnętrznej stronie koperty, używany przez serwery pocztowe do obsługi odrzuconych wiadomości. Hakerzy lubią zmieniać te adresy, aby oszukać filtry, dlatego też dostosowanie DMARC jest tak ważne.

Czy tożsamość nadawcy jest tym samym, co reputacja adresu e-mail?

Nie. Tożsamość to to, kim jesteś, a reputacja to to, jak się zachowujesz. Jeśli masz świetną tożsamość (zweryfikowaną), ale wysyłasz spam, Twoja reputacja i tak ulegnie pogorszeniu. Jeśli jednak nie zabezpieczysz swojej tożsamości, hakerzy mogą zrujnować Twoją reputację, wysyłając spam w Twoim imieniu.

Czy wewnętrzne wiadomości e-mail wymagają ochrony tożsamości nadawcy?

Oczywiście. Niektóre z największych kradzieży (takie jak oszustwa CEO) mają miejsce, gdy pracownik otrzymuje wiadomość e-mail, która wygląda, jakby pochodziła od jego szefa z sąsiedniego biura. Jeśli nie chronisz swojej tożsamości wewnętrznie, pozostawiasz szeroko otwarte drzwi dla ataków typu „The Call is Coming from Inside the House” (Telefon pochodzi z wnętrza domu).

• O
• Latest Posts

Milena Baghdasaryan

Specjalista ds. treści w PowerDMARC

Milena jest wykwalifikowaną pisarką i twórczynią treści z ponad 7-letnim doświadczeniem w tworzeniu angażujących treści na temat IT, cyberbezpieczeństwa, wirtualnych wydarzeń i nie tylko. Ma udokumentowane doświadczenie w dostarczaniu wysokiej jakości prac dla międzynarodowych magazynów i jest absolwentką prestiżowych instytucji, takich jak New York University Abu Dhabi, UWC China i College of Europe.

Najnowsze posty autorstwa Milena Baghdasaryan (zobacz wszystkie)

• Zgodność z normą FIPS: Jak wzmocnić zabezpieczenia infrastruktury przed terminem wyznaczonym na 2026 r. - 20 kwietnia 2026 r.
• Bezpieczeństwo w działaniach sprzedażowych: 5 sposobów, by Twój zespół sprzedaży nie wyglądał jak oszuści - 14 kwietnia 2026 r.
• Czy Gmail filtruje Twoje wiadomości e-mail? Przyczyny, objawy i rozwiązania - 7 kwietnia 2026 r.