Ghiduri
Cum oprești infractorii să trimită emailuri în numele firmei tale
Dacă cineva poate trimite emailuri care par de la firma ta, îți poate păcăli clienții și angajații. SPF, DKIM și DMARC închid ușa, dacă le configurezi corect și în etape.
Imaginează-ți că un client primește un email cu numele firmei tale, adresa ta de contact și tonul obișnuit: „factură atașată, vă rugăm să achitați în 3 zile". Doar că tu nu ai trimis nimic. Contul în care se plătește nu e al tău. Iar clientul e convins că a vorbit cu tine. Așa arată, în practică, un email fals trimis în numele firmei tale.
Vestea proastă: pe un domeniu neprotejat, oricine poate face asta. Nu trebuie să spargă nimic, nu trebuie să se logheze nicăieri. Vestea bună: există trei setări care închid ușa, și le poți pune în ordine într-o după-amiază. Hai să le luăm pe rând, fără jargon.
De ce poate oricine să trimită ca tine
Emailul a fost gândit acum zeci de ani, într-o lume în care nimeni nu mințea despre cine este. Din acest motiv, câmpul „De la" dintr-un email este, în mod implicit, ca expeditorul scris de mână pe un plic. Îl poți scrie cum vrei. Nimeni nu îl verifică.
Asta înseamnă că un atacator poate scrie în câmpul „De la" exact adresa ta, contact@firma-ta.ro, iar emailul va ajunge cu numele tău în căsuța clientului. Nu e o gaură de securitate exotică. Este pur și simplu felul în care funcționează emailul când nu i-ai pus nicio barieră.
SPF, DKIM și DMARC sunt cele trei bariere. Lucrează împreună și fiecare rezolvă o bucată din problemă. Le explic ca pe niște verificări la intrarea într-o clădire.
SPF: cine are voie să trimită pentru tine
SPF este o listă. Tu spui, într-o setare publică a domeniului tău, care servere au dreptul să trimită emailuri în numele tău. De exemplu serverul găzduirii tale, serverul de la care îți trimiți newsletterul și platforma prin care emiți facturi.
Când un email ajunge la un destinatar, serverul lui se uită de pe ce server a venit și verifică dacă acela e pe lista ta. Dacă da, primul semn e bun. Dacă nu, e un semnal că ceva nu e în regulă. Gândește-te la recepționerul care are o listă cu firmele de curierat aprobate: dacă apare unul care nu e pe listă, ridică o sprânceană.
SPF singur are însă o limită. Verifică serverul tehnic de la care a plecat emailul, nu neapărat adresa pe care o vede clientul în căsuță. Un atacator poate trimite de pe un server care trece propria lui verificare și totuși să scrie numele tău în câmpul vizibil. De aceea SPF nu e suficient de unul singur.
DKIM: semnătura care nu poate fi falsificată
DKIM adaugă o semnătură criptografică pe fiecare email care pleacă legitim de la tine. E ca un sigiliu pe care doar tu îl poți aplica, pentru că se bazează pe o cheie secretă pe care numai serverul tău o deține. Perechea publică a acelei chei stă în setările domeniului, ca oricine să poată verifica sigiliul.
Când emailul ajunge la destinatar, serverul lui recalculează semnătura și o compară cu cea din setările tale. Dacă se potrivesc, două lucruri sunt sigure: emailul chiar a fost semnat de tine și nimeni nu i-a umblat la conținut pe drum. Dacă cineva ar schimba o cifră din IBAN-ul din factură, sigiliul s-ar rupe și verificarea ar pica.
DKIM e mai puternic decât SPF, dar are și el un gol. Nici SPF, nici DKIM nu îi spun serverului primitor ce să facă atunci când verificarea pică. Asta e exact rolul celei de-a treia setări.
DMARC: politica plus rapoartele
DMARC e piesa care leagă totul. Face două lucruri pe care celelalte două nu le fac.
Întâi, leagă adresa pe care o vede clientul de rezultatele SPF și DKIM. Verifică dacă domeniul din câmpul vizibil „De la" se potrivește cu cel care a trecut SPF sau DKIM. Așa închide fix portița prin care un atacator trecea până acum: nu mai e de ajuns să treci o verificare oarecare, trebuie să o treci chiar pe numele tău.
Al doilea lucru, și aici se opresc majoritatea ghidurilor în română, este că DMARC îi spune serverului primitor ce să facă atunci când un email pică verificarea. Tu alegi politica:
- p=none: nu face nimic special, doar trimite-mi rapoarte. E modul de observare.
- p=quarantine: pune emailurile suspecte în folderul de spam.
- p=reject: respinge-le complet, nici nu ajung la destinatar.
Tot DMARC activează rapoartele. Adaugi în înregistrare o adresă de email, iar serverele din toată lumea îți trimit zilnic un rezumat: cine a încercat să trimită în numele domeniului tău, de pe ce adrese și dacă a trecut sau nu verificările. Așa vezi negru pe alb atât sursele tale legitime, cât și pe cele frauduloase.
O înregistrare DMARC simplă, de pornire, arată cam așa: v=DMARC1; p=none; rua=mailto:rapoarte@firma-ta.ro. Tradus: versiunea DMARC, politica de observare și adresa la care vrei rapoartele. Pleci mereu de la această formă, niciodată direct de la reject.
Fără DMARC pe reject, oricine te poate impersona
Rollout în etape, ca să nu blochezi emailuri reale
Aici e partea pe care nu o sari. Dacă activezi DMARC direct pe reject, riști să blochezi propriile emailuri legitime: newsletterul, notificările din magazin, facturile emise de un program extern, mesajele din CRM. Multe firme au surse de email pe care nici nu și le amintesc până nu le văd în rapoarte.
De aceea se merge în trei pași, lent și controlat:
Observi cu p=none
Câteva săptămâni nu blochezi nimic. Citești rapoartele și faci o listă cu toate sursele care trimit legitim în numele tău: găzduire, newsletter, facturare, CRM. Te asiguri că fiecare trece SPF sau DKIM pe domeniul tău.
Strângi cu p=quarantine
Treci pe quarantine. Emailurile care pică ajung în spam, nu mai sunt livrate ca legitime. Continui să urmărești rapoartele și corectezi orice sursă reală rămasă pe dinafară.
Închizi cu p=reject
Când rapoartele sunt curate și toate sursele tale trec, treci pe reject. De acum, emailurile false pe numele domeniului tău sunt pur și simplu respinse, înainte să ajungă la cineva.
Înainte de toate astea, lasă SPF și DKIM să lucreze câteva zile, ca verificările să fie stabile înainte să pui DMARC peste ele. Și nu te grăbi între etape. Mai bine stai o lună pe quarantine și ajungi la reject cu zero emailuri reale pierdute, decât să închizi prea repede și să rateze un client o factură adevărată.
Impersonare reală vs domenii care doar seamănă
E important să știi ce acoperă DMARC și ce nu, ca să nu ai un sentiment fals de siguranță. Sunt două tipuri de atac care arată la fel pentru client, dar sunt complet diferite tehnic.
- Spoofing pe domeniul tău real: atacatorul scrie exact contact@firma-ta.ro. Aici DMARC pe reject te apără complet. Emailul fals e respins pentru că pică verificarea pe domeniul tău.
- Domenii care doar seamănă: atacatorul înregistrează firma-ta-srl.com sau firma-ta.com în loc de .ro. Pentru ochiul grăbit pare la fel, dar tehnic e un domeniu străin. DMARC-ul tău nu are nicio putere asupra lui, pentru că nu e domeniul tău.
Pentru domeniile asemănătoare ai nevoie de alte măsuri: instruiești echipa să verifice adresa literă cu literă, monitorizezi înregistrările de domenii similare cu al tău și, pentru variantele evidente, le poți cumpăra preventiv chiar tu. DMARC rezolvă o jumătate importantă a problemei, dar nu pe toată.
Miza nu e spamul, ci banii și reputația
Cele mai multe articole în română tratează SPF, DKIM și DMARC ca pe niște trucuri ca să nu îți ajungă emailurile în spam. Livrabilitatea chiar se îmbunătățește, e adevărat. Dar nu asta e miza adevărată pentru tine.
Miza e că, atunci când cineva poate trimite ca tine, poate face mult rău în numele tău. Poate trimite unui client o factură cu un IBAN schimbat, iar plata pleacă către atacator. Poate scrie unui angajat din partea „directorului", cerând urgent un transfer, așa-numita fraudă de tip CEO. Poate distribui un fișier infectat care pare că vine de la o firmă de încredere. În toate cazurile, încrederea construită în ani se întoarce împotriva ta.
Contextul local nu e ipotetic. DNSC, autoritatea națională de securitate cibernetică, avertizează în mod recurent despre campanii de phishing prin emailuri false care imită organizații și firme cunoscute, inclusiv din zona financiar-contabilă. Numele tău bun poate fi folosit într-o astfel de campanie fără ca tu să știi, exact pentru că emailul, neprotejat, permite asta.
Și mai e o legătură de care merită să ții cont. Dacă emailul unui angajat e compromis printr-un atac de credential stuffing, atacatorul nu mai are nevoie să păcălească pe nimeni cu un domeniu fals: trimite chiar din contul real. De aceea protecția emailului merge mână în mână cu igiena conturilor și cu atenția la semnele că ceva a fost spart.
Ce faci concret, de azi
Dacă vrei să pui ordine singur, pașii sunt clari:
- Verifică dacă ai deja SPF, DKIM și DMARC pe domeniu. Multe firme au unul sau două, dar nu și DMARC.
- Completează SPF cu toate serverele de la care trimiți cu adevărat și activează DKIM la furnizorul tău de email.
- Adaugă o înregistrare DMARC cu p=none și o adresă pentru rapoarte.
- Citește rapoartele câteva săptămâni, fă curat în surse, apoi urcă treptat la quarantine și la reject.
Partea care pune oameni pe gânduri nu e adăugarea înregistrărilor, ci interpretarea rapoartelor și trecerea sigură între etape, fără să pierzi emailuri reale. La UpTrust facem exact asta pentru clienții noștri: configurăm SPF, DKIM și DMARC, urmărim rapoartele în locul tău și ducem domeniul până la reject în siguranță, ca nimeni să nu mai poată trimite în numele firmei tale. Dacă vrei să îți verificăm domeniul, scrie-ne.
Întrebări frecvente
Cum opresc pe cineva care trimite emailuri în numele firmei mele?
Configurezi trei înregistrări DNS pentru domeniul tău: SPF (ce servere au voie să trimită), DKIM (o semnătură criptografică pe fiecare email) și DMARC (politica plus rapoartele). Cu DMARC pe reject, serverele primitoare resping emailurile false care pretind că vin de la domeniul tău real. Pornești însă de la p=none, ca să nu blochezi din greșeală emailuri legitime.
Ce este DMARC, pe scurt?
DMARC este o înregistrare DNS care le spune serverelor primitoare ce să facă atunci când un email care pare de la tine pică verificările SPF și DKIM: să îl lase, să îl pună în spam sau să îl respingă. În plus, îți trimite rapoarte despre cine trimite în numele domeniului tău.
DMARC mă protejează și de domenii asemănătoare, gen firma-ta-srl.com?
Nu. DMARC apără numai domeniul tău exact. Dacă un atacator înregistrează un domeniu care doar seamănă cu al tău, acela este un domeniu diferit, peste care DMARC nu are control. Pentru așa ceva ai nevoie de instruirea echipei și de monitorizarea domeniilor similare.
Risc să blochez emailuri reale dacă activez DMARC?
Da, dacă sari direct la reject fără monitorizare. De aceea se face în etape. Stai pe p=none câteva săptămâni, citești rapoartele, te asiguri că toate sursele tale reale (facturare, newsletter, CRM) trec verificările, apoi treci la quarantine și abia la final la reject.
Citește și
Credential stuffing: ce este și cum îți aperi conturile
Cum transformă atacatorii o listă de parole scurse într-un val de logări automate, și ce oprește atacul înainte să-ți compromită clienții.
7 semne că site-ul tău a fost spart (și ce să faci)
Cum recunoști un site spart înainte să te avertizeze Google sau clienții, și ce faci în primele ore ca să limitezi pagubele.
Bot management: oprești boții răi fără să pierzi clienți
Nu toți boții sunt răi. Cum separi Googlebot de scriptul care îți fură prețurile sau îți testează carduri furate, și ce faci cu fiecare.