
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Bezpieczeństwo poczty e-mail pozostaje jednym z kluczowych filarów cyberbezpieczeństwa organizacji. To właśnie poczta jest nadal podstawowym wektorem ataków phishingowych, spoofingu domen oraz kampanii ukierunkowanych na przejęcie kont i wyłudzenie danych. Skuteczna ochrona wymaga wdrożenia standardów takich jak SPF, DKIM, DMARC oraz MTA-STS, które ograniczają możliwość podszywania się pod domenę i wymuszają bezpieczny transport wiadomości.
W skrócie
Analiza obejmująca 5 849 domen z 13 sektorów pokazuje, że administracja publiczna i podmioty ochrony zdrowia wypadają najsłabiej pod względem zabezpieczeń poczty e-mail. Średni wynik sektora rządowego wyniósł 2,73 w skali 0–8, a ochrony zdrowia 3,43. Aż 8,3 proc. wszystkich badanych domen nie miało żadnej z podstawowych ochron, a jedynie 0,6 proc. uzyskało komplet punktów.
Najczęściej wdrażanym mechanizmem był SPF, natomiast MTA-STS pozostaje niemal nieobecny. Problemem nie jest wyłącznie brak rekordów DNS, ale również ich nieegzekwowanie, szczególnie w przypadku DMARC ustawionego w trybie monitoringu.
Kontekst / historia
Zainteresowanie bezpieczeństwem poczty e-mail rośnie od lat, ponieważ to właśnie e-mail jest jednym z najłatwiejszych kanałów nadużyć. Atakujący wykorzystują błędne lub niepełne konfiguracje domen do wysyłki wiadomości podszywających się pod zaufane instytucje, w tym urzędy, szpitale, uczelnie czy dostawców usług. W praktyce nawet organizacje objęte regulacjami i formalnymi wymaganiami bezpieczeństwa nie zawsze wdrażają ochronę poprawnie.
W omawianym badaniu oceniono rekordy DNS „na żywo” dla domen reprezentujących 13 branż. Każda domena była punktowana na podstawie obecności i konfiguracji SPF, DMARC, DKIM oraz MTA-STS. Wyniki pokazują wyraźny rozdźwięk między sektorami technologicznymi a instytucjami publicznymi i medycznymi. Sektor technologiczny osiągnął najwyższy średni wynik 4,83, podczas gdy administracja publiczna zajęła ostatnie miejsce.
Analiza techniczna
Ocena bezpieczeństwa opierała się na ośmiopunktowym modelu. Punktowano m.in. obecność SPF, twardą politykę SPF typu „-all”, obecność DMARC, poziom egzekwowania polityki DMARC, raportowanie DMARC, wdrożenie DKIM oraz publikację i tryb egzekwowania MTA-STS.
Z technicznego punktu widzenia problem nie sprowadza się do prostego pytania, czy rekord istnieje. O skuteczności zabezpieczeń decyduje ich realna konfiguracja i egzekwowanie.
- SPF bez restrykcyjnej polityki może ograniczać ryzyko tylko częściowo.
- DMARC ustawiony na
p=nonedaje widoczność operacyjną, ale nie blokuje fałszywych wiadomości. - DKIM bez odpowiedniego powiązania z polityką DMARC nie zapewnia pełnej ochrony przed nadużyciem domeny.
- MTA-STS chroni warstwę transportową, ale jego wdrożenie pozostaje marginalne.
Sektor publiczny osiągnął średnio 2,73 punktu, a 27 proc. analizowanych domen rządowych nie miało żadnych zabezpieczeń. W tej grupie SPF występował w 71,7 proc. domen, DMARC w 53,3 proc., DKIM w 26,5 proc., a MTA-STS jedynie w 1,8 proc. Jeszcze ważniejsze jest to, że tylko niewielki odsetek domen miał polityki egzekwujące odrzucanie wiadomości niespełniających wymagań.
W ochronie zdrowia sytuacja również wygląda słabo. Średni wynik wyniósł 3,43, a 19 proc. domen nie miało żadnej ochrony. SPF stwierdzono w 77,4 proc. domen, DMARC w 65,5 proc., DKIM w 41,6 proc., a MTA-STS w 2,5 proc. W praktyce oznacza to, że znaczna część organizacji medycznych nadal pozostaje podatna na podszywanie się pod domenę i kampanie phishingowe wymierzone zarówno w personel, jak i pacjentów.
Ciekawy przypadek dotyczy uczelni wyższych. Chociaż wiele z nich posiada rekord DMARC, duża część pozostaje w trybie monitoringu. To klasyczny przykład pozornego wdrożenia — mechanizm jest widoczny w DNS, ale nie przekłada się na realną blokadę nadużyć. Z perspektywy obrony oznacza to ograniczoną wartość ochronną mimo formalnej obecności standardu.
Konsekwencje / ryzyko
Słaba konfiguracja zabezpieczeń poczty e-mail ma bezpośrednie skutki operacyjne i biznesowe. Najważniejsze ryzyka obejmują zarówno wzrost skuteczności ataków, jak i problemy z zaufaniem do komunikacji elektronicznej.
- Skuteczniejsze kampanie phishingowe podszywające się pod legalne domeny.
- Wzrost podatności na BEC, czyli oszustwa wykorzystujące kompromitację korespondencji biznesowej.
- Przejmowanie zaufania do komunikacji z obywatelami, pacjentami i partnerami.
- Wycieki danych uwierzytelniających oraz danych wrażliwych.
- Pogorszenie dostarczalności legalnej poczty wskutek błędnych lub niespójnych polityk.
- Zwiększenie ryzyka incydentów zgodnościowych i regulacyjnych.
W sektorze publicznym konsekwencje mogą obejmować fałszywe komunikaty kierowane do obywateli, oszustwa związane z płatnościami lub usługami administracyjnymi oraz nadużycia w kampaniach dezinformacyjnych. W ochronie zdrowia zagrożenie jest szczególnie wysokie, ponieważ skutki ataku mogą dotyczyć nie tylko danych, ale również ciągłości opieki, procesów klinicznych i bezpieczeństwa pacjentów.
Warto zwrócić uwagę, że niski poziom wdrożenia MTA-STS oznacza także ograniczoną ochronę transmisji między serwerami pocztowymi. To otwiera dodatkową powierzchnię ryzyka w scenariuszach downgrade attack lub błędnej obsługi połączeń TLS.
Rekomendacje
Organizacje powinny traktować bezpieczeństwo poczty e-mail jako obszar wymagający ciągłego zarządzania, a nie jednorazowej konfiguracji. W praktyce warto wdrożyć następujące działania:
- Uporządkować rekordy SPF i ograniczyć listę autoryzowanych nadawców do faktycznie używanych usług.
- Wdrożyć DKIM dla wszystkich platform wysyłkowych, w tym systemów marketingowych, helpdeskowych i transakcyjnych.
- Przejść z DMARC
p=nonedop=quarantine, a docelowo dop=reject, po wcześniejszej analizie źródeł legalnej poczty. - Skonfigurować raportowanie DMARC i regularnie analizować raporty RUA/RUF pod kątem nieautoryzowanych źródeł.
- Wdrożyć MTA-STS oraz poprawną politykę TLS-RPT, aby wzmocnić bezpieczeństwo warstwy transportowej.
- Prowadzić okresowe audyty DNS i walidację konfiguracji dla wszystkich domen, subdomen i usług zewnętrznych.
- Usunąć nieużywane domeny lub objąć je polityką defensywną, aby ograniczyć ryzyko przejęcia reputacji domeny.
- Połączyć ochronę domeny z bramą bezpieczeństwa e-mail, filtrowaniem phishingu oraz szkoleniami użytkowników.
- Ustalić właściciela procesu po stronie bezpieczeństwa i operacji IT, tak aby polityki pocztowe były stale utrzymywane i egzekwowane.
Dla podmiotów publicznych i medycznych szczególnie istotne jest centralne zarządzanie domenami oraz standaryzacja konfiguracji w wielu jednostkach organizacyjnych. Rozproszone środowiska zwykle prowadzą do niespójności, które atakujący bardzo skutecznie wykorzystują.
Podsumowanie
Wyniki analizy pokazują, że podstawy bezpieczeństwa poczty e-mail wciąż nie są wdrożone na wystarczającym poziomie, zwłaszcza w administracji publicznej i ochronie zdrowia. Problemem pozostaje zarówno brak mechanizmów SPF, DKIM, DMARC i MTA-STS, jak i ich niepełna egzekucja. Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona domeny e-mail nadal wymaga pilnych działań operacyjnych.
W realiach rosnącej liczby kampanii phishingowych nawet pozornie drobne błędy konfiguracyjne mogą stać się bezpośrednią przyczyną poważnego incydentu. Szczególnie w sektorach o wysokiej odpowiedzialności społecznej zaniedbania w obszarze poczty elektronicznej powinny być traktowane jako istotne ryzyko biznesowe i operacyjne.
Źródła
- Government and Healthcare Are the Weakest Links in Global Email Security — https://securityaffairs.com/194677/security/government-and-healthcare-are-the-weakest-links-in-global-email-security.html
- Which industry & country has the worst email security? An analysis of 5,800+ domains for SPF, DMARC, DKIM & MTA-STS protocols — https://www.comparitech.com/news/which-industry-country-has-the-worst-email-security-an-analysis-of-5800-domains-for-spf-dmarc-dkim-mta-sts-protocols/