Checklista bezpieczeństwa email dla twojej domeny: Nie daj się zhakować

Ataki na spoofing email kradną firmom miliardy co roku. Hakerzy podszywają się pod zaufane domeny, wyłudzają hasła od pracowników i niszczą reputację marki. Najgorsze? Większość biznesów ma jakąś ochronę, ale działa wadliwie lub niekompletnie.

Zastanawiasz się, czy twoja domena jest naprawdę bezpieczna? To normalne. Dlatego warto zrobić pełny audyt bezpieczeństwa domeny.

Ukryta warstwa ochrony domeny

Gdy wysyłasz email z swojej domeny, serwery odbiorcze sprawdzają go w tle. Szukają tych rekordów:

• SPF records – potwierdzenie, że to ty kontrolujesz serwery wysyłające maile.
• DKIM signatures – kryptograficzny dowód, że wiadomość nie została zmieniona.
• DMARC policies – zasady, co robić przy błędach weryfikacji.
• BIMI records – twoje logo w skrzynkach odbiorców.
• TLS-RPT i MTA-STS – ochrona transportu i raporty błędów.

Brak któregoś z nich lub zła konfiguracja? Twoje maile lądują w spamie. Albo co gorsza – ktoś je podrabia.

Typowe błędy w konfiguracji

Z moich audytów wynika, że te problemy powtarzają się non-stop:

Krytyczne zagrożenia

• Brak SPF. Częsty grzech. Bez niego każdy może wysyłać maile w twoim imieniu.
• Błędy w składni SPF. Rekord musi zaczynać się od v=spf1. Za dużo zapytań DNS (>10) blokuje weryfikację.
• Kilka rekordów SPF. DNS bierze tylko jeden. Reszta ignorowana – iluzja ochrony.

Średnie ryzyka

• Zbyt luźne polityki. SPF z +all przepuszcza wszystko. Po co to w ogóle?
• Stare mechanizmy. ptr w SPF spowalnia i komplikuje.
• Błędy w modyfikatorach. exp zamiast expl – cicho pada, dziura zostaje.

Drobiazgi, które uciekają

• DKIM bez klucza publicznego. Rekord jest, ale bez klucza weryfikacja leży.
• Brak BIMI. Konkurencja błyszczy logo w Gmailu. Ty nie.
• Niekompletne BIMI. Bez tagu URI z logo – cały rekord na marne.

Jak działa audyt domeny

Dobre narzędzie do sprawdzenia robi to krok po kroku:

1. Skan DNS Zapytuje publiczne serwery DNS o rekordy autentykacji. Dokładnie to, co widzą Gmail, Outlook czy firmowe skrzynki.

2. Głęboka analiza Sprawdza każdy rekord pod kątem:

• Poprawnej składni i standardów.
• Siły polityki i zakresu ochrony.
• Konfliktów czy powtórek.
• Zgodności z RFC.

3. Konkretne wskazówki Nie tylko "błąd", ale "dlaczego boli" i "jak naprawić". Zamiast "brak SPF", dostajesz: "Dodaj v=spf1 include:_spf.google.com ~all dla Google Workspace".

Dlaczego to pilne teraz

DMARC staje się standardem. Google, Microsoft i Yahoo zaostrzają wymagania. Bez audytu:

• Maile nie dochodzą (spam lub bounce).
• Łatwo podrabiają twoją domenę.
• Audyty bezpieczeństwa i compliance padają.
• Brak logo BIMI w nowych klientach email.

Startupy często odkładają to "na później". Ale słaba autentykacja email to cichy zabójca – klienci nie dostają twoich wiadomości.

Co zrobić dalej

Zrób skan domeny już dziś. Szukaj:

• Błędów krytycznych (brak rekordów, zła składnia).
• Średnich (słabe polityki, ryzykowne ustawienia).
• Łatwych poprawek (BIMI, TLS-RPT, MTA-STS).

Napraw po kolei. Najpierw krytyka – dla deliverability. Potem średnie – przeciw spoofingowi. Na koniec reszta – dla marki i przyszłości.

Całość zajmie 10 minut. Uratuje reputację.

Pro tip: U nas w NameOcean zarządzanie DNS jest zintegrowane. Sprawdź bezpieczeństwo domeny i od razu popraw w panelu – bez zewnętrznych narzędzi.