Logo CodeLocal

Cyber • 2025-09-21

10 zasad bezpiecznego maila firmowego

Wprowadzenie

E-mail to główny wektor ataków w MŚP. Dobre praktyki bezpieczeństwa skracają czas reakcji, obniżają ryzyko phishingu i wycieków oraz poprawiają reputację domeny (deliverability). Poniżej - „esencja operacyjna”: 10 zasad, plan wdrożenia i checklista.

10 zasad

  1. MFA wszędzie
    MFA/2FA dla wszystkich kont (admin, użytkownicy, serwisy). Preferuj aplikacje TOTP/FIDO2.
  2. SPF, DKIM, DMARC – trójka obowiązkowa
    • SPF: autoryzuj tylko realne źródła wysyłki.
    • DKIM: podpisy kryptograficzne na domenie.
    • DMARC: polityka p=quarantine → docelowo p=reject, raporty RUA/RUF.
  3. TLS, MTA-STS i TLS-RPT
    Wymuś szyfrowanie transmisji (TLS), opublikuj politykę MTA-STS i włącz raporty TLS-RPT.
  4. Polityka haseł i blokada przekierowań
    Długie hasła (min. 14–16 znaków) + menedżer haseł. Zablokuj automatyczne przekazywanie na zewnętrzne adresy.
  5. Role i najmniejsze uprawnienia
    Konta imienne, brak współdzielenia haseł. Dostępy czasowe (JIT) dla adminów i integracji.
  6. Załączniki, linki, sandbox
    Skany AV/EDR, podgląd w przeglądarce, izolacja podejrzanych plików, blokady makr z Internetu.
  7. Szkolenia i testy phishingowe
    Krótkie moduły co kwartał + kampanie symulacyjne. Prosty proces „Zgłoś podejrzaną wiadomość”.
  8. Retencja, archiwizacja i backup
    Retencja zgodna z przepisami (np. 3–6–12 mies.). Backup skrzynek (eDiscovery/Journal + kopie poza chmurą).
  9. Monitorowanie i alerty
    Logi logowań, reguły DLP, nietypowe wysyłki (wzrost wolumenu, nowe kraje, nowe urządzenia). Alerty e-mail/SMS.
  10. Reputacja i branding
    BIMI (po DKIM/DMARC enforce), spójny podpis firmowy, lista dozwolonych nadawców (allow-list) i blokad (deny-list).
flowchart TD A[Nadawca] --> B[SPF - DKIM] B --> C[DMARC - polityka i raporty] C --> D[Serwer odbiorcy - TLS + MTA-STS] D --> E[Skrzynka użytkownika - MFA + DLP] E --> F[Archiwum - Backup] classDef box fill:#003e7b,color:#ffffff,stroke:#ff6201,stroke-width:2px class A,B,C,D,E,F box

Kroki / praktyka

  1. Diagnoza aktualnego stanu.
    • Jakie domeny wysyłają pocztę (systemy, CRM, newsletter, faktury)?
    • Czy SPF/DKIM/DMARC są poprawne i egzekwowane?
    • Gdzie logujemy zdarzenia (SIEM, admin center)? Kto ma uprawnienia admina?
  2. Wdrożenie rekomendowanych działań.
    • Ustaw MFA i wymuś je polityką.
    • Uporządkuj DNS: SPF (bez +all), DKIM (2048-bit), DMARC z raportami.
    • Włącz MTA-STS i TLS-RPT; wymuś TLS.
    • Zablokuj auto-forward out; dodaj DLP i skan załączników.
    • Zdefiniuj reguły anty-spoof (ochrona przed look-alike domains).
    • Wdróż backup/archiwum i polityki retencji.
  3. Weryfikacja efektów i monitoring.
    • Cotygodniowy przegląd raportów DMARC/TLS-RPT.
    • Alerty o logowaniu z nowych lokalizacji/urządzeń, próby przekierowań.
    • Test odtworzenia skrzynki z backupu (min. raz/kwartał).
    • Przegląd uprawnień adminów co miesiąc.

Checklist

  • MFA włączone dla wszystkich - Preferuj FIDO2/TOTP, egzekwuj polityką
  • SPF/DKIM/DMARC poprawne - DMARC z RUA/RUF, p=reject po fazie obserwacji
  • TLS + MTA-STS + TLS-RPT - Wymuś szyfrowanie i monitoruj raporty
  • Blokada auto-forward out - Zmniejsza ryzyko cichego wycieku
  • Skany AV/EDR + sandbox - Załączniki/linki w izolacji
  • Procedura phishing - Przycisk „Zgłoś”, playbook reakcji
  • Retencja i backup - Test odtworzenia kwartalnie
  • Przegląd uprawnień - Least privilege, audyt adminów
  • Polityki DLP - Dane wrażliwe, numery, załączniki
  • Reputacja i BIMI - Spójny branding, kontrola nad nadawcami

Podsumowanie

Bezpieczeństwo poczty to zestaw prostych, konsekwentnie egzekwowanych zasad: MFA, SPF/DKIM/DMARC, TLS/MTA-STS, DLP/backup i szkolenia. Dobrze ustawione - zmniejszają ryzyko i poprawiają dostarczalność.

Jesteśmy w social media