Phishing elleni védekezés 2026-ban: DMARC, DKIM és BIMI beállítása lépésről lépésre

Megosztás: Link másolva!
Phishing elleni védekezés 2026-ban: DMARC, DKIM és BIMI beállítása lépésről lépésre

Miért kritikus az email doménadminisztráció?

Az email-hamisítás (spoofing) ellen a legjobb technikai védelmet az email hitelesítési protokollok (SPF, DKIM, DMARC) helyes konfigurációja jelenti. 2026-ban a Gmail, a Microsoft 365 és a többi nagy levelezőszolgáltató már megköveteli ezeket a beállításokat a kézbesíthetőség érdekében. Egy megfelelően konfigurált DMARC a doménhamisítást szinte teljesen kizárja – ez különösen fontos a CEO-fraud és BEC (Business Email Compromise) típusú támadások ellen.

SPF: melyik szerverek küldhetnek emailt a doménünk nevében?

Az SPF (Sender Policy Framework) egy DNS TXT rekord, amely meghatározza, mely IP-címekről jogos a doménünkről érkező email. Helyes SPF konfiguráció példa: v=spf1 include:_spf.google.com include:mailchimp.com ip4:192.0.2.10 -all. Az -all (hardail) mechanizmus azt jelenti, hogy minden más forrást hamisítottnak kell tekinteni. Fontos: az SPF rekord nem véd a header from hamisítás ellen – erre DMARC szükséges.

DKIM: digitális aláírás az emaileken

A DKIM (DomainKeys Identified Mail) az email tartalmát és fejléceit digitálisan aláírja a küldő szerver privát kulcsával, és a nyilvános kulcsot a DNS-ben teszi közzé. Az aláírás ellenőrzése a fogadó szerveren automatikusan megtörténik. A DKIM konfiguráció a levelezőszoftverben (Postfix, Exchange, Google Workspace, Microsoft 365) végezhető el, és a generált nyilvános kulcsot DNS TXT rekordként kell publikálni.

DMARC: az SPF és DKIM összekötése és betartatása

A DMARC (Domain-based Message Authentication, Reporting and Conformance) összeköti az SPF-et és a DKIM-et, és meghatározza, mit kell tenni, ha az ellenőrzés sikertelen (none, quarantine, reject). A bevezetés javasolt sorrendje:

  • 1. lépés: p=none – monitoring mód, csak riportok, nincs kényszerítés
  • 2. lépés: p=quarantine – gyanús emailek spam mappába kerülnek
  • 3. lépés: p=reject – az ellenőrzésen elbukó emailek visszautasítva

BIMI: doménhitelesített logó az emailekben

A BIMI (Brand Indicators for Message Identification) az egyetlen olyan email-biztonsági protokoll, amelynek közvetlen vizuális hatása van: a megfelelően konfigurált BIMI lehetővé teszi, hogy a vállalat logója megjelenjen a levélszemlélőben a küldő neve mellett (Gmail, Apple Mail, Yahoo). Ehhez a DMARC p=reject szintű beállítás és egy érvényes VMC (Verified Mark Certificate) szükséges.

DMARC riportok elemzése

A DMARC RUA (Aggregate Reports) és RUF (Forensic Reports) értékes visszajelzést adnak arról, ki küld emailt a doménünk nevében – beleértve a jogosulatlan küldőket is. Ezeket a riportokat XML formátumban kapjuk, de eszközök mint a dmarcian, Postmark vagy a Google Postmaster Tools érthetőbbé teszik az elemzést.

Szeretnéd, hogy szakértő csapatunk kezelje az IT rendszereidet?

IT üzemeltetés Szolgáltatásaink
Tetszett? Oszd meg: