Miért kritikus az email doménadminisztráció?
Az email-hamisítás (spoofing) ellen a legjobb technikai védelmet az email hitelesítési protokollok (SPF, DKIM, DMARC) helyes konfigurációja jelenti. 2026-ban a Gmail, a Microsoft 365 és a többi nagy levelezőszolgáltató már megköveteli ezeket a beállításokat a kézbesíthetőség érdekében. Egy megfelelően konfigurált DMARC a doménhamisítást szinte teljesen kizárja – ez különösen fontos a CEO-fraud és BEC (Business Email Compromise) típusú támadások ellen.
SPF: melyik szerverek küldhetnek emailt a doménünk nevében?
Az SPF (Sender Policy Framework) egy DNS TXT rekord, amely meghatározza, mely IP-címekről jogos a doménünkről érkező email. Helyes SPF konfiguráció példa: v=spf1 include:_spf.google.com include:mailchimp.com ip4:192.0.2.10 -all. Az -all (hardail) mechanizmus azt jelenti, hogy minden más forrást hamisítottnak kell tekinteni. Fontos: az SPF rekord nem véd a header from hamisítás ellen – erre DMARC szükséges.
DKIM: digitális aláírás az emaileken
A DKIM (DomainKeys Identified Mail) az email tartalmát és fejléceit digitálisan aláírja a küldő szerver privát kulcsával, és a nyilvános kulcsot a DNS-ben teszi közzé. Az aláírás ellenőrzése a fogadó szerveren automatikusan megtörténik. A DKIM konfiguráció a levelezőszoftverben (Postfix, Exchange, Google Workspace, Microsoft 365) végezhető el, és a generált nyilvános kulcsot DNS TXT rekordként kell publikálni.
DMARC: az SPF és DKIM összekötése és betartatása
A DMARC (Domain-based Message Authentication, Reporting and Conformance) összeköti az SPF-et és a DKIM-et, és meghatározza, mit kell tenni, ha az ellenőrzés sikertelen (none, quarantine, reject). A bevezetés javasolt sorrendje:
- 1. lépés:
p=none– monitoring mód, csak riportok, nincs kényszerítés - 2. lépés:
p=quarantine– gyanús emailek spam mappába kerülnek - 3. lépés:
p=reject– az ellenőrzésen elbukó emailek visszautasítva
BIMI: doménhitelesített logó az emailekben
A BIMI (Brand Indicators for Message Identification) az egyetlen olyan email-biztonsági protokoll, amelynek közvetlen vizuális hatása van: a megfelelően konfigurált BIMI lehetővé teszi, hogy a vállalat logója megjelenjen a levélszemlélőben a küldő neve mellett (Gmail, Apple Mail, Yahoo). Ehhez a DMARC p=reject szintű beállítás és egy érvényes VMC (Verified Mark Certificate) szükséges.
DMARC riportok elemzése
A DMARC RUA (Aggregate Reports) és RUF (Forensic Reports) értékes visszajelzést adnak arról, ki küld emailt a doménünk nevében – beleértve a jogosulatlan küldőket is. Ezeket a riportokat XML formátumban kapjuk, de eszközök mint a dmarcian, Postmark vagy a Google Postmaster Tools érthetőbbé teszik az elemzést.