Běžíme v testovacím provozu, prosíme o shovívavost a zpětnou vazbu.
Spoofing a phishing — jak se bránit autentizací e-mailu

Spoofing a phishing — jak se bránit autentizací e-mailu

· 7 min čtení · Tomas Hojgr · email-security
phishing spoofing email-authentication dmarc spf

Co je e-mailový spoofing

E-mailový spoofing je technika, při které útočník padělá adresu odesílatele v e-mailu. Příjemce vidí v poli „From" důvěryhodnou doménu — vaši firmu, banku, dodavatele — přestože zprávu odeslal někdo úplně jiný.

Technicky je to možné, protože protokol SMTP (Simple Mail Transfer Protocol) z roku 1982 neobsahuje žádný mechanismus ověření identity odesílatele. Kdokoli může odeslat e-mail s libovolnou adresou v hlavičce „From". Právě proto vznikly autentizační protokoly SPF, DKIM a DMARC.

Jak útočníci spoofing využívají

Spoofing sám o sobě je pouze technický prostředek — padělání adresy. Phishing je podvodná strategie, která spoofing často využívá k dosažení cíle. V praxi se setkáte s několika typy útoků:

Hromadný phishing

Útočník rozešle tisíce e-mailů, které vypadají jako zprávy od banky nebo poskytovatele služeb. Cílem je vylákat přihlašovací údaje nebo čísla platebních karet. Tyto útoky spoléhají na objem — i malé procento úspěšnosti stačí.

Spear phishing

Cílený útok na konkrétní osobu. Útočník si zjistí jméno, pozici, kolegy a napíše personalizovaný e-mail, který vypadá jako interní komunikace. AI nástroje dnes umožňují generovat přesvědčivé personalizované zprávy ve velkém měřítku.

BEC (Business Email Compromise)

BEC je nejnákladnější forma e-mailového podvodu. Útočník se vydává za vedení firmy, dodavatele nebo obchodního partnera a žádá o provedení platby, změnu bankovního spojení nebo sdílení citlivých dokumentů. Podle FBI způsobily BEC útoky celosvětově ztráty přesahující 55 miliard dolarů.

CEO fraud

Specifická varianta BEC, kdy útočník napodobí e-mail ředitele nebo jednatele a požádá zaměstnance (typicky účetní nebo finanční oddělení) o urgentní převod. Spoofovaná adresa odesílatele dodává žádosti zdánlivou legitimitu.

Proč samotné SPF a DKIM nestačí

SPF a DKIM jsou základní autentizační protokoly, ale každý má svá omezení:

SPF (RFC 7208) ověřuje, zda odesílající server má oprávnění odesílat e-maily za danou doménu. Kontroluje ale adresu v SMTP obálce (envelope sender), nikoli adresu v hlavičce „From", kterou vidí příjemce. Útočník může mít platný SPF pro svou doménu a přitom podvrhnout jinou adresu v hlavičce „From".

DKIM (RFC 6376) přidává k e-mailu kryptografický podpis, který ověřuje integritu zprávy a doménu podepisující strany. Ale stejně jako SPF — podpis nemusí odpovídat doméně v hlavičce „From".

Obě technologie ověřují, ale ani jedna neříká příjemci, co udělat, když ověření selže. E-mail může projít SPF kontrolou pro jednu doménu, mít DKIM podpis od jiné domény a v hlavičce „From" uvádět doménu třetí. Bez DMARC je to zcela legitimní stav.

Jak DMARC uzavírá mezeru

DMARC (RFC 7489) řeší přesně tento problém. Přidává dvě klíčové věci:

Alignment — propojení autentizace s hlavičkou From

DMARC vyžaduje, aby doména, která prošla SPF nebo DKIM kontrolou, odpovídala doméně v hlavičce „From" (identifier alignment). Tím eliminuje situaci, kdy e-mail projde technickou kontrolou, ale adresa odesílatele je podvržená.

Politika — instrukce pro příjemce

Vlastník domény publikuje v DNS záznam, který říká přijímacím serverům, co dělat s neautentizovanými e-maily:

Politika Účinek
p=none Pouze monitorování — e-maily se doručují
p=quarantine Neautentizované e-maily jdou do spamu
p=reject Neautentizované e-maily se odmítnou na úrovni SMTP

Příklad DMARC záznamu s maximální ochranou:

_dmarc.firma.cz TXT "v=DMARC1; p=reject; rua=mailto:firma.cz@rua.spfmonitor.com"

Adresa firma.cz@rua.spfmonitor.com směřuje DMARC reporty do SPF Monitoru, který je automaticky zpracuje a vizualizuje. Nemusíte ručně parsovat XML soubory.

Tři vrstvy obrany v praxi

Kompletní ochrana proti spoofingu vyžaduje všechny tři protokoly. Každý pokrývá jinou část problému:

Vrstva Protokol Co chrání
1 SPF Ověřuje oprávněnost odesílajícího serveru
2 DKIM Ověřuje integritu zprávy a původ podpisu
3 DMARC Vynucuje alignment, nastavuje politiku, poskytuje reporting

Bez SPF nemáte kontrolu nad tím, kdo odesílá e-maily z vaší domény. Bez DKIM nemůžete prokázat, že zpráva nebyla cestou změněna. Bez DMARC nemáte nástroj, jak přimět přijímající servery k odmítnutí podvržených e-mailů.

Co autentizace nevyřeší

E-mailová autentizace má jasné hranice. Je důležité je znát, abyste na nich mohli stavět další vrstvy obrany:

Look-alike domény

DMARC chrání pouze vaši vlastní doménu. Útočník může zaregistrovat firrna.cz nebo firma-cz.com a odesílat e-maily s platnou autentizací. Proti tomuto typu útoku pomáhá monitorování registrací podobných domén a vzdělávání zaměstnanců.

Kompromitovaný účet

Pokud útočník získá přístup k legitimnímu e-mailovému účtu (ukradeným heslem, phishingem), odesílá e-maily přímo z oprávněného serveru. SPF, DKIM i DMARC kontroly projdou. Ochranou je vícefaktorová autentizace (MFA) a monitoring neobvyklého chování.

Display name spoofing

Útočník nastaví zobrazované jméno na „Jan Novák jan@firma.cz", přestože skutečná adresa je jiná. Méně pozorní příjemci si nevšimnou rozdílu. DMARC tento typ podvodu neřeší — kontroluje doménu v hlavičce „From", nikoli zobrazované jméno.

Jak začít — praktický postup

Pokud ještě nemáte kompletní e-mailovou autentizaci, postupujte v těchto krocích:

  1. Zkontrolujte aktuální stavanalyzujte svou doménu a zjistěte, co chybí.
  2. Nastavte SPF — zahrňte všechny servery a služby, které odesílají e-maily za vaši doménu. Postup najdete v článku Jak vytvořit SPF záznam.
  3. Aktivujte DKIM — pro každou odesílací službu. Postup najdete v článku Jak nastavit DKIM.
  4. Nasaďte DMARC — začněte s p=none a reporty směřujte do SPF Monitoru. Postup najdete v článku Jak nastavit DMARC.
  5. Analyzujte reporty — po několika týdnech sběru dat vyhodnoťte DMARC reporty a identifikujte všechny legitimní odesílatele.
  6. Zpřísněte politiku — postupně přejděte na p=quarantine a následně p=reject.

Požadavky velkých poskytovatelů

Google, Yahoo i Microsoft v letech 2024–2025 zpřísnili požadavky na e-mailovou autentizaci:

  • Všichni odesílatelé musí mít platný SPF nebo DKIM.
  • Hromadní odesílatelé (nad 5 000 zpráv denně) musí mít SPF, DKIM i DMARC současně.
  • Microsoft od května 2025 vyžaduje plnou autentizaci pro odesílatele na domény Outlook.com, Hotmail.com a Live.com — e-maily bez platného SPF, DKIM a DMARC mohou být odmítnuty.

Bez správně nastavené autentizace riskujete nejen bezpečnostní incident, ale i problémy s doručitelností běžných firemních e-mailů.

Autentizace jako základ e-mailové bezpečnosti

Spoofing a phishing patří mezi nejrozšířenější kybernetické hrozby. E-mailová autentizace pomocí SPF, DKIM a DMARC je nejúčinnější technická obrana, kterou má vlastník domény k dispozici. Není to jednorázové nastavení — vyžaduje průběžný monitoring, vyhodnocování reportů a reakci na změny.

Zkontrolujte zabezpečení své domény a zjistěte, jak jste na tom s ochranou proti spoofingu.

Číst v jiném jazyce: English

Související články

Co je DMARC a jak funguje
dmarc

Co je DMARC a jak funguje

DMARC propojuje SPF a DKIM a přidává politiku pro neautentizované e-maily. Zjistěte, jak funguje, jak ho nasadit a proč ho vyžadují Google i Yahoo.

· 8 min čtení
Co je SPF záznam a proč ho potřebujete
spf

Co je SPF záznam a proč ho potřebujete

SPF záznam chrání vaši doménu před zneužitím k rozesílání podvodných e-mailů. Zjistěte, jak funguje, jak ho nastavit a proč je nezbytný pro…

· 6 min čtení
Co je DKIM a jak funguje
dkim

Co je DKIM a jak funguje

DKIM ověřuje integritu a původ e-mailů digitálním podpisem. Zjistěte, jak funguje, jak ho nastavit a proč je nezbytný pro DMARC a doručitelnost.

· 8 min čtení