Επιστροφή στο Blog

SPF, DKIM, DMARC & Παραλλαγές Τομέα: Τα βασικά της ασφάλειας email που εκμεταλλεύονται οι επιτιθέμενοι

Το ηλεκτρονικό ταχυδρομείο εξακολουθεί να είναι ο ευκολότερος τρόπος πρόσβασης στις περισσότερες εταιρείες, επειδή οι επιτιθέμενοι δεν χρειάζεται να παραβιάσουν διακομιστές αν μπορούν να υποδυθούν πειστικά έναν αξιόπιστο αποστολέα. Σε πραγματικές παραβιάσεις, το «ανθρώπινο στοιχείο» εμφανίζεται ξανά και ξανά, και το phishing παραμένει μια κυρίαρχη αρχική οδός πρόσβασης.

Από Ομάδα Autophish|Δημοσιεύτηκε στις 2/7/2026
Cover image for SPF, DKIM, DMARC & Παραλλαγές Τομέα: Τα βασικά της ασφάλειας email που εκμεταλλεύονται οι επιτιθέμενοι

Αυτή η ανάρτηση εξηγεί τους κινδύνους και τη θεωρία πίσω από τα SPF, DKIM και DMARC, καθώς και γιατί οι παραλλαγές domain (ομοιόμορφα domain) είναι ο σιωπηλός ενισχυτής που μετατρέπει «ένα πλαστό email» σε καταστροφή για το brand, τα οικονομικά και την κλοπή διαπιστευτηρίων.

Το βασικό πρόβλημα: το email δημιουργήθηκε για την παράδοση, όχι για την ταυτότητα

Το SMTP (το πρωτόκολλο που μεταφέρει τα email) σχεδιάστηκε σε μια εποχή όπου η εμπιστοσύνη ήταν δεδομένη. Από προεπιλογή:

  • Η κεφαλίδα «Από:» είναι απλώς κείμενο.
  • Οποιοσδήποτε μπορεί να προσπαθήσει να στείλει email ισχυριζόμενος ότι είναι οceo@yourcompany.com

.

  • Πολλά συστήματα email ιστορικά δέχονταν μηνύματα αρκεί να μπορούσαν να παραδοθούν.

Οι σύγχρονες άμυνες προσθέτουν αυθεντικοποίηση σε επίπεδο domain πάνω από το SMTP. Αυτό κάνουν τα SPF, DKIM και DMARC.


SPF: «Ποιοι διακομιστές επιτρέπεται να στέλνουν μηνύματα για τον τομέα μου;»

Το SPF (Sender Policy Framework) είναι μια εγγραφή DNS που παραθέτει τους διακομιστές αλληλογραφίας (ή τις υπηρεσίες αποστολής) που επιτρέπεται να στέλνουν email χρησιμοποιώντας τον τομέα σας στο πεδίο αποστολέα / διαδρομή επιστροφής.

Πώς λειτουργεί το SPF (θεωρία)

Όταν ένας διακομιστής λήψης μηνυμάτων λαμβάνει ένα μήνυμα, ελέγχει:

  1. Ποιο domain χρησιμοποιείται στο envelope sender (Return-Path).
  2. Δημοσιεύει αυτό το domain μια εγγραφή SPF στο DNS;
  3. Επιτρέπεται η IP σύνδεσης από αυτή την εγγραφή SPF;

Αν ναι → το SPF περνάει. Αν όχι → το SPF αποτυγχάνει (ή αποτυγχάνει μερικώς/είναι ουδέτερο, ανάλογα με την πολιτική).

Παράδειγμα εγγραφής SPF

example.com. TXT "v=spf1 ip4:203.0.113.10 include:spf.protection.outlook.com -all"

Συνηθισμένοι τρόποι αποτυχίας του SPF (όπου κερδίζουν οι επιτιθέμενοι)

  • Πάρα πολύ επιεικής:v=spf1 +all

(ουσιαστικά «οποιοσδήποτε μπορεί να στείλει»).

  • Αόριστη αποτυχία για πάντα:~all

χωρίς επιβολή DMARC, οδηγώντας σε «αδιάφορη» διαχείριση.

  • Λείπουν συμπεριλήψεις: το CRM, το σύστημα έκδοσης εισιτηρίων, το εργαλείο ενημερωτικών δελτίων σας δεν αναφέρονται → τα νόμιμα μηνύματα αποτυγχάνουν.
  • Όριο αναζήτησης DNS: Το SPF έχει όριο 10 αναζητήσεων DNS· οι πολύπλοκες αλυσίδεςinclude:

μπορούν να διακόψουν την παράδοση.

  • Το SPF προστατεύει μόνο τον τομέα του φακέλου: οι επιτιθέμενοι μπορούν ακόμα να κάνουν το ορατό πεδίο «Από» να μοιάζει με εσάς, εκτός αν το DMARC επιβάλλει ευθυγράμμιση.

Συμπέρασμα: Το SPF είναι απαραίτητο, αλλά δεν αρκεί για να σταματήσει η πλαστογράφηση.


DKIM: «Αυτό το email στάλθηκε πραγματικά από κάποιον με το ιδιωτικό κλειδί του domain;»

Το DKIM (DomainKeys Identified Mail) προσθέτει μια κρυπτογραφική υπογραφή στα εξερχόμενα μηνύματα. Ο αποστολέας υπογράφει επιλεγμένες κεφαλίδες (και μερικές φορές το σώμα) με ένα ιδιωτικό κλειδί. Ο παραλήπτης ανακτά το δημόσιο κλειδί από το DNS και επαληθεύει την υπογραφή.

Πώς λειτουργεί το DKIM (θεωρία)

  • Ο διακομιστής εξερχόμενης αλληλογραφίας προσθέτει μια κεφαλίδα όπως: -DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=selector1; ...

  • Ο παραλήπτης ερωτά το DNS: -selector1._domainkey.example.com

→ δημόσιο κλειδί

  • Εάν η υπογραφή ταιριάζει → το DKIM περνάει.

Παράδειγμα εγγραφής DKIM στο DNS

selector1._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A..."

Τρόποι αποτυχίας του DKIM (όπου οι επιτιθέμενοι κερδίζουν)

  • Καθόλου DKIM: πολλοί τομείς εξακολουθούν να μην υπογράφουν τα μηνύματα με συνέπεια.
  • Επιλεκτική υπογραφή: μόνο ορισμένα συστήματα υπογράφουν (π.χ., το Microsoft 365 το κάνει, το εργαλείο μάρκετινγκ σας δεν το κάνει).
  • Κατεστραμμένες υπογραφές: οι διαβιβαστές/οι λίστες αλληλογραφίας μπορούν να τροποποιήσουν το περιεχόμενο/τις κεφαλίδες και να καταστρέψουν το DKIM.
  • Αδύναμα/παλιά κλειδιά: τα σύντομα κλειδιά ή τα κλειδιά μακράς διάρκειας αυξάνουν τον κίνδυνο (εάν παραβιαστούν, η πλαστοπροσωπία γίνεται παιχνιδάκι).
  • Μη ευθυγραμμισμένος τομέας: το DKIM περνάει για έναν διαφορετικό τομέα από αυτόν που βλέπουν οι χρήστες στο πεδίο «Από».

Συμπέρασμα: το DKIM είναι ισχυρό επειδή είναι κρυπτογραφικό, αλλά χρειάζεται ευθυγράμμιση και πολιτική — αυτή είναι η δουλειά του DMARC.


DMARC: «Τι πρέπει να κάνουν οι παραλήπτες αν το SPF/DKIM αποτύχει — και ταιριάζει με το ορατό μου "Από";»

Το DMARC (Domain-based Message Authentication, Reporting & Conformance) συνδέει τα πάντα:

  1. Απαιτεί το SPF και/ή το DKIM να περάσουν, και
  2. Πρέπει να ευθυγραμμίζονται με τον τομέα Από: που βλέπουν πραγματικά οι χρήστες.

Στη συνέχεια, ενημερώνει τους παραλήπτες τι πρέπει να κάνουν αν η πιστοποίηση αποτύχει:
-p=none

(μόνο παρακολούθηση)
-p=quarantine

(αποστολή ύποπτων μηνυμάτων στο φάκελο spam/junk)
-p=reject

(απόλυτος αποκλεισμός)

Ευθυγράμμιση DMARC (η βασική έννοια)

Οι επιτιθέμενοι λατρεύουν αυτό το κενό:

  • Το SPF περνάει για τοrandom-sender.com

  • Το «Από:» εμφανίζει τοceo@yourcompany.com

Χωρίς ευθυγράμμιση DMARC, ένα μήνυμα μπορεί να φαίνεται ότι προέρχεται από εσάς, ακόμη και αν ο πιστοποιημένος τομέας δεν έχει καμία σχέση.

Το DMARC λέει: η πιστοποιημένη ταυτότητα πρέπει να ταιριάζει με το ορατό «Από», όχι απλώς «κάτι που πέρασε κάπου».

Παράδειγμα εγγραφής DMARC (παρακολούθηση)

_dmarc.example.com. TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; adkim=s; aspf=s"

Παράδειγμα εγγραφής DMARC (επιβολή)

_dmarc.example.com. TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-fail@example.com; fo=1; adkim=s; aspf=s"

Τρόποι αποτυχίας του DMARC (όπου κερδίζουν οι επιτιθέμενοι)

  • **Κολλημένοι στοp=none

για πάντα**: λαμβάνετε αναφορές, αλλά η πλαστογράφηση εξακολουθεί να φτάνει.

  • Χωρίς διεύθυνση αναφοράς / αγνοημένες αναφορές: δεν γνωρίζετε ποιος κάνει κατάχρηση του domain σας.
  • Λανθασμένη διαμόρφωση ευθυγράμμισης: οι νόμιμες υπηρεσίες αποτυγχάνουν και ανακαλείτε την επιβολή.
  • Κενά υποτομέων: χωρίς πολιτική υποτομέων, οι επιτιθέμενοι πλαστογραφούν τοanything.yourcompany.com

.

  • Χωρίς εξωτερική παρακολούθηση: το DMARC δεν είναι «ρυθμίστε και ξεχάστε» όταν αλλάζουν τα εργαλεία.

Συμπέρασμα: Το DMARC είναι το επίπεδο επιβολής που μετατρέπει το SPF/DKIM από «σήματα» σε «προστασία».


Τι κάνουν πραγματικά οι επιτιθέμενοι με την αδύναμη πιστοποίηση email

Ακολουθούν οι διαδρομές κατάχρησης με μεγάλο αντίκτυπο που το SPF/DKIM/DMARC βοηθά να αποτρέψει:

1) Απάτη CEO / ανακατεύθυνση τιμολογίων (BEC)

Οι επιτιθέμενοι στέλνουν email που φαίνονται να προέρχονται από τη διοίκηση ή το τμήμα οικονομικών για να αλλάξουν IBAN, να εγκρίνουν πληρωμές ή να ζητήσουν κάρτες δώρων. Ακόμη και μία επιτυχημένη πλαστογράφηση μπορεί να κοστίσει περισσότερο από ένα χρόνο εργαλείων ασφαλείας.

2) Συλλογή διαπιστευτηρίων

Ένα email που φαίνεται τέλειο «από το τμήμα IT» προωθεί μια ψεύτικη σελίδα σύνδεσης στο Microsoft 365. Τη στιγμή που τα διαπιστευτήρια καταγράφονται, ο εισβολέας μπορεί να μεταβεί σε πραγματικά εσωτερικά γραμματοκιβώτια και να στείλει νόμιμο phishing από το εσωτερικό του tenant σας.

3) Πλαστοπροσωπία της επωνυμίας έναντι πελατών/συνεργατών

Ακόμη και αν η εσωτερική ομάδα σας είναι εκπαιδευμένη, οι πελάτες σας δεν είναι. Τα πλαστά μηνύματα μπορούν να βλάψουν τη φήμη σας, να προκαλέσουν απάτη και να δημιουργήσουν εφιάλτες στην υποστήριξη.


Παραλλαγές domain: ο πολλαπλασιαστής των «ομοιόμορφων domain»

Ακόμη και με την τέλεια εφαρμογή του DMARC, οι επιτιθέμενοι μπορούν απλά να καταχωρήσουν ένα διαφορετικό domain που μοιάζει με το δικό σας και να στέλνουν από αυτό.

Παραδείγματα: -examp1e.com

(1 αντί για l) -exarnple.com

(rn αντί για m) -example-support.com

-example.com-security.net

-exämple.com

(τεχνάσματα IDN / ομογράφων)

  • Διαφορετικό TLD:example.co

,example.net

,example.io

Αυτό ονομάζεται παραλλαγή domain / typosquatting (και περιλαμβάνει επιθέσεις ομογράφων, combo-squatting, bitsquatting και άλλα).

Γιατί οι παραλλαγές είναι επικίνδυνες

  • Οι χρήστες διαβάζουν «σχήματα», όχι συμβολοσειρές: μια γρήγορη ματιά στη διεύθυνση του αποστολέα δεν είναι αξιόπιστη.
  • Οι πελάτες κινητών συσκευών κρύβουν λεπτομέρειες: πολλές διεπαφές συμπτύσσουν ή περικοπούν τις πληροφορίες του αποστολέα.
  • Τα SPF/DKIM/DMARC δεν βοηθούν: αυτά προστατεύουν το δικό σας domain, όχι τα ομοιόμορφα.
  • Οι επιτιθέμενοι μπορούν να δημιουργήσουν «αυθεντική» υποδομή: πιστοποιητικά TLS, επώνυμες σελίδες προορισμού, ρεαλιστικές ροές απαντήσεων.

Τυπική ροή επίθεσης με ομοιόμορφο domain

  1. Καταχωρίστε ένα domain παρόμοιο με το δικό σας.
  2. Ρυθμίστε σωστά τα SPF/DKIM/DMARC (ναι, οι επιτιθέμενοι το κάνουν αυτό).
  3. Στείλτε «επείγοντα» μηνύματα στο τμήμα οικονομικών, στο τμήμα ανθρώπινου δυναμικού, σε πελάτες ή προμηθευτές.
  4. Συλλέξτε διαπιστευτήρια ή ανακατευθύνετε πληρωμές.
  5. Εάν υπάρξει απάντηση, συνεχίστε τη συνομιλία (στυλ «απαγωγής» νήματος).

Συμπέρασμα: χρειάζεστε τόσο παρακολούθηση πιστοποίησης όσο και ανίχνευση ομοίων domain.


Πώς μοιάζει το «σωστό»: μια πρακτική βάση αναφοράς

Αν θέλετε μια καθαρή, σύγχρονη στάση:

SPF

  • Ακριβώς μία εγγραφή SPF TXT ανά domain.
  • Συμπεριλάβετε μόνο τους αποστολείς που χρησιμοποιείτε πραγματικά.
  • Ολοκληρώστε με-all

μόλις επικυρώσετε όλες τις πηγές.

DKIM

  • Βεβαιωθείτε ότι κάθε πλατφόρμα αποστολής υπογράφει τα μηνύματα.
  • Αλλάζετε τα κλειδιά περιοδικά.
  • Χρησιμοποιήστε αρκετά ισχυρά κλειδιά (και μην επαναχρησιμοποιείτε κλειδιά επ' αόριστον).

DMARC

  • Ξεκινήστε μεp=none

για λίγο, για να παρατηρήσετε τους νόμιμους αποστολείς.

  • Προχωρήστε στοp=quarantine

και, στη συνέχεια, στοp=reject

.

  • Χρησιμοποιήστε αυστηρή ευθυγράμμιση όπου είναι δυνατόν (aspf=s; adkim=s

).

  • Εξετάστε την πολιτική υποτομέων (sp=

), ώστε οι υποτομείς να μην αποτελούν παραθυράκι.

Παραλλαγές τομέων

  • Παρακολουθήστε για ομοιότητες σε κοινά TLD και προφανή μοτίβα τυπογραφικών λαθών.
  • Δώστε προτεραιότητα σε εκείνους που:
    • έχουν εγγραφές MX (μπορούν να στέλνουν/λαμβάνουν email),
    • φιλοξενούν σελίδες phishing,
    • είναι πρόσφατα καταχωρημένοι,
    • μοιάζουν με το εμπορικό σήμα + «χρέωση / σύνδεση / υποστήριξη».

Γιατί η συνεχής παρακολούθηση έχει σημασία (ακόμα και αν την «ρυθμίσετε μία φορά»)

Οι αλλαγές στο DNS γίνονται για βαρετούς λόγους —μεταφορές, αλλαγές προμηθευτών, «γρήγορες διορθώσεις», domain που έχουν λήξει— και αυτές οι βαρετές αλλαγές μπορούν να διακόψουν αθόρυβα την πιστοποίηση.

Η συνεχής παρακολούθηση εντοπίζει:

  • Σφάλματα αναζήτησης SPF μετά την προσθήκη ενός νέου εργαλείου
  • Επιλογείς DKIM που έχουν αφαιρεθεί ή εναλλάσσονται λανθασμένα
  • DMARC που έχει υποβαθμιστεί σε «p=none

»

  • Ένα domain που μοιάζει με το δικό σας και εμφανίζεται ξαφνικά, το οποίο αρχίζει να στέλνει email στο προσωπικό σας

Γι' αυτό το λόγο το AutoPhish περιλαμβάνει πλέον ένα Σαρωτή Ασφάλειας Email / DNS για γρήγορους ελέγχους, καθώς και συνεχή παρακολούθηση με ειδοποιήσεις για οργανισμούς που έχουν συνδεθεί.


Γρήγορος κατάλογος ελέγχου που μπορείτε να αντιγράψετε στο εσωτερικό σας εγχειρίδιο

  • Το SPF υπάρχει, είναι μοναδικό και τελειώνει σε-all

(μετά την επικύρωση)

  • Όλες οι πηγές αλληλογραφίας έχουν ληφθεί υπόψη (M365/Google + μάρκετινγκ + υποστήριξη + συναλλαγές)
  • Το DKIM είναι ενεργοποιημένο σε όλες τις πηγές, τα κλειδιά δεν είναι παλιά
  • Υπάρχει DMARC με ενεργοποιημένη την αναφορά
  • Εφαρμόζεται το DMARC (quarantine

ήreject

) με διαμορφωμένη ευθυγράμμιση

  • Καλύπτονται οι υποτομείς (sp=

ή ρητό DMARC στους υποτομείς)

  • Ενεργοποιημένη η παρακολούθηση ομοειδών domain (τυπογραφικά λάθη + ανταλλαγές TLD + συνδυασμοί)
  • Ειδοποιήσεις συνδεδεμένες με ένα πραγματικό κανάλι (email/Slack/Teams/ticketing)

Ελέγξτε τον τομέα σας σε δευτερόλεπτα (δωρεάν)

Θέλετε έναν γρήγορο έλεγχο αξιοπιστίας αυτή τη στιγμή; Χρησιμοποιήστε το AutoPhish DNS Checker για να αναλύσετε αμέσως τις εγγραφές SPF, DKIM και DMARC:

Αν θέλετε συνεχή προστασία, μπορείτε επίσης να ρυθμίσετε συνεχή παρακολούθηση με μια συνδρομή στο AutoPhish—έτσι θα λαμβάνετε ειδοποιήσεις όταν αλλάζουν οι εγγραφές DNS ή όταν εντοπίζονται ομοιόμορφα domain.

Τελικές σκέψεις

Η επαλήθευση ταυτότητας email (SPF/DKIM/DMARC) είναι ένα από τα σπάνια μέτρα ασφαλείας που βελτιώνει τόσο την προστασία όσο και την παραδοσιμότητα. Προσθέστε την παρακολούθηση ομοίων domain και καλύπτετε τους δύο μεγαλύτερους φορείς πλαστοπροσωπίας: την πλαστογράφηση του domain σας και την πλαστογράφηση της επωνυμίας σας.


Είστε έτοιμοι να ενισχύσετε τις άμυνές σας;

Εγγραφείτε σήμερα και ξεκινήστε την πρώτη σας προσομοίωση phishing μέσα σε λίγα λεπτά.