Nazad na blog

SPF, DKIM, DMARC и пермутације домена: Основе безбедности е-поште које нападачи искориштавају

Е-пошта је и даље најлакши начин уласка у већину компанија — јер нападачи не морају да хакују сервере ако могу убедљиво да се представљају као поуздани пошиљалац. У стварним пробојима безбедности "људски фактор" се изнова и изнова појављује, а фишинг остаје доминантан начин првобитног приступа.

Autor Tim AutoPhish|Objavljeno 2/7/2026
Cover image for SPF, DKIM, DMARC и пермутације домена: Основе безбедности е-поште које нападачи искориштавају

Овај пост објашњава ризове и теорију иза SPF-а, DKIM-а и DMARC-а, и зашто су пермутације домена (домени-лажиранци) тихи појачавач који претвара "један лажирани имејл" у катастрофу за бренд, финансије и крађу акредитива.

Кључни проблем: имејл је направљен за доставу, а не за идентитет

SMTP (протокол који преноси е-пошту) дизајниран је у ери када се поверење подразумевало. По подразумеваном подешавању:

  • Заглавље "From:" је само текст.
  • Сви могу да покушају да пошаљу пошту тврдећи да суceo@yourcompany.com

.

  • Многи поштански системи су историјски прихватали поруке све док су могле да буду достављене.

Савремене одбране додају аутентификацију на нивоу домена на врх SMTP-а. То је оно што раде SPF, DKIM и DMARC.

SPF: "Који сервери могу да шаљу пошту у име мог домена?"

SPF (Sender Policy Framework) је DNS запис који наводи мејл сервере (или сервисе за слање) којима је дозвољено да шаљу е-пошту користећи ваш домен у пољима "From" / "Return-Path".

Како функционише SPF (теорија)

Када примајући мејл сервер прими поруку, он проверава:

  1. Који домен је коришћен у послатосу у коверти (Return-Path).
  2. Да ли тај домен објављује SPF запис у DNS-у?
  3. Да ли је IP адреса повезујућег сервера дозвољена тим SPF записом?

Ако је да → SPF пролази. Ако није → SPF не успева (или меко не успе/неутрално у зависности од политике).

Пример SPF записа

example.com. TXT "v=spf1 ip4:203.0.113.10 include:spf.protection.outlook.com -all"

Уобичајени режими неуспеха SPF-а (када нападачи побеђују)

  • Превише допуштајући:v=spf1 +all

(у суштини "сви могу да шаљу").

  • Софтфејл заувек:~all

без спровођења DMARC-а, што доводи до "shrug" руковања.

  • Недостају инклузије: ваш CRM, систем за продају карата, алат за билтене нису наведени → легитимна пошта не успева.
  • Ограничење DNS претрага: SPF има ограничење од 10 DNS претрага; сложениinclude:

ланци могу ометати испоруку.

  • SPF штити само домен коверте: нападачи и даље могу учинити да видљиво поље "Од" изгледа као да је од вас, осим ако DMARC не спроводи усклађеност.

Закључак: SPF је неопходан, али недовољан за спречавање прерушавања.

DKIM: "Да ли је овај имејл заиста послао неко са приватним кључем домена?"

DKIM (DomainKeys Identified Mail) додаје криптографски потпис на одлазеће поруке. Послалац потписује одабране заглавља (а понекад и садржај) приватним кључем. Прималац преузима јавни кључ из DNS-а и проверава потпис.

Како DKIM функционише (теорија)

  • Сервер за слање поште додаје заглавље као што је: -DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=selector1; ...

  • Прималац упитује DNS: -selector1._domainkey.example.com

→ јавни кључ

  • Ако потпис одговара → DKIM пролази.

Пример DKIM DNS записа

selector1._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A..."

Могућности неуспеха DKIM-а (када нападачи побеђују)

  • Уопште нема DKIM-а: многи домени и даље не потписују пошту доследно.
  • Селективно потписивање: само неки системи потписују (нпр. Microsoft 365 то ради, а ваш маркетиншки алат не).
  • Повређени потписи: преусмеравачи/листе за слање поште могу да измене садржај/заглавља и наруше DKIM.
  • Слаби/стари кључеви: кратки кључеви или кључеви са дугим роком трајања повећавају ризик (уколико буду компромитовани, прерушивање постаје тривијално).
  • Неусаглашен домен: DKIM пролази за други домен, а не за онај који корисници виде у пољу "Од".

Суштина је: DKIM је моћан јер је криптографски, али му је потребна усаглашеност и политика — то је посао DMARC-а.

DMARC: "Шта треба да раде примаоци ако SPF/DKIM не успе — и да ли се подудара са мојим видљивим пољем From?"

DMARC (Domain-based Message Authentication, Reporting & Conformance) повезује све:

  1. Он захтева да SPF и/или DKIM прођу, и
  2. Они морају бити усаглашени са доменом From: који корисници заправо виде.

Затим им говори шта да раде ако аутентификација не успе:
-p=none

(праћење само)
-p=quarantine

(послати сумњиву пошту у спам/отпад)
-p=reject

(блокирати потпуно)

DMARC усклађеност (кључни концепт)

Нападачи воле ову празнину:

  • SPF пролази заrandom-sender.com

  • "From:" показујеceo@yourcompany.com

Без усклађености са DMARC-ом, порука може изгледати као да је од вас чак и ако аутентификовани домен нема никакве везе са вама.

DMARC налаже: аутентификовани идентитет мора да се подудара са видљивим пољем From, а не само да је "нешто прошло негде".

Пример DMARC записа (мониторинг)

_dmarc.example.com. TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; adkim=s; aspf=s"

Пример DMARC записа (проверавано)

_dmarc.example.com. TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-fail@example.com; fo=1; adkim=s; aspf=s"

Модови неуспеха DMARC-а (када нападачи побеђују)

  • **Заглављеност наp=none

заувек**: добијате извештаје, али фалсификоване поруке и даље стижу.

  • Нема адресе за извештавање / игнорисани извештаји: немате увид у то ко злоупотребљава ваш домен.
  • Погрешно подешено усклађивање: легитимне услуге не пролазе и ви поништавате примену правила.
  • Празнине у поддоменима: без политике за поддомене, нападачи фалсификујуanything.yourcompany.com

.

  • Нема спољног надзора: DMARC није "постави и заборави" када се алати мењају.

Суштина је: DMARC је слој за спровођење који претвара SPF/DKIM са "сигнала" у "заштиту".

Шта хакери заправо раде са слабом аутентификацијом е-поште

Ево путева злоупотребе са великим утицајем које SPF/DKIM/DMARC помажу да се спрече:

1) Превара у име извршног директора / преусмеравање фактура (BEC)

Нападачи шаљу имејлове који изгледају као да су од руководства или финансија како би променили IBAN рачуне, одобрили уплате или затражили поклон картице. Чак и једно успешно прерушавање може коштати више од годину дана улагања у безбедносне алате.

2) Прикупљање акредитива

Имејл савршеног изгледа "од ИТ одељења" приказује лажну страницу за пријаву за Microsoft 365. Чим се подаци за пријаву прикупе, нападач може да пређе на праве интерне мејл-кутије и шаље легитимне фишинг поруке из вашег тенанта.

3) Имитирање бренда према купцима/партнерима

Чак и ако је ваш интерни тим обучен, ваши купци нису. Лажне поруке могу да оштете ваш углед, изазову превару и створе ноћне море за корисничку подршку.

Пермутације домена: мултипликатор "домена који личи на ваш"

Чак и уз савршено спровођење DMARC-а, нападачи могу једноставно да региструју другачији домен који личи на ваш и да шаљу поруке са њега.

Примери: -examp1e.com

(1 уместо l) -exarnple.com

(rn уместо m) -example-support.com

-example.com-security.net

-exämple.com

(IDN / хомографски трикови)

  • Другачији TLD:example.co

,example.net

,example.io

Ово се зове доменска пермутација / типсквотинг (и укључује хомографске нападе, комбо-сквотинг, битсквотинг и још много тога).

Зашто су пермутације опасне

  • Корисници читају "облике", а не низове: брз поглед на адресу пошиљодавца је непоуздан.
  • Мобилни клијенти крију детаље: многи интерфејси сакривају или скраћују информације о пошиљодавцу.
  • SPF/DKIM/DMARC неће помоћи: они штите ваш домен, а не сличне.
  • Нападачи могу да изграде "легитимну" инфраструктуру: TLS сертификате, брендиране одредишне странице, реалистичне токове одговора.

Типичан ток напада са сличним доменом

  1. Региструјте домен сличан вашем.
  2. Правилно подесите SPF/DKIM/DMARC (да, хакери то раде).
  3. Пошаљите "хитне" поруке одељењима за финансије, људске ресурсе, клијентима или добављачима.
  4. Прикупите акредитиве или преусмерите уплате.
  5. Ако стигне одговор, наставите разговор (на начин преузимања нити).

Закључак: потребни су вам и праћење аутентификације и детекција домена-дупликата.

Како изгледа "добро": практична основа

Ако желите чист, модеран приступ:

SPF

  • Тачно једна SPF TXT вредност по домену.
  • Укључите само пошиљаоце које заиста користите.
  • Завршите са-all

када потврдите све изворе.

DKIM

  • Обезбедите да свака платформа за слање потписује пошту.
  • Периодично ротирајте кључеве.
  • Користите довољно јаке кључеве (и не поново користите кључеве заувек).

DMARC

  • Почните саp=none

на кратко како бисте посматрали легитимне пошиљаоце.

  • Пређите наp=quarantine

, а затим наp=reject

.

  • Користите строгу усклађеност где год је то могуће (aspf=s; adkim=s

).

  • Размотрите политику поддомена (sp=

) како поддомени не би били пукотина.

Пермутације домена

  • Пратите сличне доменe на уобичајеним ТЛД-овима и очигледним обрасцима типографских грешака.
  • Дајте приоритет онима који:
    • имају MX записе (могу да шаљу/примају е-пошту),
    • хостују фишинг странице,
    • су новорегистровани,
    • подсећају на бренд + "плаћање / пријава / подршка".

Зашто је континуирани надзор важан (чак и ако га "поставите једном")

DNS промене се дешавају из досадних разлога — миграције, промена добављача, "брза решења", истекли домени — а те досадне промене могу тихо да наруше аутентификацију.

Континуирани надзор открива:

  • Поремећаје у SPF провери након што неко дода нови алат

  • Уклоњене или погрешно ротиране DKIM селекторе

  • Смањење DMARC нивоа наp=none

  • Имитациони домен који се изненада појави и почне да шаље имејлове вашем особљу

Зато AutoPhish сада укључује Скенер безбедности имејлова / DNS-а за брзе провере и континуирани надзор са упозорењима за пријављене организације.

Кратка листа за проверу коју можете копирати у свој интерни оперативни приручник

  • SPF постоји, јединствен је и завршава се са-all

(након валидације)

  • Сви извори поште су обухваћени (M365/Google + маркетинг + подршка + трансакциони)
  • DKIM омогућен на свим изворима, кључеви нису застарели
  • DMARC постоји са омогућеним извештавањем
  • DMARC примењен (quarantine

илиreject

) са конфигурисаним усклађивањем

  • Подручја су обухваћена (sp=

или експлицитни DMARC на подручјима)

  • Омогућен је надзор над сличним доменима (печатничке грешке + замена ТЛД-ова + комбинације)
  • Алармирање повезано са стварним каналом (е-пошта/Slack/Teams/систем за тикете)

Проверите домен за неколико секунди (бесплатно)

Желите брзу проверу одмах? Користите AutoPhish DNS Checker за тренутну анализу ваших записа SPF, DKIM и DMARC:

Ако желите континуирану заштиту, можете да подесите и континуирани мониторинг уз претплату на AutoPhish — тако да ћете добијати обавештења када се измене DNS записи или када се открију домени-ликовци.

Завршне мисли

Аутентификација е-поште (SPF/DKIM/DMARC) један је од ретких безбедносних корака који побољшава и заштиту и испоручивост. Додајте праћење сличних домена и покрићете два највећа вектора прерушивања: лажирање вашег домена и лажирање вашег бренда.

Nazad na sve postove

Spremni da ojačate svoju odbranu?

Registrujte se danas i pokrenite svoju prvu simulaciju fišinga za nekoliko minuta.

Počnite da simulirate odmahKontaktirajte nas