Rekomendacje Google i CERT Polska
#gmail #dkim #bezpieczeństwo #spf #google #cert #poczta #dmarc #certyfikatStan bezpieczeństwa na rok 2023
W ciągu ostatnich kilku miesięcy zaszły dość poważne zmiany dla właścicieli stron, sklepów internetowych oraz innych aplikacji publicznych działających w sieci internet (dalej zwanymi stronami www).
Większość tych zmian jest naturalnym procesem ewolucji technologicznej, jednak są i takie które zostały wymuszoną przez agresywną postawę obcych służb wobec także naszego kraju i ich obywateli.
Absolutne minimum
W chwili obecnej strona www powinna być wyposażona w szereg zabezpieczeń:
- odpowiednią konfigurację DNS, w skład których wchodzi SPF, DKIM i DMARC
- certyfikat SSL, czyli stroną zabezpieczoną kłódką, która gwarantuje bezpieczeństwo przesyłanych danych
- aktualne oprogramowanie strony www
Gmail blokuje nadawców
Wraz z listopadem 2022 roku na oficjalnych stronach Google, został opublikowany komunikat z którego jasno wynika, że firma Google będzie blokowała nadawców nie posiadających odpowiednich ustawień bezpieczeństwa w zakresie SPF, DKIM i DMARC.
Źródło dot. powyższej informacji: https://support.google.com/a/answer/174124?hl=pl
O ile z naszych obserwacji wynika, że dostarczenie wiadomości do użytkowników gmail bez SPF i DKIM jest już praktycznie nie możliwe, to zgodnie z informacjami Google, za chwilę ten los podzielą także właściciele domen bez wdrożonej konfiguracji DMARC.
Za działaniami Google, pójdą zapewne wkrótce inni duzi dostawcy poczty także na Polskim rynku (Onet, Wp, Interia, O2 itp), co sumarycznie może powodować problemy z dostarczaniem nawet do kilkudziesięciu procent całej poczty przez firmy, które nie posiadają opisanych zabezpieczeń.
CERT Polska wzywa do konfiguracji DMARC
SPF, DKIM i DMARC to nie wymysł Google, to zabezpieczenia które utrudniają atakującym podszywanie się pod nasze (Twoje i moje) wiadomości email.
Od kilku tygodni CERT (naukowy zespół odpowiedzialny za cyberbezpieczeństwo naszego kraju z ramienia Rządu RP) prowadzi wzmożone skanowanie sieci pod kątem złych konfiguracji domen, wysyła monity i prosi o pilne wdrożenie sugerowanych zabezpieczeń (właśnie tych, za których brak “kara” Gmail) z naciskiem na DMARC.
Agresywna postawa naszego Rosyjskiego sąsiada także wobec Polski jest bardzo mocno widoczna także czy przede wszystkim w sieci. Dlatego apelujemy do Państwa o wdrożenie wszelkich niezbędnych zabezpieczeń na Państwa stronach internetowych o które apelują najwięksi dostawcy i nasze instytucje rządowe.
Zespołowi CERT Polska zostały powierzone obowiązki CSIRT NASK wynikające z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. Poz. 1560), dlatego nie należy traktować powyższych zaleceń z przymrożeniem oka, bowiem wpływają one realnie na bezpieczeństwo całej infrastruktury krajowej i każdej naszej firmy z osobna.
Brak opisanych zabezpieczeń, dbałości o posiadanie aktualnego “Wordpressa” czy innej aplikacji, może skutkować poważnymi konsekwencjami dla prowadzonej działalności, a w przypadku większych incydentów, także skutki prawne.
SPF, DKIM, DMARC, Certyfikat SSL
SPF, DKIM, DMARC mogą Państwo samodzielnie skonfigurować jeśli posiadają wiedzę, czas i ochotę lub zlecić to nam, poprzez zamówienie usług bezpośrednio ze strony:
- Zlecanie konfiguracji SPF Zamawiam SPF
- Zlecanie konfiguracji DKIM Zamawiam DKIM
- Zlecenie konfiguracji DMARC Zamawiam DMARC
Certyfikat SSL można zamówić na poniższej stronie (w ramach usługi jest także zawarta instalacja i konfiguracjego SSL)
- Certyfikat SSL Zamawiam SSL