Przejdź do treści
Filar I / Ład dokumentacyjny04.03.2026 · 3 min

SPF, DKIM i DMARC w JST: minimalny standard bezpieczeństwa poczty i domeny

SPF, DKIM i DMARC w JST ograniczają podszywanie się pod domenę urzędu, ale wymagają listy nadawców, właściciela procesu i regularnego przeglądu raportów.

Ilustracja: konfiguracja domeny pocztowej SPF, DKIM i DMARC w JST.

SPF, DKIM i DMARC w JST to podstawowy standard ochrony domeny i poczty urzędowej. Dobrze ustawione rekordy DNS ograniczają podszywanie się pod urząd, poprawiają dostarczalność i ułatwiają wykrywanie nadużyć, zanim problem zamieni się w incydent reputacyjny albo finansowy.

Szerszy kontekst wdrożenia zobaczysz na stronie O systemie. Jeżeli chcesz przejść od teorii do gotowych artefaktów, naturalnym punktem wejścia jest moduł Bezpieczeństwo poczty i domeny.

Co oznaczają SPF, DKIM i DMARC

  • SPF wskazuje, które serwery mogą wysyłać pocztę w imieniu domeny.
  • DKIM podpisuje wiadomość kryptograficznie, dzięki czemu odbiorca może sprawdzić integralność.
  • DMARC łączy wynik SPF i DKIM z polityką organizacji oraz raportowaniem o próbach podszywania.

Największy błąd to myślenie, że wystarczy wstawić jeden rekord i temat zniknie. W praktyce trzeba też wiedzieć, jakie usługi wysyłają pocztę, kto utrzymuje DNS i kto analizuje raporty.

Minimalny standard konfiguracji domeny JST

  1. Aktualna lista wszystkich nadawców: główna poczta, formularze, systemy transakcyjne, newslettery i usługi zewnętrzne.
  2. SPF mieszczący się w limitach DNS i obejmujący realnych nadawców.
  3. DKIM włączony dla głównego nadawcy i objęty polityką rotacji kluczy.
  4. DMARC uruchomiony najpierw w trybie monitoringu, potem zaostrzany do quarantine albo reject.
  5. Jednoznaczny właściciel procesu: DNS, poczta, analiza raportów i decyzje o zmianach.

Ten obszar warto połączyć z modułem Konta uprzywilejowane i techniczne, bo bez kontroli dostępu administracyjnego do domeny i systemu pocztowego sama konfiguracja DNS nie daje pełnego efektu.

Najczęstsze błędy w JST

  • DMARC ustawiony na p=none bez odbioru i przeglądu raportów.
  • SPF rozrośnięty do tylu wpisów, że przestaje działać zgodnie ze specyfikacją.
  • DKIM włączony tylko dla części nadawców albo z przestarzałymi kluczami.
  • Brak listy usług, które wysyłają wiadomości z domeny urzędu.

Właśnie dlatego temat poczty warto traktować jako element fundamentu, a nie osobny detal techniczny. Dobrym uzupełnieniem jest artykuł jak ustawić priorytety cyberbezpieczeństwa w samorządzie.

Jak wdrożyć bez improwizacji

Najpierw zbierz wszystkie systemy i skrzynki wysyłające pocztę. Potem uporządkuj dostęp administracyjny, dopiero następnie zmieniaj rekordy DNS. Taka kolejność minimalizuje ryzyko, że po wdrożeniu coś przestanie wysyłać lub zacznie być blokowane bez monitoringu.

Jeśli potrzebujesz dowodów działania i dokumentacji bazowej, połącz temat poczty z modułem Podstawy KRI.

Checklista 30 minut

  • Czy domena ma aktywny rekord DMARC?
  • Czy wiadomo, gdzie trafiają raporty DMARC i kto je sprawdza?
  • Czy SPF obejmuje wszystkich nadawców i nie przekracza limitów?
  • Czy DKIM podpisuje wiadomości z głównej skrzynki urzędu?
  • Czy istnieje lista usług wysyłających maile z domeny JST?

FAQ: poczta i domena w JST

Czy samo wdrożenie DMARC rozwiązuje problem phishingu?

Nie. DMARC istotnie ogranicza spoofing domeny, ale nie zastąpi kontroli dostępów, szkoleń pracowników i procesu reakcji na incydent.

Od jakiego poziomu polityki DMARC zacząć?

Najbezpieczniej zacząć od monitoringu i analizy raportów, a dopiero po potwierdzeniu wszystkich legalnych nadawców przechodzić do ostrzejszej polityki.

Jaki moduł wdrożeniowy najlepiej łączy się z tym tematem?

Najmocniejsze połączenie to Bezpieczeństwo poczty i domeny oraz Konta uprzywilejowane i techniczne. Jeżeli potrzebujesz też reakcji na zgłoszenia phishingu, dołącz Obsługę incydentów cyberbezpieczeństwa.

Powiązane artykuły i kroki

Po tym tekście warto przeczytać artykuł Incydent w JST: pierwsze 30 minut bez improwizacji oraz przejrzeć FAQ, jeśli porządkujesz temat zakupu modułu przez JST.