Blog / Email sigurnost

DMARC, SPF, DKIM: Zašto email lažno predstavljanje i dalje funkcioniše u 2025.

2025-04-28 · 8 min čitanja

Svaki dan se šalje 3,4 milijardi lažnih emailova. Najveći deo ih ne stigne do inbox-a zahvaljujući SPF, DKIM i DMARC zaglavljima. Ali kad stigne — posledice su ozbiljne. I većina kompanija misli da je zaštićena, a nije.

Šta rade SPF, DKIM i DMARC

Ova tri mehanizma rade zajedno da potvrde identitet pošiljaoca emaila:

  • SPF (Sender Policy Framework) — DNS zapis koji navodi koji serveri smeju da šalju email u ime vašeg domena. Ako email stigne sa servera koji nije na listi, primatelj zna da je sumnjiv.
  • DKIM (DomainKeys Identified Mail) — Digitalni potpis koji garantuje da sadržaj emaila nije promenjen tokom transporta. Svaki odlazni email se potpisuje privatnim ključem, a primatelj verifikuje javnim ključem iz DNS-a.
  • DMARC (Domain-based Message Authentication) — Politika koja govori primatelju šta da radi ako SPF ili DKIM ne prođu. Takođe omogućava prijavljivanje o neuspešnim pokušajima, pa vidite ko lažno predstavlja vaš domen.

Zašto ovo često ne radi

U našim analizama, nailazimo na iste probleme iznova:

  1. SPF dozvoljava previše+all ili previše IP adresa znači da gotovo svako može slati u vaše ime
  2. DKIM ključ je javno dostupan — Pogrešna konfiguracija može otkriti sam ključ koji treba da ostane tajan
  3. DMARC je podešen na p=none — Ovo znači "samo prijavi, ne radi ništa". Lažni emailovi i dalje stižu do inbox-a
  4. DMARC uopšte ne postoji — Bez DMARC-a, primatelj ne zna šta da radi sa sumnjivim emailovima
  5. Subdomeni nisu pokriveni — Glavni domen ima SPF, ali mail.kompanija.rs nema ništa

Kako napadač iskoristi lošu konfiguraciju

Scenario je jednostavan:

  1. Napadač registruje besplatan email server (npr. na VPS-u za 5$ mesecno)
  2. Šalje email sa From: direktor@vasa-kompanija.rs
  3. Vaš domen nema DMARC sa p=reject — email prolazi filtre
  4. Zaposleni vidi email od "direktora" i klikne na link

Ceo napad košta napadača manje od kafe, a može dovesti do kompromitovanja celokupne mreže.

Kako proveriti svoju konfiguraciju

Evo tri brze provere koje možete uraditi sami:

  • SPF: dig TXT vasa-kompanija.rs — tražite red koji počinje sa v=spf1
  • DKIM: dig TXT default._domainkey.vasa-kompanija.rs — trebalo bi da postoji
  • DMARC: dig TXT _dmarc.vasa-kompanija.rs — trebalo bi da sadrži p=reject ili p=quarantine

Ako bilo koji od ovih nedostaje, vaša kompanija je ranjiva na email lažno predstavljanje.

Šta preporučujemo

Idealna konfiguracija za većinu kompanija:

  • SPF: Striktna lista dozvoljenih servera, bez +all
  • DKIM: Podešen za sve odlazne servere, ključevi rotirani svake godine
  • DMARC: p=reject sa RUA izveštajima na monitoring email
  • Subdomeni: Svaki aktivni subdomen ima svoj SPF i DMARC

Implementacija je tehnički jednostavna — zahteva samo promenu DNS zapisa. Ali efekat je značajan: lažni emailovi sa vašeg domena više neće stizati do inbox-a vaših klijenata i partnera.