Najważniejsza zasada brzmi: konto administracyjne nie powinno być zwykłą skrzynką używaną codziennie. Im większe uprawnienia, tym mniej miejsc i sytuacji, w których konto powinno być używane.
1. Włącz MFA i sprawdź metody odzyskiwania
MFA powinno obejmować konta administracyjne oraz użytkowników poczty. Samo zaznaczenie opcji nie wystarczy — trzeba sprawdzić, jakie metody są dozwolone, kto może je resetować i czy istnieją stare wyjątki.
- wyłącz nieużywane protokoły i stare metody logowania;
- ogranicz słabe metody uwierzytelniania tam, gdzie jest to możliwe;
- sprawdź numery telefonów i adresy odzyskiwania;
- przygotuj awaryjne konto administracyjne z kontrolowanym dostępem.
2. Oddziel role administratorów
Nie każdy administrator potrzebuje pełnych uprawnień. Osobne konta do poczty, DNS, rozliczeń i bezpieczeństwa ograniczają skutki błędu. Konta wysokich uprawnień powinny być używane tylko do administracji.
3. Sprawdź reguły skrzynek i przekierowania
Po przejęciu konta atakujący może tworzyć reguły ukrywające odpowiedzi, przekazywać wiadomości na zewnętrzny adres albo zmieniać dane płatności. Regularnie kontroluj:
- zewnętrzne przekierowania;
- reguły usuwające lub przenoszące wiadomości;
- delegacje i pełny dostęp do skrzynek;
- aplikacje połączone z kontem;
- nietypowe logowania i rejestracje metod MFA.
4. Uporządkuj SPF, DKIM i DMARC
Te mechanizmy pomagają odbiorcom ocenić, czy wiadomość została wysłana przez dozwolony serwer. SPF wskazuje uprawnione źródła, DKIM podpisuje wiadomości, a DMARC określa politykę i raportowanie.
Wdrażanie DMARC najlepiej zacząć od trybu obserwacji, przeanalizować legalne źródła wysyłki, a następnie stopniowo zaostrzać politykę. Błędna konfiguracja może zablokować prawidłowe systemy wysyłające.
5. Ustal procedurę odebrania dostępu
Odejście pracownika powinno uruchamiać listę czynności: blokadę logowania, odebranie sesji, zmianę dostępu do współdzielonych zasobów, zabezpieczenie skrzynki, przekazanie danych i usunięcie z grup.
6. Kontroluj dostawców i konta techniczne
Agencja, informatyk, księgowość i dostawca systemu mogą mieć dostęp do skrzynek lub panelu domeny. Prowadź listę podmiotów, celu dostępu, właściciela konta i terminu przeglądu.
Pytania kontrolne dla właściciela
- Kto może zresetować MFA administratora?
- Czy konto globalnego administratora jest używane do zwykłej poczty?
- Czy znamy wszystkie zewnętrzne przekierowania?
- Kto ma dostęp do DNS i rejestratora domeny?
- Czy konta byłych pracowników są blokowane tego samego dnia?
- Czy DMARC generuje raporty i czy ktoś je sprawdza?
Podsumowanie
Bezpieczeństwo poczty zaczyna się od kontroli tożsamości i uprawnień. Filtry antyspamowe są ważne, ale nie zastąpią MFA, prawidłowego odzyskiwania kont i regularnego przeglądu dostępu.
Materiały źródłowe
Aktualne ostrzeżenia i rekomendacje dla polskich organizacji publikuje CERT Polska: cert.pl. Warto również korzystać z dokumentacji bezpieczeństwa konkretnego dostawcy poczty.