Wystarczy wysłać jeden mail, by sprawdzić zgodność konfiguracji poczty elektronicznej urzędu z wymaganiami nałożonymi na JST przez ustawę o zwalczaniu nadużyć w komunikacji elektronicznej. Jest to możliwe dzięki uruchomionemu przez CERT serwisowi bezpiecznapoczta.cert.pl.
Od 25 września br. podmioty publiczne są zobowiązane do korzystania z poczty elektronicznej wykorzystującej mechanizmy uwierzytelniania SPF, DKIM oraz DMARC. Obowiązek ten nakłada na nie ustawa z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej opublikowana 25 sierpnia br. Zgodnie z regulacją, jeżeli w aktualnej ofercie pocztowej, z której korzysta podmiot publiczny, istnieje możliwość skonfigurowania mechanizmów ochrony poczty lub poczta jest obsługiwana samodzielnie, to podmiot publiczny ma 30 dni, liczone od 25 sierpnia, na wprowadzenie ich w życie.
Kontrolę realizacji nowych obowiązków przez podmioty publiczne będzie sprawować Prezes Urzędu Komunikacji Elektronicznej.
Aby ułatwić urzędom weryfikację poprawności konfiguracji zabezpieczeń ich poczty elektronicznej, CERT Polska uruchomił serwis bezpiecznapoczta.cert.pl.
Narzędzie pozwala w prosty sposób sprawdzić konfigurację mechanizmów SPF, DKIM i DMAC. Jeżeli instytucja nie ma ich poprawnie skonfigurowanych, daje cyberprzestępcom możliwość wysyłania fałszywych wiadomości, w których mogą oni podszyć się pod dowolnego nadawcę z domeny tego podmiotu. Właśnie dlatego niektórzy dostawcy poczty traktują e-maile przychodzące z domen niewykorzystujących tych mechanizmów jako spam.
Korzystanie z narzędzia jest szybkie i łatwe. Wystarczy wejść na stronę bezpiecznapoczta.cert.pl i wybrać jedną z dwóch dostępnych opcji: sprawdź konfigurację wysyłając wiadomość e-mail lub sprawdź konfigurację podając domenę. Przy czym CERT rekomenduje korzystanie z pierwszego sposobu, bo pozwala on na sprawdzenie wszystkich trzech mechanizmów. W przypadku podania domeny, nie ma możliwości sprawdzenia konfiguracji mechanizmu DKIM.
Po wysłaniu testowej wiadomości e-mail na wygenerowany przez serwis adres, system zweryfikuje poprawność konfiguracji mechanizmów SPF, DKIM i DMARC i natychmiast przedstawi raport wskazujący ewentualne błędy w konfiguracji zabezpieczeń poczty.
CERT zwraca również uwagę, że domeny niesłużące do wysyłki wiadomości też powinny posiadać poprawną konfigurację SPF i DMARC, aby ograniczyć ryzyko podszycia się pod nie. Je również można sprawdzić używając narzędzia bezpiecznapoczta.cert.pl.
Ewentualne pytania i wątpliwości dotyczące działania serwisu można przesyłać na adres: bezpiecznapoczta@cert.pl.
mam/