Najważniejsza zasada brzmi: konto administracyjne nie powinno być zwykłą skrzynką używaną codziennie. Im większe uprawnienia, tym mniej miejsc i sytuacji, w których konto powinno być używane.

1. Włącz MFA i sprawdź metody odzyskiwania

MFA powinno obejmować konta administracyjne oraz użytkowników poczty. Samo zaznaczenie opcji nie wystarczy — trzeba sprawdzić, jakie metody są dozwolone, kto może je resetować i czy istnieją stare wyjątki.

  • wyłącz nieużywane protokoły i stare metody logowania;
  • ogranicz słabe metody uwierzytelniania tam, gdzie jest to możliwe;
  • sprawdź numery telefonów i adresy odzyskiwania;
  • przygotuj awaryjne konto administracyjne z kontrolowanym dostępem.

2. Oddziel role administratorów

Nie każdy administrator potrzebuje pełnych uprawnień. Osobne konta do poczty, DNS, rozliczeń i bezpieczeństwa ograniczają skutki błędu. Konta wysokich uprawnień powinny być używane tylko do administracji.

3. Sprawdź reguły skrzynek i przekierowania

Po przejęciu konta atakujący może tworzyć reguły ukrywające odpowiedzi, przekazywać wiadomości na zewnętrzny adres albo zmieniać dane płatności. Regularnie kontroluj:

  • zewnętrzne przekierowania;
  • reguły usuwające lub przenoszące wiadomości;
  • delegacje i pełny dostęp do skrzynek;
  • aplikacje połączone z kontem;
  • nietypowe logowania i rejestracje metod MFA.

4. Uporządkuj SPF, DKIM i DMARC

Te mechanizmy pomagają odbiorcom ocenić, czy wiadomość została wysłana przez dozwolony serwer. SPF wskazuje uprawnione źródła, DKIM podpisuje wiadomości, a DMARC określa politykę i raportowanie.

Wdrażanie DMARC najlepiej zacząć od trybu obserwacji, przeanalizować legalne źródła wysyłki, a następnie stopniowo zaostrzać politykę. Błędna konfiguracja może zablokować prawidłowe systemy wysyłające.

5. Ustal procedurę odebrania dostępu

Odejście pracownika powinno uruchamiać listę czynności: blokadę logowania, odebranie sesji, zmianę dostępu do współdzielonych zasobów, zabezpieczenie skrzynki, przekazanie danych i usunięcie z grup.

6. Kontroluj dostawców i konta techniczne

Agencja, informatyk, księgowość i dostawca systemu mogą mieć dostęp do skrzynek lub panelu domeny. Prowadź listę podmiotów, celu dostępu, właściciela konta i terminu przeglądu.

Pytania kontrolne dla właściciela

  1. Kto może zresetować MFA administratora?
  2. Czy konto globalnego administratora jest używane do zwykłej poczty?
  3. Czy znamy wszystkie zewnętrzne przekierowania?
  4. Kto ma dostęp do DNS i rejestratora domeny?
  5. Czy konta byłych pracowników są blokowane tego samego dnia?
  6. Czy DMARC generuje raporty i czy ktoś je sprawdza?

Podsumowanie

Bezpieczeństwo poczty zaczyna się od kontroli tożsamości i uprawnień. Filtry antyspamowe są ważne, ale nie zastąpią MFA, prawidłowego odzyskiwania kont i regularnego przeglądu dostępu.

Materiały źródłowe

Aktualne ostrzeżenia i rekomendacje dla polskich organizacji publikuje CERT Polska: cert.pl. Warto również korzystać z dokumentacji bezpieczeństwa konkretnego dostawcy poczty.