W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.
Strona informacyjna - Pomoc dla powodzian
Przejdź do strony

Baza wiedzy

Powrót

Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej – nowe obowiązki dla dostawców poczty elektronicznej i instytucji publicznych

25.09.2023

Zespół CERT Polska uruchomił serwis bezpiecznapoczta.cert.pl, który ułatwia dostawcom poczty elektronicznej oraz zainteresowanym instytucjom sprawdzenie poprawności konfiguracji ich serwerów.

Grafika wektorowa: monitor komputera z ikonką wiadomości e-mail, po lewej stronie postać mężczyzny w żółtej bluzie

Przeciwdziałanie phishingowi i spoofingowi

25 sierpnia 2023 r. została opublikowana ustawa o zwalczaniu nadużyć w komunikacji elektronicznej. Regulacje w niej zawarte nakładają na przedsiębiorców telekomunikacyjnych oraz dostawców poczty elektronicznej obowiązki związane ze zwalczaniem nadużyć w komunikacji elektronicznej. 

Nowe obowiązki dla podmiotów publicznych już od 25 września

Od 25 września br., w celu przeciwdziałania spoofingowi i smishingowi, podmioty publiczne są zobowiązane do korzystania z poczty elektronicznej stosującej mechanizmy SPF, DKIM oraz DMARC weryfikujące nadawcę wiadomości:

  • SPF - (ang. Sender Policy Framework) - mechanizm bezpieczeństwa poczty elektronicznej, chroniący przed podszywaniem się pod nadawcę wiadomości e-mail;
  • DMARC -  (ang. Domain-based Message Authentication, Reporting and Conformance) - protokół uwierzytelniania wiadomości e-mail. Został zaprojektowany, aby dać właścicielom domen poczty e-mail możliwość ochrony ich domeny przed nieautoryzowanym użyciem, powszechnie znanym jako fałszowanie wiadomości e-mail;
  • DKIM - (ang. Domain Keys Identified Mail) - metoda uwierzytelniania wiadomości e-mail, która pozwala nadawcom zapobiegać zmianie treści wiadomości podczas procesu dostarczania.

Dodatkowo, dostawca poczty elektronicznej dla podmiotu publicznego musi oferować również możliwość stosowania metod uwierzytelniania wieloskładnikowego. 

Jeżeli instytucja nie ma poprawnie skonfigurowanych mechanizmów podnoszących bezpieczeństwo poczty elektronicznej  naraża się na duże ryzyko. Daje bowiem cyberprzestępcom możliwość podszywania się pod wiadomości dowolnego nadawcy.
 
Dowiedz się: Czym jest spoofing? Jak go rozpoznać i nie dać się nabrać? 

Walczymy z cyberoszustami, którzy wykorzystują w swoich działaniach pocztę elektroniczną

Aby ułatwić podmiotom publicznym weryfikację poprawności konfiguracji zabezpieczeń ich poczty elektronicznej, CERT Polska przygotował narzędzie bezpiecznapoczta.cert.pl

W serwisie https://bezpiecznapoczta.cert.pl można w prosty sposób sprawdzić konfigurację mechanizmów SPF, DKIM i DMAC poprzez podanie domeny lub wysłanie wiadomości na specjalny adres e-mail. 

Ponadto, przy pomocy serwisu można również sprawdzić domeny, które nie służą do wysyłki wiadomości, a które również powinny posiadać poprawną konfigurację SPF i DMARC, aby ograniczyć ryzyko podszywania się pod nie.

Co istotne, używanie mechanizmów SPF, DKIM i DMARC wymaga konfiguracji od administratora poczty, natomiast nie wymaga dodatkowych działań od użytkownika.

Zespół CERT Polska (CSIRT NASK), działa w strukturach Państwowego Instytutu Badawczego NASK i jest jednym z trzech Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego na poziomie krajowym. Do zadań CERT Polska należy monitorowanie cyberprzestrzeni i reagowanie na incydenty oraz rozwój narzędzi, które służą edukacji i profilaktyce w obszarze bezpieczeństwa online. 

Więcej informacji o nowej regulacji znajdziesz w bazie wiedzy o cyberbezpieczeństwie: 
Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej już niedługo wejdzie w życie – sprawdź korzyści jakie niesie to dla Ciebie i Twoich bliskich

{"register":{"columns":[]}}