MX
Rekord MX wskazuje serwery odbierające pocztę dla domeny. To pierwszy element do sprawdzenia przy uruchomieniu skrzynek, zmianie operatora albo migracji poczty firmowej.
Narzędzie
Hub wiedzy o serwerach poczty, DNS poczty, MX, SPF, DKIM, DMARC i bezpiecznej poczcie firmowej.
Dobrze skonfigurowany serwer poczty to nie tylko skrzynki e-mail. To spójne rekordy DNS, poprawne MX, SPF, DKIM i DMARC, certyfikaty TLS, reputacja adresów IP oraz monitoring dostarczalności. Ten hub zbiera narzędzia i tematy, które pomagają sprawdzić podstawy poczty firmowej przed migracją, zmianą hostingu albo uruchomieniem nowej domeny.
Firmowa poczta w domenie powinna mieć stabilne serwery MX, prawidłowe rekordy TXT, podpisywanie DKIM, politykę DMARC, MTA-STS oraz szyfrowane połączenia dla SMTP, IMAP i webmail. W praktyce wiele problemów z dostarczalnością zaczyna się od drobiazgów: kilku rekordów SPF, braku DMARC, błędnych hostów MX, starych wpisów po migracji albo rekordów DNS, które nie obejmują zewnętrznego systemu wysyłkowego.
Rekord MX wskazuje serwery odbierające pocztę dla domeny. To pierwszy element do sprawdzenia przy uruchomieniu skrzynek, zmianie operatora albo migracji poczty firmowej.
SPF określa, które serwery i usługi mogą wysyłać pocztę z domeny. Błędy w SPF często powodują problemy z dostarczalnością i weryfikacją nadawcy.
Rekord TXT przechowuje tekstowe informacje w DNS. W praktyce to właśnie w TXT publikowane są SPF, klucze DKIM, polityki DMARC i wpisy weryfikacyjne usług.
DKIM podpisuje wiadomości kluczem domeny. Dzięki temu odbiorca może sprawdzić, czy wiadomość została podpisana przez uprawniony system i nie została zmieniona po wysłaniu.
DMARC spina SPF i DKIM z polityką domeny. Pozwala monitorować nadużycia, kierować podejrzane wiadomości do spamu albo odrzucać je po stronie odbiorcy.
MTA-STS publikuje politykę TLS dla poczty przychodzącej. Pomaga ograniczyć ryzyko degradacji szyfrowania podczas dostarczania wiadomości między serwerami SMTP.
TLS-RPT pozwala odbierać raporty o problemach z TLS dla poczty. Ułatwia wykrycie błędów certyfikatów, polityki MTA-STS i hostów MX widzianych przez nadawców.
DNSSEC podpisuje dane DNS i pozwala resolverom walidować odpowiedzi. Dla poczty pomaga chronić zaufanie do rekordów MX, TXT, SPF, DKIM, DMARC, MTA-STS i TLS-RPT.
MX wskazuje serwery odbierające pocztę, TXT przechowuje rekordy SPF, DKIM i DMARC, SPF określa uprawnione źródła wysyłki, DKIM podpisuje wiadomości kluczem domeny, DMARC mówi odbiorcom, co zrobić z wiadomością, która nie przejdzie kontroli SPF lub DKIM, MTA-STS opisuje wymagania TLS dla SMTP, TLS-RPT dostarcza raporty o problemach z transportem, a DNSSEC wzmacnia zaufanie do odpowiedzi DNS przez podpisy kryptograficzne strefy.
Dobra konfiguracja poczty ogranicza podszywanie się pod domenę, pomaga utrzymać reputację nadawcy i ułatwia diagnostykę problemów po stronie odbiorców takich jak Microsoft 365, Google Workspace czy systemy antyspamowe.
SecDNS.pl to usługa DataHouse DNS Protect+ dla firm, serwerów, środowisk RDP, urządzeń mobilnych i łączy internetowych. Działa jako warstwa ochronna DNS: zanim urządzenie lub aplikacja połączy się z domeną, zapytanie DNS może zostać sprawdzone w bazach zagrożeń, odnotowane i użyte jako sygnał potencjalnej infekcji lub niepożądanej aktywności.
SECDNS filtruje i monitoruje zapytania DNS, aby ograniczać kontakt ze złośliwymi domenami i wcześniej wykrywać podejrzany ruch z usług, aplikacji, RDP i sieci firmowej.
Podstawowa konfiguracja używa adresów DNS 80.72.32.60 oraz 80.72.32.61. Najwygodniej ustawić je na routerze, firewallu albo jako forwardery na wewnętrznym DNS.
Usługa korzysta z baz CERT oraz źródeł threat intelligence aktualizowanych kilka razy dziennie. Na stronie SecDNS komunikowana jest baza obejmująca ponad 140 000 wpisów.
SecDNS chroni zapytania DNS klientów i serwerów. Nie zastępuje SPF, DKIM, DMARC, MTA-STS, TLS-RPT ani DNSSEC, ale dobrze uzupełnia bezpieczeństwo infrastruktury firmowej.
Najpierw warto sprawdzić, czy domena ma rekordy MX i czy hosty MX rozwiązują się w DNS. Następnie należy zweryfikować SPF, DMARC i spójność delegacji. Jeżeli domena korzysta z wielu usług wysyłających pocztę, trzeba upewnić się, że wszystkie są ujęte w jednym rekordzie SPF i że DMARC nie jest tylko pustym wpisem monitorującym.
Najpierw trzeba poprawnie ustawić rekordy MX, SPF, DKIM i DMARC oraz upewnić się, że serwery pocztowe mają prawidłowy DNS, TLS i stabilną reputację adresów IP.
Nie. SPF, DKIM i DMARC potwierdzają tożsamość nadawcy i politykę domeny, ale nie zastępują filtrowania antyspamowego, ochrony antywirusowej ani monitoringu kolejki pocztowej.
Audyt warto wykonać przed migracją poczty, po zmianie DNS, po dodaniu systemu mailingowego, po problemach z dostarczalnością oraz wtedy, gdy domena nie ma jeszcze DMARC.
Tak, ale wymaga poprawnej konfiguracji DNS, zabezpieczeń, certyfikatów TLS, reputacji IP i administracji. Dla firm często wygodniejsza jest usługa poczty zarządzanej przez operatora.
Najpierw warto sprawdzić MX i DNS odbioru poczty, potem SPF, DKIM i DMARC. Po zmianach należy ponownie uruchomić tester poczty oraz sprawdzić, czy stare wpisy po migracji nie kierują ruchu do poprzedniego operatora.