DataHouse Tools

Narzędzie

Serwery poczty i poczta firmowa

Hub wiedzy o serwerach poczty, DNS poczty, MX, SPF, DKIM, DMARC i bezpiecznej poczcie firmowej.

Hub

Dobrze skonfigurowany serwer poczty to nie tylko skrzynki e-mail. To spójne rekordy DNS, poprawne MX, SPF, DKIM i DMARC, certyfikaty TLS, reputacja adresów IP oraz monitoring dostarczalności. Ten hub zbiera narzędzia i tematy, które pomagają sprawdzić podstawy poczty firmowej przed migracją, zmianą hostingu albo uruchomieniem nowej domeny.

Serwery poczty dla firmy: co warto sprawdzić?

Firmowa poczta w domenie powinna mieć stabilne serwery MX, prawidłowe rekordy TXT, podpisywanie DKIM, politykę DMARC, MTA-STS oraz szyfrowane połączenia dla SMTP, IMAP i webmail. W praktyce wiele problemów z dostarczalnością zaczyna się od drobiazgów: kilku rekordów SPF, braku DMARC, błędnych hostów MX, starych wpisów po migracji albo rekordów DNS, które nie obejmują zewnętrznego systemu wysyłkowego.

Podstawy DNS poczty

MX

Rekord MX wskazuje serwery odbierające pocztę dla domeny. To pierwszy element do sprawdzenia przy uruchomieniu skrzynek, zmianie operatora albo migracji poczty firmowej.

SPF

SPF określa, które serwery i usługi mogą wysyłać pocztę z domeny. Błędy w SPF często powodują problemy z dostarczalnością i weryfikacją nadawcy.

TXT

Rekord TXT przechowuje tekstowe informacje w DNS. W praktyce to właśnie w TXT publikowane są SPF, klucze DKIM, polityki DMARC i wpisy weryfikacyjne usług.

DKIM

DKIM podpisuje wiadomości kluczem domeny. Dzięki temu odbiorca może sprawdzić, czy wiadomość została podpisana przez uprawniony system i nie została zmieniona po wysłaniu.

DMARC

DMARC spina SPF i DKIM z polityką domeny. Pozwala monitorować nadużycia, kierować podejrzane wiadomości do spamu albo odrzucać je po stronie odbiorcy.

MTA-STS

MTA-STS publikuje politykę TLS dla poczty przychodzącej. Pomaga ograniczyć ryzyko degradacji szyfrowania podczas dostarczania wiadomości między serwerami SMTP.

TLS-RPT

TLS-RPT pozwala odbierać raporty o problemach z TLS dla poczty. Ułatwia wykrycie błędów certyfikatów, polityki MTA-STS i hostów MX widzianych przez nadawców.

DNSSEC

DNSSEC podpisuje dane DNS i pozwala resolverom walidować odpowiedzi. Dla poczty pomaga chronić zaufanie do rekordów MX, TXT, SPF, DKIM, DMARC, MTA-STS i TLS-RPT.

DNS poczty

MX wskazuje serwery odbierające pocztę, TXT przechowuje rekordy SPF, DKIM i DMARC, SPF określa uprawnione źródła wysyłki, DKIM podpisuje wiadomości kluczem domeny, DMARC mówi odbiorcom, co zrobić z wiadomością, która nie przejdzie kontroli SPF lub DKIM, MTA-STS opisuje wymagania TLS dla SMTP, TLS-RPT dostarcza raporty o problemach z transportem, a DNSSEC wzmacnia zaufanie do odpowiedzi DNS przez podpisy kryptograficzne strefy.

Bezpieczeństwo i reputacja

Dobra konfiguracja poczty ogranicza podszywanie się pod domenę, pomaga utrzymać reputację nadawcy i ułatwia diagnostykę problemów po stronie odbiorców takich jak Microsoft 365, Google Workspace czy systemy antyspamowe.

Typowe zastosowania

  • Migracja poczty firmowej do nowego operatora albo centrum danych.
  • Uruchomienie skrzynek w domenie firmowej i sprawdzenie rekordów MX.
  • Dodanie zewnętrznego systemu mailingowego do SPF i DMARC.
  • Wdrożenie MTA-STS dla domeny, która wymaga bezpieczniejszego transportu SMTP.
  • Uruchomienie TLS-RPT, żeby odbierać raporty o problemach z transportem SMTP po TLS.
  • Audyt domeny po problemach z dostarczalnością lub spamem.
  • Przygotowanie domeny do bezpiecznej wysyłki faktur, powiadomień i korespondencji B2B.

SecDNS.pl: ochronny DNS DataHouse

SecDNS.pl to usługa DataHouse DNS Protect+ dla firm, serwerów, środowisk RDP, urządzeń mobilnych i łączy internetowych. Działa jako warstwa ochronna DNS: zanim urządzenie lub aplikacja połączy się z domeną, zapytanie DNS może zostać sprawdzone w bazach zagrożeń, odnotowane i użyte jako sygnał potencjalnej infekcji lub niepożądanej aktywności.

Ochrona przez DNS

SECDNS filtruje i monitoruje zapytania DNS, aby ograniczać kontakt ze złośliwymi domenami i wcześniej wykrywać podejrzany ruch z usług, aplikacji, RDP i sieci firmowej.

Adresy resolverów

Podstawowa konfiguracja używa adresów DNS 80.72.32.60 oraz 80.72.32.61. Najwygodniej ustawić je na routerze, firewallu albo jako forwardery na wewnętrznym DNS.

Baza zagrożeń

Usługa korzysta z baz CERT oraz źródeł threat intelligence aktualizowanych kilka razy dziennie. Na stronie SecDNS komunikowana jest baza obejmująca ponad 140 000 wpisów.

Nie zastępuje DNS poczty

SecDNS chroni zapytania DNS klientów i serwerów. Nie zastępuje SPF, DKIM, DMARC, MTA-STS, TLS-RPT ani DNSSEC, ale dobrze uzupełnia bezpieczeństwo infrastruktury firmowej.

Kolejność audytu poczty firmowej

  1. Sprawdź odbiór poczty. Zweryfikuj rekordy MX, priorytety, hosty pocztowe oraz to, czy hosty MX mają poprawne rekordy A lub AAAA.
  2. Sprawdź źródła wysyłki. Upewnij się, że SPF obejmuje operatora poczty, systemy mailingowe, CRM, helpdesk i serwery aplikacyjne.
  3. Sprawdź podpisywanie wiadomości. Zweryfikuj DKIM, selectory i to, czy każdy legalny system wysyłki podpisuje wiadomości.
  4. Sprawdź politykę domeny. Przejrzyj DMARC, raportowanie, tryb egzekwowania oraz zgodność SPF/DKIM z domeną nadawcy.
  5. Sprawdź transport TLS. Zweryfikuj, czy domena ma poprawną politykę MTA-STS, TLS-RPT i czy hosty MX są zgodne z plikiem polityki.
  6. Sprawdź zaufanie DNS. Jeżeli domena używa DNSSEC, zweryfikuj DS u rejestratora, DNSKEY, RRSIG oraz to, czy podpisy nie wygasają.
  7. Wykonaj test całościowy. Uruchom tester poczty domeny, a po migracji powtórz test dla DNS, DMARC i dostarczalności.

Jak czytać wynik testów?

Najpierw warto sprawdzić, czy domena ma rekordy MX i czy hosty MX rozwiązują się w DNS. Następnie należy zweryfikować SPF, DMARC i spójność delegacji. Jeżeli domena korzysta z wielu usług wysyłających pocztę, trzeba upewnić się, że wszystkie są ujęte w jednym rekordzie SPF i że DMARC nie jest tylko pustym wpisem monitorującym.

FAQ: serwery poczty i poczta firmowa

Co jest najważniejsze przy konfiguracji serwera poczty?

Najpierw trzeba poprawnie ustawić rekordy MX, SPF, DKIM i DMARC oraz upewnić się, że serwery pocztowe mają prawidłowy DNS, TLS i stabilną reputację adresów IP.

Czy SPF, DKIM i DMARC zastępują serwer antyspamowy?

Nie. SPF, DKIM i DMARC potwierdzają tożsamość nadawcy i politykę domeny, ale nie zastępują filtrowania antyspamowego, ochrony antywirusowej ani monitoringu kolejki pocztowej.

Kiedy warto zrobić audyt poczty firmowej?

Audyt warto wykonać przed migracją poczty, po zmianie DNS, po dodaniu systemu mailingowego, po problemach z dostarczalnością oraz wtedy, gdy domena nie ma jeszcze DMARC.

Czy poczta firmowa może działać na serwerze dedykowanym lub VPS?

Tak, ale wymaga poprawnej konfiguracji DNS, zabezpieczeń, certyfikatów TLS, reputacji IP i administracji. Dla firm często wygodniejsza jest usługa poczty zarządzanej przez operatora.

Od czego zacząć audyt poczty firmowej?

Najpierw warto sprawdzić MX i DNS odbioru poczty, potem SPF, DKIM i DMARC. Po zmianach należy ponownie uruchomić tester poczty oraz sprawdzić, czy stare wpisy po migracji nie kierują ruchu do poprzedniego operatora.