27 cze 2026
Prywatność

Szyfrowanie poczty e-mail: wytyczne ministra dla bezpieczeństwa

Minister cyfryzacji Krzysztof Gawkowski ostrzega przed nieszyfrowaną pocztą e-mail.

Redakcja · 27 czerwca 2026
Person holding tablet with VPN connection screen for secure internet browsing.
Fot. Dan Nelson / Pexels · Pexels License

Wysyłanie nieszyfrowanej poczty e-mail narażać może organizacje na przechwycenie korespondencji i ataki typu Man in the Middle — ostrzega minister cyfryzacji Krzysztof Gawkowski, pełnomocnik rządu ds. cyberbezpieczeństwa. Jego rekomendacje dotyczą przede wszystkim podmiotów Krajowego Systemu Cyberbezpieczeństwa (KSC), ale zasady szyfrowania e-maila są uniwersalne i powinny być wdrażane w każdej organizacji dbającej o ochronę danych.

Czym jest atak Man in the Middle i dlaczego szyfrowanie e-mail go zatrzymuje?

Atak Man in the Middle (MitM) polega na nieautoryzowanym pośredniczeniu w komunikacji między dwoma podmiotami. Atakujący, pozycjonując się między nadawcą a odbiorcą, może podsłuchiwać wiadomości, przechwytywać dane i manipulować ich zawartością. W przypadku poczty e-mail wysyłanej bez szyfrowania korespondencja przesyłana jest w postaci zwykłego tekstu — każdy, kto ma dostęp do kanału transmisji (np. przez złamanie sieci Wi-Fi lub kontrolę ruchu sieciowego), może ją odczytać.

Prawidłowo skonfigurowany protokół TLS (Transport Layer Security) szyfruje całą komunikację między serwerem wysyłającym a serwerem odbierającym, uniemożliwiając atakującemu dostęp do treści wiadomości. To pierwsza linia obrony przed atakami MitM w poczcie elektronicznej.

Które algorytmy kryptograficzne należy wyłączyć?

Minister cyfryzacji zaleca podmiotom KSC wyłączenie przestarzałych i słabych algorytmów kryptograficznych, które mogą być podatne na współczesne ataki. Lista obejmuje:

  • RC4 — algorytm strumieniowy, którego słabości zostały ujawnione już w 2015 roku
  • DES — standard szyfrowania z lat 70., całkowicie niewystarczający dla dzisiejszych standardów
  • 3DES — ulepszona wersja DES, ale wciąż zbyt słaba
  • Wszystkie wersje SSL — protokół poprzedzający TLS, zawierający liczne podatności
  • TLS 1.0 i TLS 1.1 — starsze wersje protokołu TLS z istotnymi lukami bezpieczeństwa

Wyłączenie tych algorytmów zmusza serwery pocztowe do negocjowania bezpieczniejszych wersji TLS (minimum TLS 1.2, najlepiej TLS 1.3) i nowoczesnych algorytmów szyfrowania.

Konfiguracja serwerów pocztowych — weryfikacja certyfikatów TLS

Sam wybór silnego algorytmu nie wystarczy — serwer musi być prawidłowo skonfigurowany do weryfikacji certyfikatów TLS. Oznacza to, że system wysyłający pocztę powinien sprawdzać:

  • Ważność certyfikatu — czy nie wygasł
  • Zaufanie certyfikatu — czy został wystawiony przez zaufany urząd certyfikacji (CA)
  • Zgodność z nazwą hosta — czy nazwa w certyfikacie odpowiada nazwie serwera, z którym się łączy

Bez tej weryfikacji możliwy jest atak polegający na podstawieniu certyfikatu — atakujący mógłby zainstalować swój certyfikat i przechwycić komunikację, mimo że szyfrowanie byłoby włączone.

Rekordy PTR w DNS — ocena wiarygodności nadawcy

Rekordy PTR (Pointer Records) w usłudze DNS to odwrotne wyszukiwanie DNS — mapują adresy IP na nazwy hostów. W kontekście poczty e-mail rekordy PTR pomagają filtrom antyspamowym ocenić wiarygodność nadawcy.

Kiedy serwer pocztowy odbiera wiadomość, sprawdza adres IP nadawcy i porównuje go z rekordami PTR. Jeśli rekord PTR jest prawidłowo ustawiony i zgadza się z nazwą serwera pocztowego, zwiększa to zaufanie do wiadomości. Prawidłowa konfiguracja rekordów PTR zmniejsza ryzyko, że prawidłowa korespondencja organizacji zostanie oznaczona jako spam.

Certyfikaty z listy zaufanych dostawców

Minister zaleca wykorzystanie certyfikatów wystawionych przez zaufane urzędy certyfikacji. Komisja Europejska prowadzi listę zaufanych dostawców certyfikatów — certyfikaty z tej listy są uznawane za bezpieczne w całej Unii Europejskiej. Używanie certyfikatów od sprawdzonych CA zmniejsza ryzyko, że wiadomości będą odrzucane przez systemy odbiorców.

Co to oznacza dla organizacji i domowych użytkowników?

Rekomendacje ministra cyfryzacji dotyczą formalnie podmiotów Krajowego Systemu Cyberbezpieczeństwa, ale zasady szyfrowania poczty e-mail powinny być standardem dla każdej organizacji. Wdrożenie tych praktyk wymaga:

  1. Audytu bieżącej konfiguracji — sprawdzenia, które algorytmy są aktualnie używane
  2. Wyłączenia starych protokołów — usunięcia obsługi SSL i TLS 1.0/1.1
  3. Weryfikacji certyfikatów — upewnienia się, że serwer sprawdza ważność i zaufanie certyfikatów
  4. Ustawienia rekordów PTR — konfiguracji odwrotnego wyszukiwania DNS
  5. Testowania — sprawdzenia, czy zmiana konfiguracji nie przerywa komunikacji z partnerami

Podmioty KSC muszą spełnić te wymagania ze względu na regulację NIS2 (Dyrektywa o bezpieczeństwie sieci i informacji 2), która weszła w życie i zaostrzył standardy cyberbezpieczeństwa dla organizacji krytycznych. Jednak każda organizacja, niezależnie od tego, czy podlega NIS2, powinna traktować szyfrowanie poczty e-mail jako priorytet — to jeden z najtańszych i najskuteczniejszych sposobów ochrony poufności korespondencji.

Rekomendacja ministra cyfryzacji to sygnał, że polska administracja traktuje bezpieczeństwo poczty elektronicznej poważnie. Organizacje, które już wdrożyły te praktyki, mogą spać spokojnie — te, które jeszcze tego nie zrobiły, powinny zacząć działać niezwłocznie.

Najczęstsze pytania

Co to jest atak Man in the Middle i jak chroni przed nim szyfrowanie e-mail?

Atak Man in the Middle (MitM) polega na nieautoryzowanym pośredniczeniu w komunikacji między dwoma podmiotami — umożliwia podsłuchiwanie, przechwytywanie i manipulację danymi. Prawidłowo skonfigurowany protokół TLS szyfruje wiadomości e-mail, uniemożliwiając atakującemu odczytanie lub zmianę zawartości korespondencji.

Które algorytmy kryptograficzne powinienem wyłączyć na serwerze pocztowym?

Minister cyfryzacji zaleca wyłączenie: RC4, DES, 3DES, wszystkich wersji SSL oraz TLS 1.0 i 1.1. Są to przestarzałe i słabe algorytmy, które nie zapewniają wystarczającej ochrony przed współczesnymi atakami.

Do czego służą rekordy PTR w DNS dla poczty e-mail?

Rekordy PTR (Pointer records) w usłudze DNS pomagają filtrom antyspamowym ocenić wiarygodność nadawcy. Prawidłowe ustawienie zmniejsza ryzyko, że prawidłowa korespondencja zostanie oznaczona jako spam.

Jakie certyfikaty TLS powinienem używać do szyfrowania poczty?

Należy wykorzystywać certyfikaty wystawione przez zaufane urzędy certyfikacji (CA), na przykład z listy zaufanych dostawców prowadzonej przez Komisję Europejską. Serwer pocztowy musi być skonfigurowany do weryfikacji ich ważności, zaufania i zgodności z nazwą hosta.

Czy te wytyczne dotyczą tylko dużych firm czy również małych organizacji?

Rekomendacje ministra cyfryzacji dotyczą podmiotów Krajowego Systemu Cyberbezpieczeństwa (KSC), które muszą spełnić zaostrzane wymagania ze względu na regulację NIS2. Jednak praktyki szyfrowania poczty e-mail są ważne dla bezpieczeństwa każdej organizacji, niezależnie od wielkości.

Na podstawie: CRN Polska. Tekst opracowany redakcyjnie.