Preskoči na sadržaj
Vi-Di.me
SIGURNOST11 min čitanja

DMARC, SPF, DKIM i BIMI: Kompletni vodič za zaštitu domene — Vi-Di.me x PowerDMARC

Vaš email može biti falsificiran bez pristupa Vašem sustavu. DMARC, SPF i DKIM smanjuju taj rizik, a PowerDMARC daje monitoring, izvještaje, hosted SPF/DKIM/MTA-STS/BIMI i upravljanje pošiljateljima.

28. svibnja 2026.|Vi-Di.me Security Division|Ažurirano: 11. lipnja 2026.
PowerDMARC
OVLAŠTENI PARTNER

PowerDMARC

Ovlašteni MSP partner — Vi-Di.me

TL;DR / KRATKO

DMARC (+ SPF + DKIM) smanjuje rizik spoofinga domene i pomaže isporučivosti. Google od 2024. traži SPF ili DKIM za sve pošiljatelje prema Gmailu, a bulk senderi trebaju SPF, DKIM i DMARC. DMARC ne rješava kompromitirane račune, inbound phishing, malware, backup ni korisničke dozvole, zato ga spajamo s M365/Google sigurnošću, ATP-om, backupom i edukacijama.

SADRŽAJ

  1. 01Email spoofing: Napadač šalje email 'od' Vas — i kupci plaćaju
  2. 02SPF: Koji serveri smiju slati mail u Vaše ime
  3. 03DKIM: Digitalni potpis koji dokazuje autentičnost svakog emaila
  4. 04DMARC: Što napraviti s emailom koji ne prođe provjeru
  5. 05Što DMARC ne rješava — i zašto treba širi sigurnosni sloj
  6. 06BIMI: Vizualni trust signal za podržane inboxe
  7. 07MTA-STS i TLS-RPT: Enkripcija prijenosa emaila
  8. 08Google sender pravila od 2024. — što to znači za Vas
  9. 09PowerDMARC: Što je platforma i zašto je Vi-Di.me odabrao
  10. 10Što dobivate s Vi-Di.me x PowerDMARC implementacijom
  11. 11Cijene i investicija — u kontekstu rizika
01

Email spoofing: Napadač šalje email 'od' Vas i kupci plaćaju

Zamislite ovaj scenarij: Vaš poslovni partner prima email koji izgleda točno kao da dolazi s Vaše adrese — logo, potpis, isti font. Samo što je broj računa drugačiji. Transfer novca ide u džep napadaču.

Ovo se zove Business Email Compromise (BEC). U jednoj varijanti napadač ne mora imati pristup Vašem mailboxu: može lažirati prikaz pošiljatelja ili koristiti domenu bez uredne autentikacije.

FBI IC3 izvještaj za 2025. navodi 24.768 Business Email Compromise prijava i više od 3,046 milijardi USD prijavljenih prilagođenih gubitaka u SAD-u. To nije hrvatska statistika, ali jasno pokazuje zašto je lažno predstavljanje kroz email poslovni rizik, ne samo IT problem.

Vatrozid i antivirus sami ne rješavaju ovaj scenarij jer se napad događa na sloju identiteta pošiljatelja. Temeljna kontrola je email autentikacija domene: SPF, DKIM i DMARC, uz procese provjere plaćanja.

02

SPF: Koji serveri smiju slati mail u Vaše ime

SPF (Sender Policy Framework) je DNS TXT zapis koji govori email serverima širom svijeta: "Emailovi od moje domene smiju dolaziti samo s ovih IP adresa."

Primjer SPF zapisa: v=spf1 include:_spf.google.com include:sendgrid.net ~all

Što to znači? Kad napadač pokuša poslati email koji izgleda kao da dolazi od [email protected] s nekog random servera, primateljev mail server provjeri Vaš SPF zapis i vidi: "Ovaj server nije autoriziran." Email odlazi u spam ili se odbija.

Greške u SPF postavi koje vidimo svaki tjedan:

  • Previše DNS lookup-a (limit je 10 — prekoračenje uzrokuje SPF fail za legitimne emailove)
  • Korištenje +all umjesto ~all ili -all (otvoreni SPF = kao da ga nema)
  • Zaboravljeni sendgrid/mailchimp/newsletter servisi koji šalju u Vaše ime
03

DKIM: Digitalni potpis koji dokazuje autentičnost svakog emaila

DKIM (DomainKeys Identified Mail) dodaje kriptografski potpis svakom emailu koji šaljete. Primateljev server može verificirati taj potpis — i time potvrditi da email nije promijenjen u prijenosu.

Tehnički gledano: Vaš mail server potpisuje email privatnim ključem. Javni ključ je objavljen u Vašem DNS-u. Primateljev server dekriptira potpis javnim ključem i uspoređuje hash emaila.

Zašto je DKIM važan uz SPF? Jer SPF provjerava samo odakle email dolazi, ali ne i je li potpisani sadržaj izmijenjen. DKIM pomaže potvrditi integritet potpisanih dijelova poruke. Ako se potpisani dio poruke izmijeni u prijenosu, DKIM verifikacija ne uspije.

Rotacija DKIM ključeva treba biti periodična i usklađena s politikom organizacije. PowerDMARC platforma pomaže pratiti selektore, zapise i promjene kroz vrijeme.

04

DMARC: Što napraviti s emailom koji ne prođe provjeru

DMARC (Domain-based Message Authentication, Reporting & Conformance) je nadogradnja na SPF i DKIM. Govori primateljevim serverima: "Ako email ne prođe SPF ili DKIM provjeru, evo što učini s njim."

DMARC ima tri politike:

  1. p=none — Monitoring mod. Email se isporučuje, ali Vi dobijate izvještaj. Dobar početak — nikad završno stanje.
  2. p=quarantine — Sumnjivi emailovi idu u spam folder. Siguran korak naprijed.
  3. p=reject — najstroža DMARC enforcement politika za poruke koje ne prolaze autentikaciju i alignment. Cilj za domene nakon urednog monitoringa.

Kritična greška koju često vidimo: domena ima DMARC na p=none, ali nitko ne čita izvještaje i ne planira prelazak prema enforcementu. Tada DMARC samo promatra problem, ali ne daje primatelju strogu instrukciju što napraviti s neautentificiranom porukom.

PowerDMARC platforma Vam prikazuje tko sve šalje emailove u Vaše ime (legitimni i nelegitimni pošiljatelji) i vodi Vas kroz postupno zatezanje politike uz manji rizik od blokiranja legitimnih emailova.

05

Što DMARC ne rješava i zašto treba širi sigurnosni sloj

DMARC je važan, ali nije cijela email sigurnost. On štiti Vašu domenu od direct-domain spoofinga kada poruke ne prolaze SPF/DKIM autentikaciju i alignment, ali ne pokriva sve napade.

  • Kompromitirani račun - ako napadač stvarno uđe u mailbox zaposlenika, poruke mogu biti legitimno poslane.
  • Lookalike domene - napadač može registrirati sličnu domenu koja izgleda uvjerljivo.
  • Inbound phishing - DMARC Vaše domene ne blokira phishing koji dolazi s tuđih domena.
  • Malware i opasni linkovi - trebaju filtering, ATP, sandboxing i URL zaštita.
  • Backup i oporavak - DMARC ne vraća obrisane podatke i ne rješava ransomware posljedice.
  • Dozvole i korisničke odluke - SharePoint, OneDrive, Teams i ljudski faktor traže dodatne kontrole i edukaciju.

Zato Vi-Di.me DMARC tretira kao temelj domenske vjerodostojnosti, a ne kao zamjenu za Microsoft 365/Google Workspace sigurnost, Hornetsecurity zaštitu, backup i edukacije.

06

BIMI: Vizualni trust signal za podržane inboxe

BIMI (Brand Indicators for Message Identification) je standard koji omogućuje prikaz verificiranog logotipa uz email kod podržanih pružatelja pošte, ovisno o njihovim pravilima i dodatnim certifikacijskim uvjetima.

Preduvjet je uredna email autentikacija, uključujući strožu DMARC politiku poput p=quarantine ili p=reject. Bez toga BIMI provedba nema smisla.

Što BIMI donosi?

  • Vizualni trust signal — primatelj lakše prepoznaje legitimnu komunikaciju branda
  • Priprema za VMC/CMC certifikate — ovisno o inbox provideru i statusu žiga/logotipa
  • Disciplina domene — BIMI uvodi red u SPF, DKIM, DMARC i reputaciju pošiljatelja

Vi-Di.me može implementirati BIMI kao dio šireg paketa — uključujući pripremu SVG logotipa po BIMI specifikaciji i DNS zapis, gdje su ispunjeni preduvjeti inbox providera.

07

MTA-STS i TLS-RPT: Enkripcija prijenosa emaila

SPF, DKIM i DMARC štite autentičnost emaila. Ali što sa prijenosom? Ako transportna politika nije jasno definirana, mail serveri mogu završiti na slabijem ili neispravnom TLS putu.

MTA-STS (Mail Transfer Agent Strict Transport Security) objavljuje politiku kojom primateljska domena traži sigurniji TLS transport za dolazni email. Kada pošiljateljev mail server poštuje MTA-STS, poruke se ne bi trebale isporučivati preko nesigurne veze.

TLS-RPT (TLS Reporting) šalje Vam redovne izvještaje o tome tko pokušava slati emailove bez enkripcije — korisno za otkrivanje infrastrukturnih problema ili pokušaja downgrade napada.

ZKS/NIS2 okvir predviđa primjerene tehničke i organizacijske mjere upravljanja rizicima, uključujući sigurnu komunikaciju i kriptografske politike gdje je primjereno. MTA-STS i TLS-RPT su konkretne tehničke kontrole za sigurniji email transport, ali nisu samostalni dokaz usklađenosti.

08

Google sender pravila od 2024. što to znači za Vas

Od veljače 2024. godine, Google primjenjuje jasna pravila za pošiljatelje koji šalju više od 5.000 poruka dnevno prema Gmail adresama:

  1. Obavezna SPF i DKIM autentifikacija za domenu
  2. Obavezni DMARC zapis (makar p=none)
  3. One-click unsubscribe za marketinške i pretplatničke poruke
  4. Stopa spam prijava ispod 0.3%

Za sve pošiljatelje Google traži barem SPF ili DKIM, a za veće pošiljatelje SPF, DKIM i DMARC. Poruke koje ne ispunjavaju uvjete mogu završiti u spamu, biti privremeno odgođene ili odbijene. Za tvrtke koje koriste email marketing, newslettere ili transakcijske emailove, ovo je operativni zahtjev, ne samo sigurnosna preporuka.

Čak i za manje pošiljatelje, dobra autentikacija pomaže reputaciji domene i smanjuje rizik da legitimne poruke završe u spamu ili budu sumnjive primatelju.

09

PowerDMARC: Što je platforma i zašto je Vi-Di.me odabrao

PowerDMARC je DMARC SaaS platforma za monitoring, izvještavanje i upravljanu autentikaciju domene. Vi-Di.me ju koristi kao MSP partner — što znači da upravljamo DMARC zaštitom za više klijenata s jednog centraliziranog panela.

Ključne karakteristike platforme:

  • DMARC aggregate izvještaji — čitljiv prikaz izvora koji šalju email u ime Vaše domene
  • Hosted SPF, DKIM, MTA-STS i BIMI — upravljanje zapisima i smanjenje DNS kompleksnosti
  • Threat intelligence i alerting — praćenje sumnjivih izvora i anomalija
  • Pregledna nadzorna ploča — vidite tko šalje email u Vaše ime, odakle i s kojeg servera
  • Hosted DNS — upravljanje SPF/DKIM/DMARC zapisima bez IT odjela
  • BIMI, MTA-STS, TLS-RPT — sve iz jednog sučelja
10

Što dobivate s Vi-Di.me x PowerDMARC implementacijom

Kada Vi-Di.me implementira PowerDMARC zaštitu za Vašu domenu, dobivate:

  1. Besplatni audit sigurnosti domene — provjera Vašeg SPF, DKIM, DMARC, BIMI i MTA-STS statusa
  2. Analiza i implementacija — SPF cleanup i optimizacija, DKIM setup, DMARC aktivacija u monitoring modu (opseg ovisi o kompleksnosti sustava)
  3. Postupno zatezanje politike (4-8 tjedana) — praćenje izvještaja, korekcija legitimnih pošiljatelja, prijelaz na p=quarantine → p=reject
  4. BIMI priprema — SVG logo priprema, BIMI DNS zapis i VMC/CMC konzultacija gdje ima smisla
  5. MTA-STS + TLS-RPT — konfiguracija i monitoring
  6. 12 mjeseci monitoringa — mjesečni izvještaj, upozorenja na anomalije i godišnja revizija
  7. Izvještaj o stanju domene — dokument za klijente i partnere
11

Cijene i investicija u kontekstu rizika

Vi-Di.me implementacija PowerDMARC zaštite:

  • Implementacija (jednokratno): od 149€ (1 domena) | 249€ (do 5 domena)
  • Monitoring (godišnje): od 299€/god po domeni (mjesečni izvještaji, upozorenja, pristup nadzornoj ploči)
  • BIMI priprema (jednokratno): 199€ (uključuje SVG pripremu)

Usporedba s rizicima:

  • FBI IC3 2025 navodi više od 3,046 mlrd. USD prijavljenih BEC gubitaka u SAD-u
  • Regulatorni i ugovorni rizik ako se incident ne prepozna, ne dokumentira ili ne prijavi kad je to potrebno
  • Gubitak povjerenja klijenata nakon email spoofing incidenta: neprocjenjiv

Investicija je mala u odnosu na trošak incidenta, ali stvarni povrat ovisi o veličini tvrtke, broju domena, volumenu emaila i vrijednosti poslovnih procesa koji ovise o emailu.

Zatražite besplatni audit domene i email sustava →

FAQ

Je li DMARC dovoljan da zaustavi phishing?

Ne. DMARC smanjuje spoofing Vaše domene, ali ne zaustavlja sve inbound phishing poruke, kompromitirane račune, malware, lažne domene sličnog naziva ili loše korisničke odluke.

Koliko traje DMARC implementacija?

Početni zapis može se postaviti brzo, ali sigurna implementacija obično traži tjedne monitoringa, čišćenja legitimnih pošiljatelja i postupnog prelaska prema quarantine ili reject politici.

Što Vi-Di.me radi kao PowerDMARC partner?

Radimo audit, konfiguraciju, monitoring, hosted SPF/DKIM/MTA-STS/BIMI gdje ima smisla, interpretaciju izvještaja, mjesečni report i upozorenja na nove ili sumnjive izvore slanja.

IZVORI I PROVJERE

PowerDMARC DMARC Analyzer and managed servicesPowerDMARCEmail sender guidelinesGoogle Workspace Admin HelpEmail authentication in cloud organizationsMicrosoft Learn2025 Internet Crime ReportFBI IC3
DMARCSPFDKIMBIMIMTA-STSemail autentifikacijaPowerDMARCNIS2sigurnost domene
BESPLATNO

Trebate konkretnu pomoć?

Besplatna analiza Vašeg biznisa — pogledamo web, SEO poziciju i konkurenciju. Dobijete izvještaj s konkretnim preporukama. 48 sati, bez obveze.

Besplatna analizaWhatsApp

POVEZANI ČLANCI

SIGURNOST

DMARC nakon p=none: MTA-STS, TLS-RPT i BIMI za tvrtke koje žele ozbiljno povjerenje domene

SPF, DKIM i DMARC su početak. Ozbiljne domene nakon monitoringa uvode enforcement, MTA-STS, TLS-RPT i BIMI pripremu za bolju sigurnost transporta i prepoznatljivost branda.

Čitaj više
SIGURNOST

BEC prijevara i lažni računi: kako napadači mijenjaju IBAN bez hakiranja Vaše tvrtke

Lažni račun, promjena IBAN-a i poruka direktora često ne traže malware. Dovoljan je uvjerljiv email, slab proces plaćanja i domena bez jasne autentikacije.

Čitaj više
SIGURNOST

Google Workspace sigurnost: SPF, DKIM, DMARC, TLS i reputacija domene

Google Workspace olakšava email, ali ne rješava automatski sve DNS i reputacijske rizike. SPF, DKIM, DMARC, TLS i treći pošiljatelji moraju biti posloženi.

Čitaj više
Natrag na blog