Bezpecnost
Bezpecny firemni e-mail: Jak nenaletet phishingu
Publikovano 11. dubna 2026 | Doba cteni: 6 minut
Pres 90 procent kybernetickych utoku zacina e-mailem. Phishingove zpravy jsou dnes tak propracovane, ze i zkuseni uzivatele mohou naletit. Jak poznat podvodny e-mail, jak techicky zabezpecit firemni postu a proc je skoleni zamestnancu nenahraditelne?
Co je phishing a jak vypada
Phishing je podvodna technika, kdy utocnik posle e-mail, ktery se tvari jako legitimni zprava od banky, dodavatele, kolegy nebo sluzby, kterou pouzivate. Cilem je presvedcit vas, abyste klikli na odkaz, oteveli prilohu nebo zadali sve pristupove udaje.
Typicke znaky phishingoveho e-mailu:
- Nalehavost: "Vas ucet bude zablokovan do 24 hodin" nebo "Okamzite potvrdte svou identitu".
- Podezrela adresa odesilatele: Na prvni pohled vypada legitimne, ale pri blizsim pohledu obsahuje preklep nebo jinou domenu (napr. firma@security-banka.cz misto firma@banka.cz).
- Odkazy vedouci jinam: Text odkazu rika "www.banka.cz", ale skutecna adresa vede na uplne jiny server.
- Prilohy: Neocekavane prilohy, zvlaste soubory .exe, .zip, .docm nebo .js.
- Gramaticke chyby: I kdyz moderni phishing je casto bezchybny, nekdy se objeví neobvykle formulace nebo spatne diakritiky.
Priklady z praxe
Nejcastejsi phishingove scenare, ktere vidíme u nasich klientu:
- Falosna faktura: E-mail s prilohou "Faktura_2026.pdf.exe" od zdanlive znameho dodavatele.
- Reset hesla: Zprava tvaríci se jako Microsoft 365 s odkazem na prihlaseni, ktery vede na podvodnou stranku.
- CEO fraud: E-mail zdanlive od reditele firmy s zadosti o urgentni prevod penez.
- Doručeni zasilky: Oznameni od "Ceske posty" nebo prepravni sluzby s odkazem na sledovani zasilky.
Technicke zabezpeceni: SPF, DKIM a DMARC
Krome skoleni zamestnancu existuji technicka opatreni, ktera vyrazne snizi pocet phishingovych e-mailu, ktere se dostanou do schranek vasich lidi.
SPF (Sender Policy Framework)
SPF je DNS zaznam, ktery urcuje, ktere servery smeji odesilat e-maily z vasi domeny. Kdyz nekdo posle e-mail tvarici se jako z vasi firmy z neautorizovaneho serveru, prijemce ho muze odmitnout nebo oznacit jako spam.
DKIM (DomainKeys Identified Mail)
DKIM pridava k kazdemé odchozímu e-mailu digitalni podpis. Prijemce si muze overit, ze zprava nebyla po ceste zmenena a ze skutecne pochazi z vasi domeny.
DMARC (Domain-based Message Authentication)
DMARC spojuje SPF a DKIM dohromady a definuje, co se ma stat s e-maily, ktere neprosjí overením. Muzete nastavit, aby se odmitaly, presunovaly do spamu, nebo pouze monitorovaly. DMARC vam take posila reporty o tom, kdo se pokouslí odesilat e-maily z vasi domeny.
Vsechny tri technologie by mela mit nastavena kazda firma. Chrání nejen vas, ale i vase obchodni partnery pred podvodnymi e-maily tvaricimi se jako z vasi adresy.
Skolení zamestnancu: Nejdulezitejsi obrana
Technicka opatreni zachyti velkou cast hrozeb, ale nikdy ne vsechny. Posledni linie obrany je vzdy clovek. Efektivní skolení by melo:
- Byt kratke a prakticke (20-30 minut), ne ganztídenní seminar.
- Obsahovat realne priklady -- ukazte zamestnanicum skutecne phishingove e-maily.
- Opakovat se pravidelne -- jednou za ctvrtletí nebo pul roku.
- Zahrnut simulace -- poslete zkusebni phishing a sledujte, kdo klikne. Bez trestu, ale s edukaci.
- Byt dostupne pro vsechny -- od recepce po management.
Co delat, kdyz nekdo klikne
Dulezite je vytvorit prostredi, kde se zamestnanci nebojí nahlasit chybu. Pokud nekdo klikne na podezrely odkaz nebo otevre prilohu:
- Okamzite nahlasit IT oddeleni nebo IT spravci.
- Nemazat e-mail -- IT ho bude potřebovat pro analyzu.
- Odpojit pocitac od site, pokud se chova podezrele.
- Zmenit hesla ke vsem uctum, ktere mohly byt kompromitovany.
Mit jasny postup hlaseni incidentu je klicove. Cim driv se o problemu dovite, tim mene skody napáchá.
Doplnkova opatreni
- Dvoufaktorove overení (2FA): I kdyz utocnik ziska heslo, bez druheho faktoru se neprihlasi.
- Spam filtr: Kvalitni spam filtr zachyti vetsinu phishingu jeste pred dorucenim.
- Omezeni priloh: Blokujte nebezpecne typy souboru (exe, js, vbs) na urovni e-mailoveho serveru.
- Pravidelné audity: Overujte, ze SPF/DKIM/DMARC zaznamy jsou spravne nastaveny.
Shrnuti
Bezpecny firemni e-mail stoji na trech pilirích: technickem zabezpecení (SPF, DKIM, DMARC), pravidelnem skoleni zamestnancu a jasnem postupu pro hlasení incidentu. Zadny z techto piliru sam o sobě nestaci, ale dohromady tvori ucinou obranu proti phishingu.
Mohlo by vas zajimat
- Ransomware: Jak ochranit firmu -- phishing je nejcastejsi vstupni bod pro ransomware
- IT bezpecnost pro firmy: 10 kroku -- kompletni pruvodce zabezpecenim firmy
- Microsoft 365 pro firmy -- jak spravne nasadit Exchange a zabezpecit firemni postu
Mate nastaveno SPF, DKIM a DMARC?
Overime zabezpeceni vaseho firemniho e-mailu a navrhneme konkretni zlepsení. Kontaktujte nas pro bezplatnou konzultaci.
Poptat audit e-mailoveho zabezpeceni