SKLEP ONLINE
POMOC
ZADZWOŃ DO NAS
ZADZWOŃ DO NAS
Bezpieczeństwo ITMicrosoft 365

Checklista zabezpieczenia poczty firmowej

16.04.2026By admin0 Comments

Poczta firmowa to jedno z najważniejszych narzędzi w biznesie. To przez nią przechodzą faktury, ustalenia z klientami, dokumenty, linki do resetu haseł i komunikacja wewnętrzna. Dlatego dobrze zabezpieczona skrzynka mailowa nie jest dodatkiem, tylko podstawą bezpieczeństwa firmy. Microsoft, Google i CISA rekomendują podejście warstwowe, obejmujące MFA, ochronę antyphishingową, zabezpieczenie kont administracyjnych, monitoring oraz jasne procedury dla użytkowników.

1. Włącz MFA dla wszystkich użytkowników

To absolutna podstawa. Microsoft wskazuje, że MFA poprawia bezpieczeństwo kont, a CISA podkreśla, że MFA to skuteczna dodatkowa warstwa ochrony i że konta z MFA są znacząco mniej narażone na przejęcie. CISA zaleca też, aby firmy dążyły do stosowania metod odpornych na phishing.

Najlepiej nie ograniczać MFA tylko do administratorów. Jeśli przejęte zostanie zwykłe konto pracownika, napastnik może wykorzystać je do podszywania się pod firmę, wyłudzeń albo dalszego ataku na organizację.

2. Zadbaj o silne i unikalne hasła

CISA zaleca używanie silnych, unikalnych haseł oraz korzystanie z menedżera haseł, ponieważ trudno bezpiecznie zapamiętać wiele różnych danych logowania. To szczególnie ważne w firmie, gdzie jedno hasło nie powinno otwierać drogi do wielu usług jednocześnie.

W praktyce oznacza to:

  • nie używaj tego samego hasła w różnych systemach,
  • nie zapisuj haseł w Excelu ani notatniku,
  • korzystaj z menedżera haseł w zespole,
  • regularnie porządkuj konta i dostępy.

3. Ogranicz liczbę kont z uprawnieniami administracyjnymi

Google w checklistach bezpieczeństwa dla firm zaleca utrzymywanie zapasowych kont administratorów oraz uporządkowanie dostępu uprzywilejowanego. To ważne, bo konto administratora poczty jest jednym z najbardziej wrażliwych elementów całego środowiska.

Dobra praktyka jest prosta:

  • nie używaj konta administratora do codziennej pracy,
  • ogranicz liczbę administratorów do minimum,
  • włącz MFA dla wszystkich kont administracyjnych,
  • regularnie sprawdzaj, kto ma uprawnienia i czy nadal są potrzebne.

4. Włącz ochronę antyphishingową i antymalware

Microsoft opisuje polityki antyphishingowe jako ważny element ochrony poczty w Microsoft 365. Warto jednak doprecyzować, że część ustawień jest dostępna dla wszystkich chmurowych skrzynek, a bardziej zaawansowane funkcje, takie jak rozszerzona ochrona przed impersonation, są związane z Defender for Office 365. Microsoft rekomenduje też korzystanie z presetów Standard lub Strict zamiast pozostawania wyłącznie przy ustawieniach domyślnych.

Google dla małych firm również zaleca dodatkowe zabezpieczenia Gmaila, w tym wzmocnione skanowanie wiadomości, załączników, linków i obrazów zewnętrznych, aby lepiej wychwytywać phishing i złośliwe treści jeszcze przed dostarczeniem wiadomości.

5. Sprawdź ochronę przed podszywaniem i spoofingiem

Samo filtrowanie spamu nie wystarcza. Microsoft wyraźnie rozróżnia ochronę anty spoofingową dostępną dla wszystkich chmurowych skrzynek od bardziej zaawansowanych ustawień impersonation protection w Defender for Office 365. To ważne, bo wiele ataków wygląda jak wiadomość od prezesa, księgowości, klienta lub znanego kontrahenta.

W praktyce dobrze zabezpieczona poczta firmowa powinna utrudniać sytuacje, w których:

  • ktoś podszywa się pod adres nadawcy,
  • pracownik dostaje mail wyglądający jak od zarządu,
  • klient otrzymuje wiadomość rzekomo wysłaną z Twojej domeny.

6. Regularnie sprawdzaj reguły skrzynki i przekierowania

To bardzo często pomijany punkt. Po przejęciu skrzynki napastnicy nierzadko tworzą reguły automatycznego przekierowania wiadomości, oznaczania ich jako przeczytane, ukrywania odpowiedzi albo przesyłania korespondencji poza firmę. Microsoft w materiale o reagowaniu na przejęte konto wprost zaleca sprawdzanie inbox rules, forwarding rules i zmian konfiguracyjnych po kompromitacji.

Dobrą praktyką jest okresowy przegląd:

  • reguł skrzynki,
  • automatycznych przekierowań,
  • odpowiedzi automatycznych,
  • delegacji i aliasów,
  • aplikacji zewnętrznych z dostępem do poczty.

7. Monitoruj logowania i nietypową aktywność

Google w checklistach bezpieczeństwa rozdziela etap konfiguracji od etapu monitorowania, dochodzenia i reagowania. To ważne, bo sama konfiguracja nie wystarczy, jeśli nikt nie sprawdza, co dzieje się z kontami. Microsoft również wskazuje na potrzebę stałego przeglądu bezpieczeństwa i reagowania na incydenty.

W praktyce dla MŚP warto monitorować przede wszystkim:

  • logowania z nietypowych lokalizacji,
  • nowe lub nieznane urządzenia,
  • nagłe zmiany ustawień bezpieczeństwa,
  • nietypową aktywność skrzynki,
  • wiele nieudanych prób logowania.

Nie chodzi od razu o rozbudowany SOC, tylko o to, żeby ktoś w firmie regularnie sprawdzał podstawowe sygnały ostrzegawcze.

8. Zadbaj o aktualne procedury dla pracowników

Technologia nie wystarczy, jeśli użytkownik kliknie fałszywy link albo poda hasło na podstawionej stronie. CISA konsekwentnie rekomenduje podstawową higienę bezpieczeństwa, w tym rozpoznawanie phishingu, aktualizacje oraz MFA.

W firmie warto wprowadzić proste zasady:

  • nie klikaj podejrzanych linków bez weryfikacji,
  • nie otwieraj załączników z nieznanych źródeł,
  • potwierdzaj zmianę numeru konta innym kanałem,
  • zgłaszaj nietypowe maile do administratora lub działu IT,
  • nie wpisuj hasła po kliknięciu w link z wiadomości.

9. Wdróż checklistę po odejściu pracownika

Bezpieczeństwo poczty to także porządek w dostępach. Google w checklistach dla firm podkreśla znaczenie kontroli administracyjnej, uprawnień i uporządkowania dostępu. Po odejściu pracownika trzeba nie tylko wyłączyć konto, ale też sprawdzić delegacje, przekierowania, urządzenia i dostęp do aplikacji zewnętrznych.

Minimum po zakończeniu współpracy powinno obejmować:

  • wyłączenie lub zablokowanie konta,
  • odebranie dostępu do urządzeń,
  • usunięcie przekierowań i delegacji,
  • zmianę haseł do kont współdzielonych,
  • przegląd aplikacji podłączonych do poczty.

10. Sprawdź, czy podstawowa konfiguracja naprawdę wystarcza

To bardzo ważny punkt. Microsoft jasno pokazuje, że poziom ochrony antyphishingowej i anty impersonation zależy częściowo od planu oraz od tego, czy organizacja korzysta tylko z podstawowych funkcji dla wszystkich chmurowych skrzynek, czy również z Defender for Office 365. Nie każda firma potrzebuje od razu najbardziej zaawansowanej konfiguracji, ale każda powinna wiedzieć, co ma w standardzie, a czego nie.

To oznacza, że sama obecność poczty w chmurze nie załatwia automatycznie tematu bezpieczeństwa.

Szybka checklista zabezpieczenia poczty firmowej

Sprawdź, czy możesz odpowiedzieć „tak” na te pytania:

  • Czy MFA jest włączone dla wszystkich użytkowników?
  • Czy każdy ma unikalne hasło i czy firma używa menedżera haseł?
  • Czy liczba administratorów jest ograniczona do minimum?
  • Czy włączona jest ochrona antyphishingowa i antymalware?
  • Czy ochrona przed spoofingiem jest skonfigurowana?
  • Czy regularnie sprawdzane są reguły skrzynki i przekierowania?
  • Czy ktoś monitoruje logowania i nietypową aktywność?
  • Czy pracownicy wiedzą, jak rozpoznać phishing?
  • Czy po odejściu pracownika istnieje procedura odebrania dostępu?
  • Czy konfiguracja poczty została dopasowana do realnych zagrożeń i planu licencyjnego?

Podsumowanie

Dobrze zabezpieczona poczta firmowa nie opiera się na jednym haśle i filtrze spamu. Potrzebujesz połączenia kilku elementów: MFA, silnych i unikalnych haseł, ograniczenia uprawnień administracyjnych, ochrony antyphishingowej, kontroli reguł skrzynki, podstawowego monitoringu oraz prostych zasad dla pracowników. To właśnie taki model wynika z oficjalnych materiałów Microsoft, Google i CISA.

Chcesz sprawdzić, czy Twoja poczta firmowa jest dobrze zabezpieczona?

Pomagamy firmom konfigurować i zabezpieczać środowiska pocztowe, wdrażać Microsoft 365, MFA oraz polityki ochrony przed phishingiem.

Zapoznaj się z naszą ofertą związaną z Microsoft 365:
https://it-logic.pl/oferta/microsoft-365/

PREV

Najem garażu i miejsca postojowego od 1 kwietnia 2026 r. Czy kasa fiskalna jest obowiązkowa?

NEXT

Ile kosztuje terminal płatniczy w 2026 roku

Related Posts

backup-w-firmie-bezpieczenstwo-danych
Bezpieczeństwo ITIT dla firmOutsourcing ITZabezpieczenie przed malware16.06.2026

Backup w firmie. Jak zabezpieczyć dane przed awarią, błędem pracownika i cyberatakiem?

Read more
eset
Bezpieczeństwo ITESET07.04.2026

ESET w firmie. Jak działa ochrona wielowarstwowa

Read more

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *