Co można sprawdzić w domenie firmy bez dostępu do systemów?

Wielu właścicieli firm zakłada, że audyt techniczny od razu wymaga haseł, dostępów do panelu DNS albo logowania do hostingu. Przy pierwszym sprawdzeniu domeny zwykle nie jest to potrzebne.

Pasywny audyt bazuje na tym, co i tak jest widoczne z zewnątrz: rekordach DNS, ustawieniach poczty, odpowiedziach strony WWW i podstawowych sygnałach zaufania. Nie zmienia konfiguracji i nie loguje się do systemów klienta.

Domena i DNS

Z publicznych rekordów można zobaczyć między innymi, kto obsługuje DNS, gdzie wskazuje poczta, czy domena ma CAA, czy widać DNSSEC i czy konfiguracja nie wygląda na przypadkową.

To pomaga zrozumieć, czy domena jest uporządkowana, czy raczej nosi ślady wielu zmian robionych przez lata.

Poczta firmowa

Dla poczty można sprawdzić MX, SPF, część sygnałów DKIM, DMARC, MTA-STS i TLS-RPT. Nie oznacza to pełnego obrazu dostarczalności, ale daje bardzo dobry punkt startu.

Najważniejsze pytanie brzmi: czy domena ma podstawy, które pomagają odbiorcom ocenić wiarygodność wiadomości?

Strona WWW

Bez logowania da się sprawdzić HTTPS, certyfikat TLS, przekierowania, HSTS, wybrane nagłówki i podstawowe elementy SEO oraz zaufania. To nie jest pentest ani audyt aplikacji, ale pozwala wyłapać proste braki, które warto uporządkować.

Czego taki audyt nie zrobi?

Audyt pasywny nie sprawdzi skrzynek od środka, nie przejrzy panelu DNS, nie wyśle wiadomości testowych z domeny i nie wykona agresywnego skanowania. Nie zastępuje też pentestu ani audytu prawnego.

Jego wartość jest gdzie indziej: szybko pokazuje, co widać publicznie, co wymaga uwagi i jakie zmiany warto zaplanować bez pośpiechu.

To dobry pierwszy krok, zanim ktokolwiek zacznie modyfikować DNS, pocztę albo ustawienia strony.