W erze phishingu nawet profesjonalnie wyglądająca wiadomość może zostać uznana za podejrzaną.

Na załączonym przykładzie e-maila widać kilka typowych potknięć, które znacząco obniżają zaufanie odbiorcy. Przykład, którego użyliśmy to wiadomość, która dotarła do nas dzisiaj!

Poniżej rozkładamy je na czynniki pierwsze i podajemy bezpieczne alternatywy.

Domena „podobna do właściwej”

Co widać w przykładzie: nadawca używa domeny będącej wariantem właściwej (np. z dopiskiem typu „-group”, „-cxp”, „-support”).
Dlaczego to źle: to klasyczny wzorzec podszywania się (typosquatting).
Jak robić dobrze: wysyłaj wyłącznie z głównej, oficjalnej domeny marki. Zadbaj o spójność nadawcy (adres, nazwa wyświetlana, podpis).

Brak technicznej autentykacji (DKIM/SPF/DMARC)

Co widać w przykładzie: nagłówki wskazują na brak podpisów DKIM/DMARC.
Dlaczego to źle: systemy pocztowe traktują takie maile jako mniej wiarygodne; odbiorca nie ma kryptograficznego potwierdzenia pochodzenia.
Jak robić dobrze: skonfiguruj SPF, DKIM i DMARC oraz regularnie analizuj raporty. To fundament reputacji domeny i dostarczalności wiadomości.

Presja czasu i komunikaty typu „Wymagane działanie”

Co widać w przykładzie: mocne wezwanie do natychmiastowej reakcji („Wymagane działanie”, groźba blokady usług).
Dlaczego to źle: presja to typowa technika socjotechniczna, która zwiększa podejrzenia odbiorcy.
Jak robić dobrze: stosuj spokojny, rzeczowy ton. Informuj o terminach i powodach, ale bez emocjonalnego nacisku.

Duży przycisk z niejawym adresem docelowym

Co widać w przykładzie: dominujący przycisk typu „Akceptuj…”, bez jawnego ujawnienia pełnego adresu URL.
Dlaczego to źle: użytkownik nie wie, dokąd naprawdę prowadzi link — to częsty element w phishingu.
Jak robić dobrze: pokazuj pełny, kanoniczny URL (https://...); zachęcaj do ręcznego wejścia na znany portal i zalogowania się tam; jeśli używasz przycisku, niech link i domena będą czytelne i transparentne.

Niespójność brandingu (logo zewnętrznego serwisu)

Co widać w przykładzie: w nagłówku użyto logo serwisu partnerskiego, który nie jest faktycznym nadawcą wiadomości.
Dlaczego to źle: miesza to role podmiotów i może wyglądać jak próba „pożyczenia” wiarygodności.
Jak robić dobrze: komunikat powinien być jednobrandowy — logo i stopka wyłącznie nadawcy, który faktycznie wysyła e-mail.

Zbyt marketingowa forma przy temacie prawnym lub technicznym

Co widać w przykładzie: duża grafika, kolorowy baner i agresywne CTA w kontekście umowy czy akceptacji zasad.
Dlaczego to źle: takie maile wyglądają jak reklamy, a nie jak oficjalne powiadomienia.
Jak robić dobrze: stawiaj na minimalizm — prosty tekst, jasne kroki do wykonania, dane kontaktowe i ewentualny link do sekcji pomocy.

Niepełna weryfikowalność nadawcy

Co widać w przykładzie: brak konkretnej osoby w podpisie – tylko nazwa zespołu i ogólny numer telefonu.
Dlaczego to źle: utrudnia to szybkie potwierdzenie autentyczności komunikatu.
Jak robić dobrze: dodaj imienny podpis, służbowy numer i adres e-mail. Warto też wskazać alternatywną ścieżkę potwierdzenia (np. „możesz zadzwonić pod numer z naszej strony”).

Mieszanie linków – „kliknij” vs „wejdź samodzielnie”

Co widać w przykładzie: wiadomość zawiera zarówno przycisk, jak i tekstowy link do portalu, bez jasnego wskazania, który jest właściwy.
Dlaczego to źle: wprowadza to niepewność i chaos komunikacyjny.
Jak robić dobrze: wskaż jedną preferowaną ścieżkę działania – np. „Zaloguj się samodzielnie na [kanoniczny adres] i tam zaakceptuj dokument.”

✅ Checklist: bezpieczny mailing o ważnych zmianach

✔ Nadawca z oficjalnej domeny (spójny z marką)
SPF/DKIM/DMARC poprawnie skonfigurowane
✔ Ton informacyjny, bez presji i emocji
✔ Jawne URL-e lub instrukcja ręcznego wejścia
Jednobrandowy wygląd (bez cudzych logotypów)
Imienny podpis + kontakt zwrotny
✔ Treść adekwatna do wagi – prostota ponad efekciarstwo
✔ Alternatywna ścieżka potwierdzenia (np. panel klienta / infolinia)

Podsumowanie

Załączony przykład pokazuje, jak łatwo nieświadomie stworzyć wiadomość, która wygląda jak phishing.
Podobna domena, mocny ton, ukryte linki, niespójne logo i brak technicznej autentykacji — to najczęstsze błędy, które podważają zaufanie odbiorcy.
Wdrożenie kilku prostych zasad — przejrzystości, technicznego podpisu i spójnego tonu — natychmiast zwiększa wiarygodność komunikacji i chroni reputację marki.

Jak nauczyć swoich pracowników stosowania dobrych praktyk? Najlepiej przez budowanie ich świadomości odnośnie zagrożeń. Chętnie pokażemy Państwu platformę KnowBe4, czyli idealne narzędzie do zwiększania świadomości pracowników.