Art. 24. 1. Dostawca poczty elektronicznej:
1) dla co najmniej 500.000 użytkowników poczty lub
2) dla podmiotu publicznego
- przy świadczeniu poczty elektronicznej ma obowiązek stosowania mechanizmu SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication Reporting and Conformance) oraz DKIM (DomainKeys Identified Mail).
2. Podmiot publiczny jest obowiązany do korzystania z poczty elektronicznej wykorzystującej mechanizmy, o których mowa w ust. 1.
3. Prezes UKE może przeprowadzić kontrolę:
1) wykonywania obowiązku, o którym mowa w ust. 1, przez dostawcę poczty elektronicznej oraz
2) wykonywania obowiązku, o którym mowa w ust. 2, przez podmiot publiczny.
4. Do kontroli, o której mowa w ust. 3, stosuje się przepisy działu X rozdziału 2 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne.
5. CSIRT NASK udostępnia na swojej stronie internetowej informację na temat standardów sieciowych RFC (Request for Comments) z odniesieniem do dokumentów umieszczonych na stronach internetowych organizacji Internet Engineering Task Force, które składają się na aktualną wersję opisów mechanizmów, o których mowa w ust. 1.
6. Dostawca poczty elektronicznej dla podmiotu publicznego oferuje pocztę elektroniczną umożliwiającą stosowanie metod uwierzytelniania wieloskładnikowego.