Подмена электронной почты: что это и как предотвратить

Определение

Подмена электронной почты — это техника, при которой злоумышленники подделывают адрес отправителя в заголовке письма, чтобы сообщение выглядело так, будто оно пришло из надёжного источника. Эта манипуляция использует отсутствие встроенной аутентификации в оригинальном протоколе SMTP. Поддельные письма обычно используются в фишинговых атаках, мошенничестве с корпоративной почтой (BEC) и других мошеннических схемах.

Распространённые типы атак с подменой почты

Подмена отображаемого имени — использование доверенного имени с другим адресом электронной почты

Подмена домена — подделка точного домена легитимной организации

Подмена похожего домена — использование доменов, похожих на легитимные (например, paypa1.com)

Подмена адреса ответа — установка другого адреса ответа для перехвата ответов

Компрометация корпоративной почты (BEC) — выдача себя за руководителей для авторизации мошеннических платежей

Подмена поставщика — подделка писем поставщиков для перенаправления платежей по счетам

Подмена налоговых и государственных органов — выдача себя за налоговую службу или другие органы власти

Почему подмена электронной почты важна

Подмена электронной почты угрожает как отправителям, так и получателям. Для легитимных отправителей она наносит ущерб репутации бренда, когда злоумышленники выдают себя за их домен. Для получателей поддельные письма могут привести к краже учётных данных, финансовым потерям и заражению вредоносным ПО. Понимание подмены помогает внедрить правильную аутентификацию и защитить домен от использования в атаках.

Как работает подмена электронной почты

Подмена электронной почты использует особенности протокола SMTP, который позволяет отправителям указывать любой адрес в поле «От». Злоумышленники используют почтовые серверы или скрипты для отправки писем с поддельными заголовками, создавая впечатление, что сообщения приходят с легитимных доменов. Принимающий почтовый сервер видит поддельный адрес, если не внедрены протоколы аутентификации, такие как SPF, DKIM и DMARC, для проверки личности отправителя.

Как предотвратить подмену электронной почты

Внедрить записи SPF для указания авторизованных серверов отправки для вашего домена

Настроить DKIM для криптографической подписи исходящих писем

Развернуть DMARC с политикой применения для отклонения неаутентифицированных писем

Использовать верификацию email для отправки только на действительные адреса

Обучить сотрудников распознавать поддельные письма и проверять необычные запросы

Включить фильтрацию почты, проверяющую сбои аутентификации

Мониторить отчёты DMARC для обнаружения попыток подмены вашего домена

Использовать многофакторную аутентификацию для почтовых аккаунтов для предотвращения захвата учётных записей

Часто задаваемые вопросы

Как узнать, является ли письмо поддельным?

Проверьте заголовки письма на результаты аутентификации (SPF, DKIM, DMARC). Ищите несоответствия между отображаемым именем и фактическим адресом электронной почты. С подозрением относитесь к срочным запросам, особенно связанным с деньгами или учётными данными. Наведите курсор на ссылки, чтобы проверить адреса назначения перед переходом.

Может ли SPF сам по себе предотвратить подмену почты?

Одного SPF недостаточно. Он проверяет только отправителя конверта, а не адрес «От», который видят получатели. Вам нужен DMARC для связи результатов SPF с видимым доменом «От» и указания политик применения. Комбинация SPF, DKIM и DMARC обеспечивает комплексную защиту.

В чём разница между подменой почты и фишингом?

Подмена электронной почты — это техника (подделка адресов отправителей), тогда как фишинг — это тип атаки (обман пользователей для раскрытия информации). Фишинговые атаки часто используют подмену как тактику, но подмена также может использоваться для других целей, таких как распространение вредоносного ПО или нанесение ущерба репутации.

Как DMARC защищает от подмены?

DMARC сообщает принимающим серверам, как обрабатывать письма, не прошедшие аутентификацию SPF и DKIM. При политике «отклонить» поддельные письма, использующие ваш домен, полностью блокируются. DMARC также отправляет отчёты, чтобы вы могли отслеживать попытки подмены вашего домена.

Подмена электронной почты

Все термины email, которые вам нужно знать для освоения email-маркетинга и доставляемости, объяснённые просто и понятно.