Руководства по безопасности

#почтовая аутентификация #фишинг #DMARC #подделка #готовность к эпохе ИИ

Фишинговое письмо подделало ваш собственный домен? Подделка против взлома и как это остановить

Подозрительное письмо, которое будто пришло с вашего собственного домена, — обычно это не взлом сервера, а поддельный отправитель (From). Как отличить взлом от подделки, читая заголовки письма, почему оно доходит до входящих, и поэтапное исправление SPF / DKIM / DMARC, которое останавливает подделку.

Опубликовано 2026-06-23 Обновлено 2026-06-23 6 мин чтения

Однажды подозрительное письмо, которое будто пришло с домена вашей компании, попадает в ваши же входящие. Сначала — выдохните. В большинстве случаев это не вторжение, а поддельный отправитель. Вот как это понять и как остановить (без шагов атаки).

Короткий ответ

Подозрительное письмо, которое будто пришло с вашего домена, обычно не «взлом сервера», а поддельный отправитель (From). Транспорт почты (SMTP) позволяет кому угодно свободно вписать строку From, так что письмо «от вашего домена» можно отправить, ни разу не коснувшись вашего сервера. Иными словами, получение его не означает, что вас захватили. Реальный это взлом или просто подделка — подскажут заголовки сообщения, — а главная причина, почему оно доходит до входящих, — отсутствие политики DMARC. Исправление: настройте SPF, DKIM и DMARC и поэтапно поднимите DMARC с p=none до reject.

Сначала успокоение: подделка ≠ захват

Это ключевое заблуждение. «Отправителя» на конверте письма может вписать кто угодно. Поэтому одно письмо с именем вашего домена на нём не означает, что в ваш дом проникли.

Внешний источник (релей злоумышленника) — подделывает From, чтобы выглядеть как вы

↓

Ваш принимающий сервер (MX) принимает (нет основания отклонить = доставлено)

↓ если настроена пересылка

Конечные входящие (Gmail и т. п.) — «приходит», выглядит настоящим

Поддельное письмо исходит от ВНЕШНЕГО отправителя, проходит через ваш принимающий сервер (MX) и — если настроена пересылка — доходит до конечных входящих. Источник — не ваша инфраструктура.

При этом по-настоящему скомпрометированный ящик не исключён. Способ отличить одно от другого — прочитать заголовки.

Используйте заголовки, чтобы отличить «взлом» от «подделки»

За телом каждое письмо несёт «заголовок» — запись о доставке (в Gmail: «Показать оригинал»). Важнее всего пять полей.

Заголовок	На что смотреть	Как читать
Authentication-Results	результаты `spf=` / `dkim=` / `dmarc=`	`dmarc=fail` означает «настоящая аутентификация не прошла = вероятно подделка»
Received (стек)	нижняя строка = истинный источник	если ушло не с вашего хоста — это внешняя подделка
Return-Path (отправитель конверта)	совпадает ли с видимым From?	несовпадение — признак подделки
Reply-To (адрес ответа)	куда реально уйдёт ответ	From выглядит внутренним, но Reply-To — посторонний внешний адрес → ловушка, чтобы вы ответили
X-Mailer (отправляющий софт)	вменяемое имя?	случайная мешанина = отпечаток автоматического спам-инструмента

Reply-To — то, что пропускают. From может выглядеть точь-в-точь как коллега, а ответ улетит на совершенно другой внешний адрес — где вас заставят прислать секреты или контакт (QR-код чата и т. п.), чтобы перехватить ваш канал связи. Не доверять From по виду — ваша сильнейшая защита со стороны человека (→ что такое фишинг).

Почему оно вообще доходит до входящих

Поддельное письмо проскальзывает — даже не в спам — потому что у получателя нет основания отклонить подделку.

Нет политики DMARC

Без политики DMARC на вашем домене получатель может обнаружить подделку From, но его нельзя заставить отклонить. Это самая большая причина, почему оно доходит до входящих.

«Мягкая» настройка SPF

Если SPF заканчивается на ~all (softfail = «подозрительно, но не отклонять»), у получателя нет решающего повода его отбросить.

Пересылка ломает SPF

Пересылка полученного письма на другой адрес делает SPF похожим на «pass» относительно пересылающего сервера, тогда как From остаётся другим доменом. Именно DMARC в итоге судит это несовпадение.

Вот где DKIM окупается. SPF ломается при пересылке, но подпись DKIM её переживает. Поэтому спасательный круг, удерживающий легитимную почту от ошибочного отбрасывания, когда вы дойдёте до reject, — это DKIM, и именно поэтому DKIM настраивают первым, как фундамент.

Исправление: SPF → DKIM → DMARC, поэтапно

Механика — в что такое SPF / DKIM / DMARC; здесь только безопасный порядок. Железное правило: никогда не прыгайте сразу в reject.

Одна корректная запись SPF

Авторизуйте каждый легитимный отправляющий сервер (свой, почтовые сервисы) без пробелов. Держите SPF в одной записи на домен и удерживайте число DNS-запросов при вычислении меньше 10 (свыше — весь SPF становится недействительным).

Включите подпись DKIM (фундамент)

Включите DKIM на своей почтовой платформе. Подпись, переживающая пересылку, — спасательный круг против ложных отбрасываний, когда вы позже перейдёте к reject.

Начните DMARC с p=none (только мониторинг)

Пока не отклоняйте. Начните с p=none плюс сбор отчётов и 1–2 недели следите, что легитимная почта не теряется.

Поднимите до самого reject

Когда отчёты покажут, что ни один легитимный отправитель не падает, переходите p=quarantine → p=reject. Только когда достигнуто «подделки отклоняются у получателя», такое письмо исчезает, не дойдя до входящих цели.

«Недостающий кусок» зеркален для разных доменов

Проверьте несколько доменов — и заметите, что пробелы часто зеркальны, ведь настройка отправки разнится, а значит, разнится и то, что за вас заполняет сервис.

Настройка через почтовый сервис

например, транзакционная почта через внешний сервис доставки
DKIM / DMARC обычно настраиваются автоматически при подключении
но SPF нужно добавить в DNS самому → вот это пробел

Настройка по умолчанию у хостинга

например, почта отправляется прямо с сервера хостинга
SPF обычно присутствует с самого начала
но DKIM — ручной переключатель, а DMARC вам публиковать самим → эти двое и есть пробел

Оба — «присутствуют не все три», просто пробелы зеркальны. Первый шаг — узнать, какой паттерн у вашего домена.

Взгляд этого сайта: настроить — не значит остановить: работает только после проверки

На этом сайте мы трактуем почтовую аутентификацию как то, что работает только после проверки, а не «настроил и забыл». Текущее состояние своего домена можно проверить разом чекером SPF / DKIM / DMARC или аудитом безопасности сайта. Даже одно значение таит подвохи — например, постановка fo в записи без адреса отчётов о сбоях (ruf) делает его, по спецификации, мёртвым тегом, который просто игнорируется. Такие «безвредные, но бессмысленные» настройки, отлавливаемые только при разборе, встречаются часто. А настоящая цель — два слоя: заставить получателя отклонять подделку (DMARC) и сделать так, чтобы люди не отвечали на ловушку. Прежде обнаружения или настроек поставьте на первое место проектирование, которое останавливает это механизмом.

Выводы

Подозрительное письмо «с вашего домена» — обычно поддельный From, а не взлом (SMTP позволяет кому угодно его вписать). Получить его ≠ быть захваченным.
Authentication-Results / Received / Return-Path / Reply-To / X-Mailer позволяют отличить взлом от подделки. Берегитесь ловушки Reply-To «заставь-тебя-ответить».
Главная причина, почему оно доходит до входящих, — отсутствие DMARC. Используйте SPF → DKIM → DMARC (p=none → reject), чтобы получатель отклонял подделки.
Начните с проверки домена чекером почтовой аутентификации. «Настроить» — не «остановить».

Читать дальше

Глоссарий: Что такое SPF / DKIM / DMARC (механика)
Глоссарий: Что такое фишинг
Инструменты: Чекер SPF / DKIM / DMARC / Аудит безопасности сайта
Связанное: Руководство по многофакторной аутентификации (MFA)

FAQ

QПисьмо пришло с использованием моего собственного домена — значит ли это, что мой сервер взломан?

Обычно нет. Транспорт почты (SMTP) позволяет отправителю свободно вписать строку From. Как написать чужой адрес на обороте конверта, кто угодно может отправить письмо «от вашего домена», ни разу не коснувшись вашего сервера. Поэтому получение такого письма не означает взлом. Были ли вы реально скомпрометированы или просто подделаны — это можно понять, прочитав заголовки сообщения.

QПочему поддельное письмо доходит до входящих, даже не помеченное как спам?

Потому что у получателя нет основания отклонить подделку. Если у вашего домена нет политики DMARC, получатель может обнаружить подделку From, но его нельзя заставить отклонить. Пересылка ещё больше запутывает результат. Исправление — настроить SPF, DKIM и DMARC и поэтапно поднять DMARC до p=reject.

QС чего начать?

Сначала проверьте текущее состояние домена (чекер SPF/DKIM/DMARC покажет его разом). Затем, не прыгая сразу в reject, начните DMARC с p=none (только мониторинг), убедитесь по отчётам, что легитимная почта не теряется, и только потом переходите к p=quarantine → p=reject. Сначала включите DKIM, потому что подпись DKIM — спасательный круг, удерживающий проход легитимной почты через пересылку, когда вы дойдёте до reject.