Вся правда о безопасности e-mail: как работает защита и почему фильтры ошибаются

Электронная почта — как обычный почтовый ящик у двери: туда прилетает всё подряд — от полезных счетов до рекламных листовок и, увы, подозрительных «подарков». И хотя мессенджеры удобны, именно на e-mail завязаны восстановление паролей, деловая переписка, уведомления от банков и госуслуг. Поэтому защищать почту — это не «лишняя опция», а гигиена уровня «помыть руки». Давайте разберёмся, как устроена почта, почему спам не исчезает, чем опасны фишинг и вложения, а затем поднимемся на уровень доменных настроек и корпоративных шлюзов. По дороге будем объяснять термины, а не бросаться аббревиатурами.

Как вообще ходит письмо: короткая экскурсия без боли

Представьте: вы пишете письмо в почтовом клиенте (Outlook, Apple Mail, мобильное приложение) — это клиент, по-умному MUA. Он передаёт письмо на ваш почтовый сервер (его называют MTA, «почтальон»). Сервер ищет в DNS домена получателя запись MX — куда доставить. Дальше письмо отправляется по протоколу SMTP: это тот самый «почтовый автомобиль». Между серверами обычно включается шифрование канала (TLS), чтобы по дороге никто не подслушал. На стороне адресата другой сервер кладёт письмо в ящик, а клиент получателя забирает его по IMAP или POP3. Между этими действиями работают фильтры, политики и проверки.

Внутри самого письма есть «конверт» (технические заголовки) и «содержимое» (MIME: текст, HTML, вложения — от PDF до архивов). Спам-фильтр может оценивать и то, и другое: что написано, откуда пришло, что за вложение, какие ссылки внутри, совпадает ли отправитель с тем, за кого он себя выдаёт.

Почему спам жив и здравствует

Потому что он дешев. Если вредоносная рассылка стоит копейки, а в мире миллиарды адресов, достаточно пары сотен доверчивых кликов — и спамер уже в плюсе. Чтобы обмануть фильтры, злоумышленники постоянно меняют домены и тексты, прячут ссылки за кнопками, шифруют архивы паролем (который пишут в теле письма), подделывают «от кого» и имитируют деловую переписку. Поэтому не существует одной волшебной галочки «убрать спам навсегда». Есть только разумная многослойная защита и чуть-чуть здорового скепсиса у пользователя.

Основные угрозы: коротко, но по делу

Опасность приходит не только из «рекламы чудо-средств». Чаще всего встречаются:

• Фишинг — письмо с правдоподобной легендой («банк», «служба доставки», «IT-отдел») и ссылкой на поддельную страницу входа.
• BEC (компрометация деловой переписки) — просьбы «из бухгалтерии» или «от директора» срочно изменить платёжные реквизиты.
• Вредоносные вложения — архивы, документы с макросами, образы дисков, ярлыки; запускаешь — получаешь троян/шифровальщик.
• Трекинг-пиксели — невидимые картинки, которые сообщают отправителю, что письмо открыто и с какого IP. Это про приватность.

Личная гигиена: простые привычки, которые спасают чаще всего

Начнём с того, что может сделать каждый без админских прав. Во-первых, поставьте на почтовый ящик длинный уникальный пароль и включите двухфакторную защиту (лучше аппаратный ключ или ключи доступа — passkeys). Почта — это «мастер-ключ»: через неё сбрасываются пароли почти от всего. Во-вторых, отключите автоподгрузку внешних картинок — трекинг-пиксели перестанут «сдавать» вас отправителю. В-третьих, не нажимайте «Войти» из письма: откройте сайт вручную в новой вкладке и входите только там. И, наконец, будьте осторожны с вложениями: если это .exe/.js/.vbs/.lnk/.iso/.img — не открывайте совсем; документы с макросами — только из надёжного источника и без «Разрешить содержимое».

Как распознать фишинг: признаки, на которые стоит смотреть

Подделки выдают мелочи: домен «почти как настоящий» (латинская a вместо кириллической «а» или наоборот), странные просьбы «срочно подтвердить/оплатить/переслать», грамматические огрехи, вложения с обещанием «счёт внутри» и настойчивые кнопки «Войти». Если сомневаетесь — не кликайте по ссылке из письма. Откройте сайт компании вручную, проверьте личный кабинет. А платежные реквизиты никогда не меняйте «по письму», даже если пишет «директор» — звоните по номеру из договора.

Вложения: почему «архив с паролем» — тревожный сигнал

Файлы в письмах — любимый канал доставки вредоноса. Особенно коварны архивы с паролем: антивирусу сложнее заглянуть внутрь, а пароль любезно указан в теле письма («пароль: 1234»). Второе место — документы с макросами: открываешь, нажимаешь «Разрешить содержимое» — и шифровальщик уже скачивается. Третье — ярлыки (LNK) и образы дисков (ISO/IMG), которые помогают обойти часть фильтров. Универсальное правило простое: если файл пришёл внезапно и просит «разрешить что-то» — останавливаемся и перепроверяем канал.

Почему фильтр иногда ошибается

Антиспам балансирует между двумя рисками: «пропустить плохое» и «задушить хорошее». Он смотрит на сотни сигналов — от словаря письма до репутации отправителя — и всё равно иногда промахивается. Это нормально. Помогайте ему учиться: помечайте мусор как «Спам», а нормальные письма — «Не спам». Так фильтр подстраивается под ваш контекст.

SPF, DKIM, DMARC: «паспортные данные» вашего домена

Теперь поднимемся на уровень домена. Есть три записи в DNS, которые делают жизнь лучше для всех — SPF, DKIM и DMARC. Они не «чистят» вам входящие, но не позволяют злоумышленникам рассылать письма от вашего имени и помогают чужим серверам правильно распознавать ваши. Объясняем по-людски.

SPF — кто вообще имеет право отправлять письма от вашего домена

SPF (Sender Policy Framework) — список «доверенных почтальонов». Вы в DNS пишете: «Почту от @example.ru шлют наши IP и вот эти провайдеры, остальным — нельзя». Пример минимальной записи:

example.ru. 3600 IN TXT "v=spf1 ip4:203.0.113.10 include:_spf.mailprovider.ru -all"

Нюанс: при переадресации меняется технический отправитель, и SPF может «сломаться». Поэтому одного SPF мало.

DKIM — подпись содержимого

DKIM (DomainKeys Identified Mail) добавляет к письму криптографическую подпись. Получатель берёт ваш публичный ключ из DNS, проверяет подпись и убеждается: письмо не подменяли, а подписал его действительно ваш домен (или доверенный почтовый сервис). Рекомендуемая длина ключа — 2048 бит, ключи периодически ротируйте (меняйте селекторы).

DMARC — политика «что делать» и полезные отчёты

DMARC (Domain-based Message Authentication, Reporting and Conformance) связывает SPF и DKIM и говорит серверам: «Если подписи не сходятся с доменом в поле From — что делать: ничего, в спам или отклонить? И, пожалуйста, шлите отчёты сюда». Типичная запись:

_dmarc.example.ru. 3600 IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc-rua@example.ru; ruf=mailto:dmarc-ruf@example.ru; aspf=s; adkim=s; pct=100"

Внедрять DMARC безопаснее по шагам: сначала p=none (только собираем отчёты 2–4 недели и видим, кто шлёт «от нашего имени»), затем quarantine, и уж потом — reject. Отдельно задайте политику для субдоменов (sp=), иначе часть рассылок с поддоменов останется без защиты.

Переадресации и ARC

Письма нередко проходят через форвардеры и списки рассылки. Там меняются технические заголовки, иногда даже содержимое (добавляется «подвал»). Из-за этого SPF/DKIM могут «сломаться», а легальное письмо уйдёт в спам. Механизм ARC (Authenticated Received Chain) даёт ретранслятору возможность «удостоверить историю»: он добавляет свою подпись о том, что предыдущие проверки были успешны. Если вы управляете промежуточным сервером — включите ARC; если принимаете — учитывайте его при фильтрации.

Шифруем «дорогу»: MTA-STS, TLS-RPT и DANE

Когда два почтовых сервера общаются, они договариваются о шифровании (STARTTLS). Проблема в том, что злоумышленник может попытаться «сбить» шифрование до незащищённого режима. Для этого придумали политики:

MTA-STS — вы публикуете в DNS ссылку на политику и размещаете файл политики на веб-сервере своего домена. В политике сказано: «Принимайте письма на меня только по TLS и только на такие-то MX». Если кто-то попытается подсунуть «не-TLS» или другой сервер, добросовестные отправители просто не будут доставлять без шифрования.

TLS-RPT — сопутствующая запись: «Сюда присылайте сводки о проблемах TLS-доставки». По отчётам видно, где ломается шифрование.

DANE для SMTP — более строгий вариант: вы привязываете сертификат к DNS через DNSSEC (TLSA-записи). Сложнее внедрить, но почти исключает понижение шифрования и подмену сервера.

Шифрование содержимого: PGP и S/MIME человеческим языком

Транспортное шифрование защищает «дорогу», но на серверах письмо хранится в открытом виде (или шифруется средствами провайдера). Если нужно, чтобы даже провайдер не видел содержимое, используют end-to-end-шифрование.

PGP/OpenPGP — у каждого участника есть пара ключей: публичный (его можно публиковать) и приватный (хранится у вас). Вы шифруете письмо публичным ключом адресата, он расшифровывает своим приватным. Минусы: нужно обменяться ключами и следить за их актуальностью, тема письма остаётся видимой.

S/MIME — похожая идея, но ключи оформляются как сертификаты от корпоративного центра сертификации. Удобно в компаниях: сертификаты раскатываются через MDM, а сотрудники просто нажимают «подписать/зашифровать».

Что делает почтовый шлюз (SEG) и зачем он нужен

В корпоративной среде письма проходят через почтовый шлюз (он может быть облачным). Его задача — быть «умным вратарём». Он проверяет репутацию доменов и IP, переписывает ссылки через прокси и проверяет их «на клик», разворачивает вложения в изолированной среде (песочнице), наблюдая, что делает файл: какие процессы запускает, куда лезет в реестр, с какими адресами общается. Если поведение опасное — письмо не попадёт в ящик вообще, а в SOC уедет отчёт. Это не панацея, но сильный слой, особенно против свежих вредоносов, которых ещё нет в сигнатурах.

BEC и «письма от директора»: почему здесь решают процессы

SPF/DKIM/DMARC не спасут, если преступники купили похожий домен (латинская «і» вместо «i») или пишут с личной почты руководителя. Против такого лучше всего работает скучная бюрократия: любые изменения платёжных реквизитов подтверждаются по второму каналу (звонок по номеру из договора, а не из письма), срочные платежи не проводятся без стандартного согласования, на VIP-почте включены усиленные проверки и обязательные аппаратные ключи, а автоматическая пересылка вовне запрещена политикой.

Настройки почтового клиента, которые действительно полезны

На пользовательском уровне есть несколько «галочек», которые дают много ценности. Автозагрузка внешних изображений — выключена по умолчанию; HTML-режим — осторожный (скрипты и активный контент блокируются); опасные вложения — открывать только по явному согласию и с предупреждением; «Показать оригинал» — доступен в один клик. Для доступа используйте современные механизмы авторизации (OAuth 2.0), а не «голые пароли» к IMAP/SMTP; если сервис поддерживает только старый способ, ограничивайте пароль приложения и доступ по IP.

Приватность и «цифровой след» в почте

Не всем нравится, когда отправитель видит, что письмо прочитано. Самый простой способ «не светиться» — блокировать внешние изображения и включать их вручную для доверенных рассылок. Плюс удобно использовать алиасы и «плюс-адресацию»: ivan+shop@пример.ру, ivan+bank@пример.ру — так видно, куда «утёк» адрес, и можно точечно отключать компрометированные подписки.

Почтовая гигиена: папки, фильтры, резервные копии

Хаос в ящике — тоже риск. Простая структура папок и несколько фильтров экономят часы и уменьшают шанс пропустить важное. Выделите отдельные папки для подписок, квитанций и рабочих уведомлений, автоматизируйте раскладку фильтрами, периодически чистите доступ сторонних приложений и активные сессии. Если на адрес завязаны важные сервисы, настройте резервные копии почты (у провайдера или через IMAP-экспорт) — это помогает и при инцидентах, и при миграции.

Если «нажали не туда»: как действовать при инциденте

Ситуации бывают. Главное — не терять время. Если ввели пароль на поддельном сайте, сразу меняйте его, выходите из всех сессий, включайте/усиливайте 2FA, проверяйте правила перенаправления в ящике (частое злоумышленное действие — «переслать всё на такой-то адрес»). Если открыли вложение и «что-то странное случилось», отключайте сеть, не продолжайте работу, сообщайте администратору, передавайте файл в песочницу, запускайте проверку антивирусом/EDR. Если отправили данные — уведомляйте заинтересованных, отзывайте ключи/токены, меняйте пароли и включайте дополнительный мониторинг входов.

Типовые ошибки при доменной настройке (и как их избежать)

Самые частые промахи встречаются не в теориях, а в мелочах. Слишком длинный SPF с десятками include выходит за лимиты DNS-запросов — используйте «сплющивание» (flattening). Короткие DKIM-ключи (ниже 1024 бит) — слабая идея, сегодня де-факто стандарт — 2048. Резкий переход к p=reject в DMARC без этапа p=none легко «сломает» вам доставку легитимных писем от CRM/биллинга — сначала собирайте отчёты и закрывайте «дыры».

Небольшие чек-листы — чтобы ничего не забыть

Для личной почты

• Длинный уникальный пароль, менеджер паролей, 2FA (лучше аппаратный ключ / passkeys).
• Отключена автоподгрузка картинок, ссылки проверяете вручную, вложения открываете только при необходимости и в «песочнице».
• Раз в квартал — ревизия активных сессий и доступа сторонних приложений.

Для компании

• SPF, DKIM, DMARC: по этапам от none к reject, отчёты в отдельный ящик и их автоматический разбор.
• MTA-STS + TLS-RPT; при возможности — DANE (если есть DNSSEC).
• Почтовый шлюз с URL-переписыванием и песочницей; баннер «Внешнее письмо».
• Запрет правил пересылки на внешние домены, журналирование и мониторинг изменений в ящиках.
• Процедуры подтверждения платёжных изменений по второму каналу; обучение и периодические симуляции фишинга.

Полезные направления для саморазвития

Если хочется углубиться, посмотрите спецификации и практические руководства: DMARC.org (пошаговое внедрение DMARC), MXToolbox (проверка записей MX/SPF/DKIM/DMARC), RFC 8461 (MTA-STS), RFC 7489 (DMARC), а также справки ваших почтовых провайдеров — у крупных сервисов есть буквально «рецепты» с готовыми записями для DNS.

Итоги

Почта не обязана быть «дырой» в безопасности. Большая часть защиты — это понятные шаги: аккуратные привычки пользователя, несколько правильных галочек в клиенте, грамотные политики на уровне домена и один хороший «вратарь» на входе. Ни один слой не идеален, но вместе они дают нужный эффект: даже если спамер проскочит через первый барьер, его остановит второй или третий. Начните с базовых настроек и постепенно добавляйте продвинутые меры — так вы превратите почтовый ящик из мишени в крепость.