Как новые меры против подделки email защищают ваш ящик в 2026

Понимание фундаментального сдвига в аутентификации электронной почты

Почти два десятилетия протоколы аутентификации электронной почты существовали как добровольные рекомендации, которые организации могли внедрять по желанию. Если сейчас у вас возникают проблемы с доставкой электронной почты, это потому, что то, что раньше было опционально, стало обязательным. Начиная с февраля 2024 года, когда Gmail и Yahoo объявили о совместных инициативах по усилению контроля, отрасль электронной почты стала свидетелем беспрецедентного преобразования, когда добровольные стандарты превратились в обязательные требования для всех, кто отправляет электронные письма в больших объемах.

Этот решительный сдвиг отражает растущие опасения по поводу спуфинга и фишинговых атак, которые значительно возросли. Электронная почта остается основным вектором атак как для фишинговых кампаний, так и для схем компрометации деловой переписки, что делает её самым эксплуатируемым каналом связи для киберпреступников. Совместное заявление Gmail и Yahoo стало поворотным моментом, поскольку оно означало, что крупнейшие провайдеры электронной почты в мире больше не будут терпеть неаутентифицированный трафик, устанавливая прецедент, которому Microsoft быстро последовала, объявив собственный срок исполнения в мае 2025 года.

Что это значит для вашего ежедневного опыта работы с электронной почтой

Если вы обычный пользователь электронной почты, вы можете заметить, что письма от некоторых отправителей теперь попадают в папку спама или вовсе исчезают. Это не ошибка — это система аутентификации работает так, как задумано. Все отправители, пытающиеся доставить почту в Gmail, теперь обязаны использовать как минимум SPF или DKIM аутентификацию, тогда как массовые отправители, рассылающие более пяти тысяч писем в день, сталкиваются с более жесткими требованиями, включая внедрение SPF, DKIM и DMARC. Даже если вы сами не отправляете массовую почту, вы затронуты изменениями, когда организации, с которыми вы взаимодействуете, не обновили свою почтовую инфраструктуру в соответствии с новыми стандартами.

Жесткие требования Microsoft с исполнением в 2025 году усилили эти стандарты, установив, что любой домен, отправляющий более пяти тысяч писем в день, должен полностью соответствовать аутентификации SPF, DKIM и DMARC. Несоответствующие сообщения изначально перенаправляются в папку спама, а затем полностью отклоняются с конкретными кодами ошибок. Код ошибки (550; 5.7.515) ясно информирует отправляющие домены о сбоях аутентификации, обеспечивая четкую ответственность и устраняя неопределенность относительно причин недоставки.

Этот переход создал немедленное давление на провайдеров почтовых услуг, которым пришлось быстро обновить инфраструктуру для поддержки DKIM-подписей для всех доменов клиентов, опубликовать ясные рекомендации по конфигурации SPF и помочь клиентам внедрять и обеспечивать соблюдение DMARC. Для пользователей это означает, что надежность доставки электронной почты теперь зависит не только от правильности адреса, но и от того, насколько правильно организация отправителя настроила свою аутентификационную инфраструктуру в свете изменений в аутентификации электронной почты.

Три столпа аутентификации электронной почты: SPF, DKIM и DMARC

Понимание причин, по которым ваши письма могут блокироваться или почему некоторые сообщения не доходят до вашего почтового ящика, требует знания того, как работают три основных протокола аутентификации. Каждый протокол решает отдельные задачи безопасности и вместе предотвращает множество векторов атак, которые позволяют подделывать электронные письма и выдавать себя за домены.

Политика отправителя (SPF): Проверка авторизованных серверов отправки

SPF работает путем публикации записей DNS с авторизованными IP-адресами серверов отправки, что позволяет принимающим почтовым серверам проверять, что сервер, отправляющий письмо от имени домена, действительно имеет на это разрешение. При проверке SPF принимающий сервер анализирует домен envelope-from (также называемый mail-from) и убеждается, что IP-адрес отправляющего сервера включён в список авторизованных.

Для вас как получателя SPF предоставляет первую линию защиты от поддельных писем. Когда злоумышленник пытается отправить письмо, выдаваясь за ваш банк, работодателя или проверенного поставщика, проверка SPF сразу выявляет неавторизованный сервер, что предотвращает многие базовые атаки подделки до того, как они попадут в ваш почтовый ящик.

Однако реализация SPF требует тщательного учета всех легитимных источников электронной почты, включая основные почтовые серверы, маркетинговые платформы, CRM-системы и любые сторонние сервисы, отправляющие письма от имени организации. Именно поэтому вы иногда можете видеть, что легитимные письма от доверенных организаций попадают в спам — возможно, они используют нового провайдера почтовых услуг, который ещё не был должным образом добавлен в их SPF-запись.

DomainKeys Identified Mail (DKIM): Защита целостности содержания письма

DKIM использует криптографические цифровые подписи для достижения принципиально иной цели безопасности по сравнению со SPF. Вместо проверки авторизации сервера DKIM защищает целостность содержимого письма, гарантируя, что сообщения не были изменены в процессе передачи.

Система DKIM использует криптографию с открытым ключом: приватный ключ, хранящийся на отправляющем почтовом сервере, цифрово подписывает заголовки и содержимое письма при отправке, а принимающие серверы проверяют подлинность, сверяя эту подпись с открытым ключом, опубликованным в DNS. Процесс подписи создаёт криптографический хеш определённых элементов письма, который остаётся неизменным, даже если сообщение проходит через промежуточные серверы, позволяя получателям убедиться в том, что содержимое не изменялось в пути.

Этот механизм особенно ценен, поскольку злоумышленники, перехватывая сообщения и изменяя содержимое, создают несовпадения хеша при проверке подписи DKIM, что немедленно помечает сообщение как потенциально скомпрометированное. Для вас как пользователя DKIM обеспечивает уверенность в том, что отображаемое письмо содержит именно тот контент, который отправитель изначально передал, без изменений со стороны посредников или злоумышленников.

DMARC: Координация политики аутентификации сообщений

DMARC служит слоем координации политики, который указывает принимающим почтовым серверам, как обрабатывать письма, не прошедшие проверки SPF или DKIM. DMARC требует выравнивания аутентифицированного домена, то есть домен, прошедший аутентификацию SPF или DKIM, должен совпадать с доменом, видимым в заголовке "From" — адресом, который вы фактически видите как получатель.

Требование выравнивания — это важное улучшение безопасности, поскольку раньше злоумышленники могли отправлять сообщения с легитимно выглядящим заголовком "From", используя записи SPF и DKIM своей инфраструктуры. DMARC закрывает эту брешь, требуя совпадения аутентифицированного домена с отображаемым, что значительно усложняет злоумышленникам выдавать себя за доверенных отправителей.

Параметр политики DMARC (p=none, p=quarantine или p=reject) инструктирует принимающие серверы о мерах применения. Политика p=none разрешает мониторинг без влияния на доставку, p=quarantine отправляет непройденные письма в спам, а p=reject полностью блокирует неаутентифицированные сообщения. Google и Yahoo требуют от массовых отправителей как минимум политику p=none, понимая, что это минимальный уровень принятия перед переходом к более строгим мерам.

Кризис бизнес-мошенничества с электронной почтой, вызывающий эти изменения

Если новые требования к аутентификации кажутся вам излишними, понимание масштаба финансовых преступлений на основе электронной почты дает критический контекст. Разочарование, которое вы можете испытывать из-за более строгой фильтрации почты, меркнет по сравнению с разрушительными финансовыми потерями, которые организации несут из-за успешных атак по электронной почте.

Ошеломляющее финансовое воздействие атак на основе электронной почты

Бизнес-мошенничество с электронной почтой является самой дорогостоящей категорией киберпреступлений по финансовым потерям, при этом Центр по жалобам на интернет-преступления FBI сообщает примерно о 2,8 миллиардах долларов потерь от BEC только в 2024 году и почти 8,5 миллиардах долларов общих потерь от BEC, зафиксированных в период с 2022 по 2024 год. Атаки BEC заняли седьмое место среди наиболее часто сообщаемых преступлений в IC3 FBI в 2024 году с 21 442 индивидуальными жалобами, но заняли второе место по суммарным денежным потерям, что демонстрирует, что, хотя атаки BEC составляют меньший процент от общего количества жалоб на киберпреступления, они связаны с значительно более высокими финансовыми убытками за один инцидент.

Средние потери за один инцидент для BEC значительно превышают большинство других категорий киберпреступлений, поскольку атаки специально нацелены на финансовые операции с высокой стоимостью, при этом одиночные поддельные письма от взломанных аккаунтов генеральных директоров или мошеннических адресов поставщиков перенаправляют сотни тысяч долларов в виде банковских переводов. Для вас как пользователя электронной почты это означает, что меры аутентификации, защищающие ваш почтовый ящик, не просто предотвращают спам — они предотвращают потенциально катастрофическое финансовое мошенничество.

Тревожный рост фишинговых атак с использованием ИИ

Фишинговые атаки, которые часто предшествуют инцидентам BEC и другим компрометациям, продемонстрировали тревожные тенденции роста. Согласно исследованиям в области безопасности, отслеживающим тенденции фишинга, в 2025 году по сравнению с предыдущим годом было зафиксировано увеличение количества фишинговых писем на 17,3 %, а также заметный рост на 47 % числа атак, обходящих встроенные защитные средства Microsoft и безопасные почтовые шлюзы.

Сложность и персонализация фишинговых атак значительно возросли: 82,6 % фишинговых писем, обнаруженных с сентября 2024 по февраль 2025 года, использовали искусственный интеллект, что представляет собой рост на 53,5 % в годовом исчислении по использованию ИИ в фишинге. В исследовании 2025 года был зафиксирован рост успешных фишинговых мошенничеств на 400 %, связанный с применением инструментов ИИ, при этом инструменты ИИ для фишинга теперь обходятся злоумышленникам всего в 75 долларов. Критично, что сгенерированные ИИ фишинговые письма имеют на 60 % более высокий показатель кликов, чем традиционные фишинговые письма, что указывает на то, что автоматизированные системы ИИ создают более убедительные сообщения, чем усилия злоумышленников вручную.

Именно поэтому традиционный совет «обращайте внимание на орфографические ошибки и плохую грамматику» больше не защищает вас от фишинговых атак. Фишинг с использованием ИИ генерирует грамматически безупречные, контекстно уместные и высоко персонализированные сообщения, которые практически неотличимы от подлинных коммуникаций. Аутентификация электронной почты становится обязательной, поскольку вы больше не можете полагаться исключительно на анализ содержания для выявления угроз.

Взломанные аккаунты и атаки на цепочку поставок

Связь между взломанными аккаунтами электронной почты и атаками BEC демонстрирует еще один критически важный вектор атак. Исследования показывают, что 57,9 % фишинговых писем, обнаруженных с сентября 2024 по февраль 2025 года, были отправлены с взломанных аккаунтов, что представляет собой рост на 49,9 % по сравнению с предыдущими шестью месяцами. Кроме того, 11,4 % всех фишинговых атак в тот же период исходили из цепочек поставок целевых организаций, при этом зафиксирован рост на 67,4 % количества фишинговых писем, отправленных со взломанных аккаунтов на платформах третьих лиц.

Эти статистические данные указывают на то, что злоумышленники часто взламывают легитимные электронные аккаунты — будь то аккаунты целевых организаций, клиентов или поставщиков — а не создают полностью мошенническую инфраструктуру электронной почты. Это делает меры против подделки особенно важными для выявления таких гибридных сценариев атак, когда инфраструктура отправки технически легитимна, но аккаунт был скомпрометирован.

Атаки с использованием взломанных почтовых адресов поставщиков, при которых злоумышленники получают доступ к доверенным адресам третьих лиц для вставки мошеннических платежных инструкций, выросли на 66 % в первой половине 2024 года. Это представляет собой тревожное изменение в тактике BEC, когда злоумышленники все чаще нацеливаются на отношения в цепочке поставок, а не напрямую взламывают конечные целевые организации, эксплуатируя врожденное доверие клиентов к коммуникациям с поставщиками.

Как изменения в аутентификации электронной почты защищают ваш почтовый ящик от сложных угроз

Понимание того, как протоколы аутентификации защищают от конкретных типов атак, помогает понять, почему эти меры необходимы и как они защищают вас как пользователя электронной почты.

Предотвращение атак с подделкой домена и выдачей за другого

Атаки с подделкой домена работают за счет регистрации злоумышленниками доменов, визуально похожих на целевые, с использованием трюков с гомоглифами, таких как замена латинских символов на кириллические или добавление отдельных букв в новых общих доменах верхнего уровня. Исследование 2025 года показало, что только 47,7% из топ-1,8 миллиона доменов публикуют запись DMARC, при этом менее 20% применяют политики "карантин" или "отклонение". Это означает, что более половины крупных доменов остаются незащищенными от подделки через собственные домены.

Злоумышленники активно используют этот пробел в защите, используя инструменты искусственного интеллекта для создания идеальных приманок и фальшивых порталов входа за секунды, а затем перенаправляют ответы через похожие домены, которые обходят проверки SPF и DKIM. Внедрение политики DMARC специально предотвращает такую ситуацию, инструктируя принимающие почтовые серверы отклонять любые письма, якобы исходящие от домена организации, если аутентификация SPF или DKIM не подтверждает, что сообщение действительно пришло с авторизованной инфраструктуры.

Для вас как получателя это означает, что когда вы получаете письмо с якобы вашего банка, провайдера электронной почты или доверенной службы, система аутентификации уже проверила, что сообщение действительно было отправлено с авторизованной инфраструктуры этой организации. Письма с поддельных доменов, которые визуально похожи на легитимные, но не проходят проверку аутентификации, автоматически фильтруются до попадания в ваш почтовый ящик.

Обнаружение действий скомпрометированных аккаунтов

Хотя протоколы аутентификации в первую очередь предотвращают внешние атаки с подделкой доменов, они также дают ценные индикаторы для обнаружения деятельности скомпрометированных аккаунтов. Когда легитимные аккаунты взламываются и используются для рассылки фишинговых писем, сообщения проходят базовые проверки SPF и DKIM, поскольку отправляются с авторизованной инфраструктуры. Однако отчеты DMARC предоставляют организациям подробную информацию обо всех письмах, отправленных с их доменов, что позволяет командам безопасности выявлять необычные паттерны отправки, указывающие на скомпрометированные аккаунты.

Это особенно важно, учитывая, что более половины фишинговых писем сейчас исходят именно из скомпрометированных аккаунтов, а не с внешней инфраструктуры злоумышленников. Система аутентификации создает аудиторский след, который помогает организациям выявлять и устранять скомпрометированные аккаунты до того, как они будут использованы для атак на вас и других получателей.

Защита от изменения содержимого электронной почты

Криптографические подписи DKIM защищают вас от особенно коварного вектора атаки: изменения содержимого email во время передачи. Злоумышленники, получив доступ к промежуточным почтовым серверам или сетевой инфраструктуре, теоретически могут перехватывать легитимные письма и изменять их содержимое перед пересылкой получателям. Это может включать изменение инструкций по оплате, условий контрактов или вставку вредоносных ссылок в казалось бы легитимные сообщения.

DKIM предотвращает такую атаку, создавая криптографический хэш содержимого письма, который принимающие серверы проверяют перед отображением сообщения вам. Любое изменение подписанного содержимого приводит к несовпадению хэша, что сразу же помечает сообщение как потенциально скомпрометированное. Это гарантирует, что вы получаете именно то письмо, которое отправил отправитель, без несанкционированных изменений.

Продвинутые протоколы аутентификации и визуальные индикаторы доверия

Помимо базовых протоколов SPF, DKIM и DMARC, новые технологии решают дополнительные задачи аутентификации и обеспечивают визуальное подтверждение легитимности отправителя, учитывая современные изменения в аутентификации электронной почты.

Authenticated Received Chain (ARC) для пересылки электронной почты

Если вы замечали, что пересланные письма иногда не доходят корректно или что сообщения рассылок иногда попадают в спам, вы столкнулись с ограничениями традиционных протоколов аутентификации при прохождении писем через промежуточные серверы. Authenticated Received Chain (ARC) — это новый протокол, предназначенный именно для решения этих проблем.

При пересылке электронных писем IP-адрес отправителя меняется на IP пересылающего сервера, который обычно отсутствует в SPF-записи исходного отправителя, что вызывает сбои SPF, несмотря на легитимность пересылки. Аналогично, когда рассылки добавляют префиксы к теме, подвал или изменяют структуру сообщения, изменённое содержимое уже не соответствует исходной DKIM-подписи, вызывая сбои DKIM.

ARC сохраняет информацию об аутентификации из исходного домена отправителя, создавая дополнительные заголовки, которые документируют статус аутентификации исходного сообщения, что позволяет принимающим серверам проверять, что промежуточные серверы законно переслали сообщение. Внедрение ARC в крупных сервисах пересылки показало значительную эффективность — организации, применяющие ARC, снизили количество сбоев DMARC на пересылаемой почте в среднем на 52 % на путях доставки Gmail и на 31 % — на путях доставки Outlook.

Brand Indicators for Message Identification (BIMI)

Если вы замечали логотипы брендов рядом с письмами от определённых отправителей во входящих, значит, вы видите BIMI в действии. Brand Indicators for Message Identification — это дополнительное улучшение к системе аутентификации электронной почты, которое позволяет организациям отображать свой логотип непосредственно во входящих получателей рядом с аутентифицированными письмами.

BIMI был представлен в 2021 году как спецификация электронной почты, основанная на существующих протоколах DMARC, SPF и DKIM, предоставляя визуальное подтверждение легитимности письма и повышая узнаваемость бренда. Ранее BIMI требовал от организаций получения Verified Mark Certificates (VMC) у удостоверяющих центров, стоимость которых составляла от 1000 до 1500 долларов в год и требовала активной регистрации торговой марки. Эти значительные финансовые и административные барьеры ограничивали внедрение BIMI преимущественно крупными и хорошо финансируемыми организациями.

Объявление Google на 2025 год о поддержке Common Mark Certificates (CMC) стало ключевым моментом для доступности BIMI, так как отменяет требование наличия торговой марки при сохранении функционала отображения логотипа. CMC требуют лишь демонстрации использования логотипа в течение одного года, устраняя необходимость в активной регистрации торговой марки и значительно снижая стоимость сертификации по сравнению с VMC.

Для вас как получателя почты BIMI обеспечивает мгновенное визуальное подтверждение, что письмо прошло проверки аутентификации и пришло от проверенного отправителя. Исследования показывают, что бренды, внедрившие BIMI, увеличили узнаваемость бренда до 44 % после контакта, при этом для сильных брендов этот показатель достигал 120 %, а уровень открытия писем вырос до 39 % как для транзакционных, так и для рекламных сообщений. Этот визуальный индикатор доверия помогает быстро отличать легитимные письма от попыток подделки.

Соображения по конфиденциальности и безопасности почтового клиента

Хотя протоколы серверной аутентификации защищают вас от поддельных и вредоносных писем, выбор почтового клиента также существенно влияет на вашу конфиденциальность и уровень безопасности.

Архитектуры локального хранения и защита конфиденциальности

Почтовые клиенты стали важным уровнем в архитектуре безопасности электронной почты, при этом дизайнерские решения клиента напрямую влияют на защиту конфиденциальности конечного пользователя и надежность безопасности. Mailbird, настольный почтовый клиент для Windows и macOS, является примером принципов конфиденциальности по дизайну, реализуя локальное хранение всех данных электронной почты исключительно на компьютерах пользователей, а не сохраняет сообщения на удалённых серверах, контролируемых провайдером почтового клиента.

Этот архитектурный выбор означает, что Mailbird не может получить доступ к содержимому вашей почты, не может быть принужденным предоставить ваши сообщения в ответ на юридические запросы и не создаёт централизованных уязвимых точек, где могла бы быть скомпрометирована полная база данных писем. Модель локального хранения представляет собой принципиальный отход от облачных подходов к хранению электронной почты, при которых провайдеры электронной почты сохраняют постоянные копии всех пользовательских сообщений на своих серверах, что позволяет проводить комплексный анализ данных для рекламных целей, проверки безопасности и соблюдения законодательства.

Ограничивая сбор данных исключительно операционной информацией, необходимой для функционирования клиента, архитектура Mailbird минимизирует отслеживание пользователей и предотвращает создание подробных профилей использования электронной почты. Этот архитектурный выбор обеспечивает существенные преимущества для конфиденциальности, особенно в сочетании с провайдерами электронной почты, ориентированными на конфиденциальность, которые реализуют шифрование и удаление метаданных на уровне провайдера.

Проблемы конфиденциальности при проверке электронной почты

Ссылки для проверки электронной почты, хотя и необходимы для подтверждения владения адресом при регистрации и аутентификации, создают векторы риска для конфиденциальности, через которые третьи лица могут отслеживать поведение пользователя и формировать подробные пользовательские профили. Нажатие на ссылку проверки генерирует сетевой трафик с IP-адресами пользователей, типами устройств, операционными системами, версиями браузеров и точными временными метками, которые инфраструктура отслеживания фиксирует и связывает с электронными адресами.

Данные ссылки для проверки позволяют создавать отпечатки устройств, идентифицирующие одного и того же пользователя на разных устройствах и платформах, формируя устойчивые межустройственные профили пользователей. В 2025 году появилась техника точечного фишинга, при которой злоумышленники используют интегрированные API или JavaScript для подтверждения адресов электронной почты в реальном времени перед запуском фишинговых атак. Этот этап проверки опирается именно на тот тип поведенческих данных, которые раскрывает отслеживание ссылок проверки — что связано с изменениями в аутентификации электронной почты.

Защита конфиденциальности Apple Mail пытается решить проблему раскрытия при проверке почты, предварительно загружая все изображения писем на прокси-серверах Apple и скрывая IP-адреса, чтобы отправители не могли определить местоположение получателя. Тем не менее Apple Mail Privacy Protection специально исключает из защиты клики по ссылкам, поскольку для законной проверки адреса электронной почты требуются реальные действия пользователя — нажатия на ссылки, которые Apple не может выполнить предварительно, не нарушая функциональность проверки.

Функции защищенного почтового клиента

Почтовые клиенты, разработанные с целью обеспечения конфиденциальности и безопасности, включают фильтрацию спама, работающую вместе с фильтрами провайдера для перехвата фишинговых попыток, поддержку многофакторной аутентификации для подключённых почтовых аккаунтов и обязательное шифрование всех соединений с почтовыми серверами с использованием протоколов TLS/SSL. Mailbird поддерживает шифрование TLS для всех соединений с почтовыми серверами, обеспечивает принудительное использование зашифрованных соединений, когда это возможно, и позволяет пользователям подключаться к зашифрованным почтовым провайдерам для обеспечения комплексной защиты сообщений.

Пользователям, стремящимся к полной конфиденциальности почты, рекомендуется включить полное шифрование диска с помощью BitLocker (Windows) или FileVault (macOS) для защиты данных почты в случае потери или кражи устройств, использовать надёжные уникальные пароли для доступа к устройствам и почтовым аккаунтам, включить многофакторную аутентификацию на всех подключённых почтовых аккаунтах, и своевременно обновлять операционные системы и почтовые клиенты с применением патчей безопасности. В сочетании с провайдерами электронной почты, ориентированными на конфиденциальность и реализующими нулевой доступ через шифрование, эти локальные меры безопасности обеспечивают значительную защиту конфиденциальности от несанкционированного доступа.

Навигация по проблемам внедрения аутентификации

Если ваша организация испытывает трудности с внедрением этих требований аутентификации или вы как отдельный пользователь задаётесь вопросом, почему легитимные письма от доверенных организаций блокируются, понимание типичных проблем внедрения даёт ценную информацию в контексте изменений в аутентификации электронной почты.

Постоянные пробелы в принятии и обеспечении

Несмотря на многолетнее ужесточение нормативного давления и контроль со стороны поставщиков почтовых ящиков, внедрение DMARC остаётся неполным. Согласно глобальной статистике внедрения DMARC, лишь 10,7% доменов по всему миру имеют полную защиту через политики enforce-reject, 18,4% имеют частичное покрытие через политики quarantine, а 70,9% доменов мира не имеют эффективной защиты DMARC. Прошло более десяти лет с момента появления DMARC, и многие организации до сих пор не внедрили её, что свидетельствует о сохраняющихся барьерах для принятия технологии, несмотря на явные преимущества для безопасности и теперь обязательные нормативные требования.

Разрыв между внедрением DMARC и обеспечением отражает организационные трудности в различении легитимных источников электронной почты и гарантии того, что все авторизованные отправители проходят правильную аутентификацию перед внедрением политик отклонения. Многие организации при начальном внедрении DMARC настраивают политики p=none (только мониторинг), после чего сталкиваются со значительными техническими и операционными сложностями при переходе к политикам enforce-quarantine или enforce-reject.

Этот разрыв в принятии и обеспечении создаёт критическую уязвимость в безопасности, когда организации сохраняют техническое соответствие нормативным требованиям через DMARC записи с p=none, при этом не достигая реальной защиты от атак подделки. Для вас как получателя электронной почты это означает, что даже если организации заявляют о внедрении аутентификации электронной почты, вы можете не получать полной защиты, которую эти системы способны обеспечить.

Пересылка электронной почты и сложные потоки сообщений

Пересылка электронной почты и операции с рассылочными списками создают серьёзные сложности при внедрении аутентификации, поскольку промежуточные серверы изменяют характеристики сообщений таким образом, что нарушается аутентификация SPF и DKIM. Простая пересылка без изменений обычно ломает SPF, так как IP-адрес пересылщика не авторизован в SPF записи оригинального отправителя, однако DKIM сохраняется, если содержимое сообщения не изменяется. Однако рассылочные списки и другие промежуточные устройства, добавляющие префиксы к теме, сноски или изменяющие структуру MIME, часто нарушают DKIM, вызывая сбои DMARC, когда ни SPF, ни DKIM не проходят аутентификацию.

Организации, управляющие сервисами пересылки, рассылочными списками или использующие входящие шлюзы, сталкиваются с особыми трудностями при внедрении политик обеспечения DMARC, поскольку легитимные пересланные сообщения не проходят проверки аутентификации, если не реализован ARC. Исследования показывают, что 73% сбоев DMARC из-за пересылки связаны с ошибками SPF при отсутствии или несоответствии DKIM, 21% вызваны нарушениями DKIM из-за модификации контента, и 6% связаны с смешанными или многоступенчатыми цепочками.

Для организаций, не способных внедрить ARC, существуют альтернативные стратегии снижения рисков, включая Sender Rewriting Scheme (SRS), которая переписывает адрес отправителя на пересылочных серверах для сохранения соответствия SPF, и методы from-rewrite, изменяющие видимый заголовок From, чтобы указать, что сообщение переслано. Однако эти методы вносят свои сложности и могут быть не подходящими для всех организационных потоков электронной почты.

Практические рекомендации для пользователей электронной почты и организаций

Будь вы частным пользователем электронной почты, стремящимся гарантировать получение важных сообщений, или организацией, реализующей требования аутентификации, конкретные практические шаги помогут вам ориентироваться в трансформированном мире электронной почты с учётом изменений в аутентификации электронной почты.

Для частных пользователей электронной почты

В качестве получателя электронной почты у вас ограниченный прямой контроль над внедрением аутентификации, но вы можете принять меры для максимальной защиты своей электронной почты и обеспечения получения законных сообщений:

Регулярно проверяйте папку спама в этот переходный период, так как законные письма от организаций, которые ещё не полностью внедрили аутентификацию, могут ошибочно фильтроваться. Если вы обнаружите законные письма в спаме, отметьте их как «не спам» для обучения фильтров вашего почтового провайдера.

Используйте почтовый клиент, который приоритетно обеспечивает конфиденциальность и безопасность. Mailbird обеспечивает локальное хранение всех данных электронной почты исключительно на вашем компьютере, гарантируя, что содержимое почты остаётся под вашим контролем, а не хранится на удалённых серверах. Такой подход защищает вашу конфиденциальность и одновременно предоставляет надёжную фильтрацию спама, работающую в сочетании с фильтрами провайдера для обнаружения попыток фишинга.

Включите многофакторную аутентификацию для всех ваших почтовых аккаунтов. Исследования показывают, что в 2023 году 58% атак BEC были направлены на организации без MFA, тогда как к первому кварталу 2024 года лишь 25% атак BEC приходились на организации без MFA. Многофакторная аутентификация служит важной дополнительной защитой к протоколам аутентификации электронной почты.

Будьте осторожны с ссылками на проверку по электронной почте, понимая, что переход по этим ссылкам генерирует сетевой трафик, содержащий ваш IP-адрес, тип устройства, операционную систему, версию браузера и точную временную метку, которую системы отслеживания могут захватывать и связывать с вашим адресом электронной почты. По возможности заходите на сайты вручную, а не переходите по проверочным ссылкам в письмах.

Используйте надёжные уникальные пароли для всех почтовых аккаунтов и включайте полное шифрование диска с помощью BitLocker (Windows) или FileVault (macOS) для защиты данных электронной почты в случае утери или кражи устройства. Поддерживайте свою операционную систему и почтовый клиент в актуальном состоянии с последними обновлениями безопасности, чтобы обеспечить получение последних улучшений защиты.

Для организаций, внедряющих аутентификацию

Организации, реализующие аутентификацию электронной почты, должны следовать структурированному поэтапному подходу, включающему оценку, развертывание, постепенное применение и политику полного отклонения, обычно требующему от шести до восьми недель от первоначальной оценки до полного внедрения требований аутентификации.

Этап 1: Оценка включает аудит текущей конфигурации SPF, DKIM и DMARC для всех доменов и поддоменов с использованием специализированных инструментов, выявление пробелов в настройках аутентификации и каталогизацию всех законных источников электронной почты вашей организации. Особое внимание уделяется поддоменам, которые могут отправлять письма независимо от основной инфраструктуры домена.

Этап 2: Развертывание требует внедрения правильных политик аутентификации с включенным мониторингом для выявления всех легитимных источников электронной почты, обеспечивая, что каждая система, отправляющая почту от имени вашей организации, правильно авторизована в SPF-записях и настроена для подписи DKIM. Необходимо учесть платформы маркетинговой автоматизации, CRM-системы, системы поддержки клиентов, бухгалтерское ПО и любые сторонние сервисы, отправляющие почту от вашего имени.

Этап 3: Постепенное применение включает переход от политики мониторинга (p=none) к карантину (p=quarantine) и далее к отклонению (p=reject) по мере повышения уверенности в конфигурации и устранения ложных срабатываний. В этот этап требуется тщательный мониторинг отчетов DMARC, чтобы убедиться, что законные источники не блокируются ошибочно. Организации должны рассчитывать на несколько недель на каждом уровне применения на обширное тестирование перед переходом к более строгим политикам.

Этап 4: Политика полного отклонения представляет собой конечную цель, при которой организации дают указания почтовым серверам получателей отклонять любые письма, якобы отправленные с их домена, но не прошедшие аутентификацию SPF или DKIM. Этот уровень политики обеспечивает максимальную защиту от подделки домена, но требует абсолютной уверенности, что все легитимные отправители правильно аутентифицируются.

Обучение сотрудников и развитие человеческого информационного барьера

Обучение сотрудников является одним из самых эффективных средств защиты от фишинга и атак BEC. Согласно исследованиям по повышению осведомленности о безопасности, всего 90 дней обучения могут снизить риск более чем на 40%, а после полного года обучения снижение риска достигает 86%, с уровнем уязвимости к фишингу всего 4,1%.

Обучение безопасности должно сосредоточиться на практических навыках, включая наведение курсора на ссылки перед кликом для проверки адреса URL, тщательную проверку адресов отправителей, осторожность с неожиданными вложениями и понимание последствий нарушений безопасности. Обучение должно включать реальные примеры, актуальные для отрасли и ролей вашей организации, с использованием симулированных фишинговых упражнений, чтобы помочь сотрудникам распознавать подозрительные письма в реалистичных ситуациях.

Организации должны наладить процессы, позволяющие сотрудникам легко сообщать о подозрительных письмах, чётко указав, кому обращаться, какую информацию включать в отчёты и что делать с подозрительными сообщениями. Большинство экспертов по безопасности рекомендуют сохранять такие письма для расследования командой безопасности, а не удалять их сразу.

Протоколы проверки для сделок с высокой ценностью

Технологии аутентификации электронной почты не могут предотвратить все атаки BEC; организации должны внедрять строгие протоколы проверки, требующие подтверждения второго фактора для переводов средств и запросов конфиденциальных данных. Лучшие практики предусматривают устное подтверждение по телефону с предполагаемым отправителем перед выполнением банковских переводов, внедрение процедур «доверенного обратного звонка» и установление рабочих процессов утверждения с несколькими уровнями авторизации для сделок с высокой ценностью.

Организации должны применять политики проверки любых запросов средств или конфиденциальных данных через второй канал, особенно уделяя внимание запросам на банковские переводы, изменения платежных инструкций и доступ к конфиденциальным системам или данным. Особое внимание изменению платежных инструкций следует уделять в сценариях с поставщиками, когда злоумышленники могут компрометировать почтовые аккаунты поставщиков для перенаправления будущих платежей.

Будущее безопасности электронной почты и аутентификации

Внедрение обязательных требований к аутентификации электронной почты представляет собой необратимую трансформацию архитектуры инфраструктуры электронной почты, поднимая протоколы аутентификации с уровня необязательных лучших практик до неотъемлемых технических требований, которые обеспечивают крупнейшие провайдеры почтовых ящиков и которые все чаще становятся обязательными в рамках нормативных требований.

Организации, которые еще не добились полного соответствия, сталкиваются с конкретными последствиями, включая сбои в доставке электронной почты, попадание писем в папку со спамом и прямой отказ в приеме сообщений от доменов с высоким объемом отправки. Совмещение требований провайдеров почтовых ящиков, нормативных требований и роста сложности атак на основе электронной почты создает беспрецедентную срочность принятия изменений в аутентификации электронной почты, выходящих за рамки необязательных улучшений безопасности и становящихся необходимой инфраструктурой для поддержания бизнес-коммуникаций.

Будущие изменения, включая более строгое соблюдение политик DMARC сверх текущих минимальных значений p=none, универсальное принятие ARC основными службами пересылки, а также возможное обязательное внедрение MTA-STS представляют собой логичные следующие шаги в продолжающейся эволюции безопасности электронной почты. Почтовые клиенты, такие как Mailbird, которые реализуют архитектуру локального хранения и принципы приватности по умолчанию, будут играть все более важную роль, поскольку организации стремятся защитить конфиденциальность пользователей и одновременно извлекать выгоду из улучшений в аутентификации электронной почты.

Интеграция аутентификации электронной почты в более широкие рамки безопасности с нулевым доверием признает, что проверка идентичности и поведенческий анализ должны дополнять технические протоколы аутентификации для борьбы с новыми векторами атак с применением ИИ, такими как фишинг и полиморфные атаки. Организации, которые успешно преодолеют сложности внедрения аутентификации, достигнут принудительного применения DMARC на уровне политики отклонения и комбинируют аутентификацию электронной почты с комплексным обучением безопасности и процессным контролем, получат конкурентные преимущества за счет превосходной безопасности электронной почты и повышенной доставляемости по сравнению с отстающими конкурентами.

Ландшафт проверки электронной почты фундаментально изменился: с процесса, контролируемого отправителем и являющегося необязательным, он превратился в совместную экосистему, в которой провайдеры почтовых ящиков, регулирующие органы, почтовые клиенты и организации совместно работают над подтверждением личности отправителя и предотвращением атак с имитацией. Эта трансформация отражает более широкое признание отраслью того, что безопасность электронной почты не может решаться односторонне каким-либо участником и требует скоординированных технических, нормативных и организационных усилий для эффективной борьбы с хорошо оснащенными и постоянно адаптирующими атаки злоумышленниками, ищущими оставшиеся уязвимости.

По мере того как искусственный интеллект продолжает ускорять рост сложности фишинговых и атак на корпоративную электронную почту вплоть до 2026 года и далее, фундаментальная инфраструктура аутентификации электронной почты, созданная в рамках действующих требований к соответствию, окажется незаменимой для отличия законных сообщений от все более убедительных мошеннических писем. Революция по борьбе с подделкой, вызванная SPF, DKIM, DMARC и новыми протоколами, такими как ARC и BIMI, демонстрирует, как скоординированные действия крупных технологических платформ могут в рекордно короткие сроки изменить практики безопасности по всему миру.

Часто задаваемые вопросы