Как правила автоматической пересылки электронной почты нарушают вашу конфиденциальность в 2026

Понимание того, как пересылка электронной почты создает риски конфиденциальности

Механизмы пересылки электронной почты были внедрены в инфраструктуру электронной почты в эпоху, когда защита конфиденциальности редко учитывалась при разработке протоколов. Когда вы настраиваете автоматическую пересылку электронной почты — независимо от того, используете ли вы правила входящих сообщений Outlook, интерфейс пересылки Gmail или облачные почтовые системы — вы создаете постоянные инструкции, которые автоматически отправляют копии входящих сообщений внешним получателям или на альтернативные адреса; эти инструкции сохраняются до тех пор, пока вы явно не удалите или не отключите их.

Согласно всестороннему исследованию рисков конфиденциальности при пересылке электронной почты, основная проблема выходит за рамки простой передачи данных. Пересылка электронной почты создает постоянные уязвимости безопасности, которыми злоумышленники активно пользуются для организации тайных каналов наблюдения, вывода конфиденциальной организационной информации, проведения сложных мошеннических схем и поддержания доступа к скомпрометированным учетным записям даже после того, как законные пользователи изменили свои пароли.

Техническая сложность правил пересылки электронной почты значительно выросла — от простых механизмов, которые пересылали все сообщения на заданные адреса, до точных систем, способных выборочно пересылать только сообщения с определенными ключевыми словами, от конкретных отправителей или соответствующие сложным логическим условиям. Эта эволюция создала среду, где злоумышленники могут создавать очень таргетированные правила пересылки, которые захватывают только ваши самые чувствительные коммуникации — счета, подтверждения платежей, уведомления о сбросе пароля или сообщения от конкретных руководителей — при этом обычный поток электронной почты остается заметно не нарушенным.

Особенно коварным является возможность скрывать правила в стандартных административных интерфейсах. Исследование аналитиков безопасности Huntress по скрытым правилам во входящих показывает, что злоумышленники могут использовать методы манипуляции Microsoft Messaging API (MAPI) для создания правил, полностью невидимых в Outlook, инструментах администрирования Exchange или веб-интерфейсах управления, создавая по-настоящему скрытые каналы наблюдения, которые даже опытным администраторам трудно обнаружить традиционными методами.

Правила пересылки работают на стадии атаки, которую специалисты по безопасности называют "посткомпрометационной". Согласно исследованию Red Canary по обнаружению угроз, основанному на анализе реальных зараженных сред, злоумышленники регулярно замечают, что правила пересылки сохраняются даже после смены пароля, что означает, что даже после замены учетных данных в ответ на подозрение на взлом вредоносные правила пересылки продолжают тайно отправлять конфиденциальную информацию на адреса, контролируемые злоумышленниками.

Эта особенность постоянства делает злоупотребление пересылкой электронной почты особенно опасным, поскольку стандартные меры безопасности учетной записи — сброс пароля, повторная регистрация многофакторной аутентификации и отзыв сессий — не устраняют каналы доступа злоумышленников, которые функционируют на уровне почтового ящика, а не через традиционные учетные данные аутентификации.

Как злоумышленники тихо используют правила пересылки для наблюдения

Практическое применение вредоносных правил пересылки электронной почты следует устойчивым схемам, наблюдаемым во множестве задокументированных кампаний угроз. Злоумышленники начинают с получения доступа к почтовым аккаунтам через фишинговые кампании, направленные на кражу учетных данных пользователей, атаки социальной инженерии, атаки путем подбора паролей или эксплуатацию уязвимостей безопасности в почтовых платформах.

Согласно исследованиям безопасности, посвященным услугам фишинга как сервису, в 2025 году картина угроз показывает, что сложные фишинговые наборы, теперь широко доступные, могут обходить многофакторную аутентификацию посредством прокси-атак типа «человек посередине», перехватывая как учетные данные, так и сессионные куки аутентификации перед их пересылкой легитимным почтовым провайдерам от имени злоумышленников. Это представляет собой рост числа взломов аккаунтов на 389% благодаря этим профессиональным услугам фишинга.

После получения действительных учетных данных и установления доступа к почтовому ящику, исследования Red Canary показывают, что злоумышленники обычно сразу переходят к созданию правил пересылки как к первоочередному действию, создавая механизмы постоянного доступа перед выполнением других вредоносных действий, таких как поиск конфиденциальной информации в содержимом почты или составление мошеннических сообщений.

Сложные методы обхода обнаружения

Сложные угрозы, чья активность была подробно задокументирована, демонстрируют поразительную дисциплину при формировании вредоносных правил пересылки. Вместо создания правил с явно подозрительными именами, которые могут быть замечены при рутинных проверках, злоумышленники создают правила с намеренно тривиальными именами, состоящими из одиночных точек, точек с запятыми или повторяющихся символов, например «aaaa» или «..........» — имена, которые легко сливаются с системными процессами и кажутся незначительными даже при поверхностном просмотре.

Логика таргетинга, встроенная в эти правила, демонстрирует дополнительную сложность. Злоумышленники настраивают пересылку таким образом, чтобы она активировалась только для сообщений, содержащих определенные ключевые слова, связанные с конфиденциальными бизнес-процессами — «счет», «зарплата», «банковский перевод», «сброс пароля» или «заказ на покупку» — вместо пересылки всей входящей почты, что вызвало бы более явные аномалии в поведении.

Такой избирательный подход к пересылке позволяет злоумышленникам сохранять крайне низкую заметность, захватывая при этом информацию самой высокой ценности. Расследования реальных атак показывают, что злоумышленники иногда настраивают правила пересылки, ориентируясь на конкретных высокопоставленных получателей — главных финансовых директоров, руководителей с полномочиями подписи, бухгалтерские отделы или отделы кадров — а не на основе содержимого, обеспечивая, чтобы сообщения от лиц, принимающих решения в организации, напрямую поступали в почтовые ящики, контролируемые злоумышленниками.

Влияние мошенничества с бизнес-электронной почтой

После создания первоначальных правил пересылки для сбора организационной информации злоумышленники часто переходят к систематическому мошенничеству, составляя чрезвычайно убедительные мошеннические письма, которые выглядят как исходящие от легитимных внутренних адресов. Разведка, проведенная с помощью правил пересылки, предоставляет злоумышленникам критически важную контекстуальную информацию для создания чрезвычайно правдоподобных писем с имитацией личности.

Согласно анализу аудита Microsoft 365 по атакам BEC, злоумышленники могут начать выполнять атаки на бизнес-электронную почту уже через четырнадцать минут после захвата учетных данных, используя мгновенный доступ для создания правил пересылки, кражи последних писем с организационным контекстом и начала отправки мошеннических сообщений.

Документированные показатели успешности атак на основе электронных писем с разведкой через правила пересылки вызывают тревогу. Исследования показывают, что к 2024 году атаки BEC нанесли американским жертвам ущерб более 2,7 миллиарда долларов, при этом организации, подвергшиеся атакам мошенничества с бизнес-электронной почтой, сообщают о средних финансовых потерях, превышающих 1 миллион долларов, включая расходы на расследование, восстановление систем и устранение последствий.

Проблема скрытой утечки метаданных

Пересылка электронной почты создает значительную утечку метаданных, которая выходит далеко за пределы видимого содержимого сообщения, которое вы осознанно учитываете при разрешении передачи сообщения. Каждое электронное письмо содержит обширные метаданные, встроенные в заголовки сообщения, включая адреса отправителя и получателя с полной организационной принадлежностью, точные временные метки, фиксирующие время передачи с точностью до секунды, полную информацию о маршрутизации, идентифицирующую каждый почтовый сервер, через который прошло сообщение во время передачи, детали протоколов аутентификации, раскрывающие версии программного обеспечения и конфигурационные данные, а также географическую информацию, полученную на основе IP-адресов отправителя.

Согласно всестороннему анализу скрытых рисков пересылки электронной почты, когда вы пересылаете письма с вложениями — как намеренно через явные действия пересылки, так и автоматически через настроенные правила пересылки — вы одновременно передаете все вложенные файлы и всю историю сообщения, охватывающую потенциально несколько недель или месяцев предыдущего общения, полностью содержащую метаданные, раскрывающие участие каждой стороны, которая имела дело с сообщением.

Уязвимости метаданных документов

Проблема утечки метаданных становится особенно серьезной с учетом того, что вложения электронной почты сами по себе содержат дополнительные встроенные метаданные, полностью независимые от информации заголовков письма. Документы, пересылаемые по электронной почте, содержат метаданные, включая имена авторов, временные метки создания и изменения, названия компаний и организаций, связанных с создателями документа, историю версий, отслеживающую все изменения в документе, GPS-координаты, захваченные фотографиями или мобильными документами, а также информацию об организационной структуре, видимую через свойства документа.

Когда вы пересылаете письма с конфиденциальными документами — квартальными отчетами, предложениями для клиентов, финансовыми таблицами, юридическими документами или собственными анализами — вы раскрываете эти встроенные метаданные документов получателям и любым промежуточным системам, обрабатывающим пересланное сообщение, создавая постоянные записи об авторстве документа, истории изменений и организационных связях, которые остаются неизменными после отправки письма.

Исследование Guardian Digital о рисках безопасности метаданных электронной почты показывает, что продвинутые злоумышленники специально нацеливаются на метаданные электронной почты как основной источник разведданных, осознавая, что метаданные часто раскрывают более ценную информацию, чем само содержимое сообщения, включая паттерны коммуникаций в организации, иерархические отношения, детали технологической инфраструктуры, географические локации и индивидуальные модели передвижений, что позволяет проводить точные социальные инженерные атаки.

Утечка метаданных облачных сервисов

Пересылка электронной почты в облачные сервисы добавляет новые аспекты утечки метаданных, которые локальные почтовые клиенты устраняют за счет архитектурных решений. При пересылке писем на облачные почтовые сервисы, такие как Gmail или Outlook, полное сообщение вместе со всеми метаданными передается в облачную инфраструктуру, где системы почтовых провайдеров хранят полные копии с метаданными, полностью доступными сотрудникам облачного провайдера, государственным органам с соответствующими юридическими запросами и потенциально другим опытным злоумышленникам, которые могут скомпрометировать инфраструктуру провайдера.

Последствия для конфиденциальности серьезны: метаданные электронной почты, раскрывающие схемы коммуникаций, сетевые связи, поведенческие паттерны и географические локации, становятся постоянно доступными крупным организациям облачной инфраструктуры, способным осуществлять массовый надзор, коррелировать паттерны метаданных миллионов пользователей для выявления тенденций и сетевых связей, а в некоторых случаях монетизировать эти данные через целевую рекламу или брокеров данных.

Пользователи, пересылающие письма на Gmail, Microsoft 365 или другие облачные сервисы, часто ошибочно полагают, что сквозное шифрование или базовые меры безопасности защищают их метаданные, не осознавая, что шифрование обычно защищает только содержимое сообщений при передаче и не обеспечивает защиту метаданных, которые передаются по нешифрованным каналам через множество почтовых серверов и остаются доступными серверам, системам хранения и административному персоналу почтовых провайдеров.

Организационные и комплаенс-риски неуправляемой пересылки электронной почты

Организации, которые не внедряют комплексных контролей над правилами пересылки электронной почты, подвергаются серьезным нарушениям нормативных требований и комплаенса, выходящим за рамки рисков конфиденциальности при пересылке электронной почты и затрагивающим формальные юридические обязательства с существенными финансовыми штрафами.

Общий регламент по защите данных (GDPR) устанавливает четкие требования к законной, справедливой и прозрачной обработке персональных данных с применением принципов защиты данных по умолчанию и при проектировании. Согласно требованиям GDPR к шифрованию электронной почты, организации должны учитывать последствия для защиты данных при внедрении правил пересылки электронной почты и обеспечивать, чтобы персональные данные жителей ЕС не пересылались случайно несанкционированным получателям или в облачную инфраструктуру, управляемую субъектами с иными требованиями по конфиденциальности.

Сотрудник, настроивший автоматическую пересылку рабочих писем на личный почтовый аккаунт, размещенный в общедоступном облачном сервисе, может непреднамеренно переслать сообщения с персональными данными граждан ЕС в облачную инфраструктуру, управляемую американскими компаниями, подпадающими под действие таких законов США, как Patriot Act и CLOUD Act, которые предоставляют властям широкие полномочия доступа к данным без ордеров, что потенциально нарушает требования GDPR в части международной передачи данных и ответственности обработчиков данных.

Финансовые последствия и юридическая ответственность

Финансовые последствия нарушений требований GDPR в результате неуправляемой пересылки электронной почты значительны: штрафы регуляторов могут достигать четырех процентов мирового дохода или 20 миллионов евро — в зависимости от того, что больше, плюс компенсации за ущерб. Помимо прямых штрафов, организации несут значительные расходы на устранение последствий, включая судебно-технические исследования для определения масштабов несанкционированной передачи данных, юридическое консультирование по вопросам реагирования на нарушения и возможные судебные процессы, уведомление пострадавших лиц, усиление мер безопасности для предотвращения повторных инцидентов, затраты на управление репутацией в связи с раскрытием утечки данных, а также операционные трудности, так как команды занимаются расследованиями комплаенса вместо обычной работы.

Медицинские организации особенно уязвимы с точки зрения комплаенса с требованиями HIPAA, которые запрещают автоматическую пересылку защищенной медицинской информации через правила, которые могут раскрыть данные пациента или медицинские записи несанкционированным получателям.

Нарушения требований к месту хранения данных

Организации должны понимать, что пересылка электронной почты создает так называемые нарушения «места хранения данных» (data residency), если пересылаемые письма пересекают географические границы в нарушение требований локализации данных или хранятся на серверах, подчиненных иным юридическим юрисдикциям, нежели данные исходного региона.

Согласно анализу комплаенса по месту хранения данных, требования ЕС к защите персональных данных предусматривают хранение персональных данных в рамках юридических юрисдикций ЕС, если только не применены специальные меры защиты, включая стандартные договорные положения, то есть пересылка персональных данных в облачные сервисы США без соответствующих контрактных гарантий является нарушением требований к месту хранения данных.

Аналогично, медицинские данные, подпадающие под требования HIPAA, должны оставаться под контролем организации с применением технических и организационных мер защиты, что означает, что пересылка данных пациентов на личные облачные почтовые аккаунты нарушает ключевые принципы HIPAA, требующие от покрываемых субъектов сохранять контроль над защищенной медицинской информацией.

Почему вредоносные правила пересылки часто остаются незамеченными

Техническая реализация правил пересылки электронной почты создает значительные трудности для обнаружения, что позволяет вредоносным правилам работать незаметно в течение длительного времени, часто сохраняясь месяцами или даже годами, прежде чем команды реагирования на инциденты безопасности или административный персонал обнаружат несанкционированную пересылку. Это связано с рисками конфиденциальности при пересылке электронной почты.

Стандартные интерфейсы управления электронной почтой, включая настольные приложения Outlook, Outlook Web App и инструменты администрирования Exchange, показывают пользователям и администраторам только часть правил пересылки, в то время как продвинутые злоумышленники используют методы манипуляции MAPI (Microsoft Messaging API) для создания скрытых правил, которые остаются полностью невидимыми в этих стандартных интерфейсах.

Таблица скрытых правил в хранилище почтового ящика Exchange содержит определения правил, которые могут быть настроены так, чтобы скрываться от стандартных административных представлений, оставаясь при этом полностью функциональными и продолжая тихо пересылать сообщения, создавая ситуацию, когда злоумышленник поддерживает активные каналы наблюдения, которые администраторы не могут обнаружить с помощью обычных инструментов управления.

Пробелы в инфраструктуре обнаружения

Организации часто полностью не имеют автоматизированных механизмов обнаружения подозрительной активности пересылки электронной почты, полагаясь вместо этого на ручные процессы проверки, которые по своей природе непостоянны, уязвимы к человеческим ошибкам и практически невозможны для всестороннего выполнения в крупных организациях.

Согласно руководству Microsoft по классификации оповещений для подозрительной пересылки электронной почты, стандартные политики оповещений обеспечивают базовое обнаружение событий создания правил пересылки, но это обнаружение срабатывает на все события создания правил, включая законные административные действия, что приводит к утомлению из-за количества оповещений, когда подавляющее большинство обнаруженных событий создания правил пересылки представляют собой законную деятельность, из-за чего команды безопасности игнорируют легитимные оповещения или снижают приоритет их расследования.

Журналы аудита, создаваемые при создании злоумышленниками правил пересылки, содержат важную судебно-следственную информацию, включая отметку времени создания правила, учетную запись пользователя, создавшего правило, IP-адрес, с которого правило было создано, и конкретную конфигурацию правила, однако организациям необходимо коррелировать эту информацию из нескольких источников данных и анализировать её с учетом базовых моделей поведения пользователей для выявления подозрительной активности.

Эта корреляция и анализ требуют сложной инфраструктуры безопасности, включая системы управления информацией и событиями безопасности (SIEM), инструменты анализа поведения пользователей и сущностей (UEBA) или провайдеров управляемых служб безопасности с экспертизой в расследовании безопасности электронной почты — ресурсов, которых многим организациям не хватает или которые они неправильно настраивают.

Компрометация административных аккаунтов

Особая сложность выявления правил пересылки, созданных административными аккаунтами, добавляет еще один уровень трудностей для обнаружения, поскольку администраторы легитимно создают правила пересылки для организационных целей, но также могут быть скомпрометированы или подвергнуты социальной инженерии с целью создания вредоносных правил от имени злоумышленников.

Исследования по расследованию скомпрометированных аккаунтов показывают, что злоумышленники часто целенаправленно нацеливаются на административные аккаунты, так как административные права позволяют создавать правила пересылки на уровне всей организации или настраивать пересылку от имени других пользователей без срабатывания тех же механизмов обнаружения, которые фиксируют создание правил на уровне пользователя.

Согласно анализу угрозы группы Scattered LAPSUS$, документально подтверждено, что продвинутые злоумышленники создают правила транспортировки почты на уровне арендатора, влияющие на всю организацию, что требует административного доступа, но позволяет осуществлять организационный уровень наблюдения, которого нельзя достичь при компрометации отдельного почтового ящика.

Локальное хранение электронной почты: решение для обеспечения конфиденциальности

Локальное хранение электронной почты через настольные клиенты, такие как Mailbird, представляет собой принципиально иной архитектурный подход к управлению электронной почтой, который устраняет множество категорий рисков конфиденциальности при пересылке электронной почты, присущих облачным системам электронной почты. Вместо того чтобы хранить копии писем на удалённых серверах, контролируемых провайдерами почты, локальные почтовые клиенты загружают письма непосредственно на ваше устройство с помощью стандартных протоколов, таких как IMAP или POP3, при этом все сообщения, вложения, настройки и персональные данные находятся исключительно на вашем оборудовании под вашим прямым контролем.

Согласно всестороннему анализу локального хранения электронной почты по сравнению с облачными альтернативами, такой архитектурный выбор устраняет централизованную цель, которая делает облачные почтовые системы привлекательными для атак, и обеспечивает автоматическую защиту от взломов со стороны провайдеров, запросов государственных органов на доступ к данным и корпоративных операций по сбору данных, которые регулярно нацелены на облачную инфраструктуру электронной почты.

Архитектурная защита от законного доступа к данным

Реализация локального хранения в Mailbird означает, что компания не может получить доступ к вашим письмам даже если это требовать юридически через государственные запросы или судебные постановления, поскольку серверы Mailbird просто не хранят копии ваших коммуникаций. Такая архитектурная защита от законного доступа к данным представляет собой существенное преимущество в плане конфиденциальности по сравнению с облачными почтовыми системами, где провайдеры хранят полные копии писем, которые становятся объектом законных запросов от государственных органов.

По данным документации Mailbird по настройкам конфиденциальности, письма загружаются напрямую с Gmail, Outlook, Yahoo или других подключенных почтовых провайдеров на ваш компьютер, и Mailbird как компания не имеет доступа к содержимому сообщений, не может быть обязана предоставлять письма в ответ на юридические запросы и не создаёт дополнительных уязвимых точек, через которые коммуникации могли бы перехватываться внешними сторонами.

Это фундаментальное различие: облачные почтовые системы исходят из предположения, что вы готовы предоставить провайдерам доступ к вашим сообщениям в обмен на удобство и функциональность, тогда как клиенты с локальным хранением меняют это предположение, ставя во главу угла ваш контроль и конфиденциальность, а не централизованный доступ.

Минимизация сбора данных для конфиденциальности

Особое преимущество локального хранения становится очевидным при рассмотрении того, как облачные почтовые провайдеры исторически монетизируют данные пользователей и модели коммуникаций. Gmail, Outlook.com и другие бесплатные потребительские сервисы финансируются за счёт рекламных доходов, получаемых путём анализа пользовательских коммуникаций, метаданных, поведенческих сигналов и сетей контактов для создания детальных пользовательских профилей для таргетированной рекламы.

Эта монетизация данных представляет собой фундаментальное нарушение конфиденциальности, которое пользователи часто полностью не осознают — используя бесплатные облачные почтовые сервисы, вы предоставляете провайдерам всесторонние права на анализ ваших коммуникаций в рекламных целях, при этом содержание писем фактически становится товаром, который провайдер использует для получения дохода. Локальные почтовые клиенты полностью исключают эту бизнес-модель, поскольку провайдер клиента никогда не получает доступ к содержимому письма, не может анализировать модели коммуникаций для рекламы и не может монетизировать данные переписки пользователей, так как архитектура инфраструктуры запрещает доступ к этим данным.

Подход Mailbird к сбору данных явно минимизирован с точки зрения конфиденциальности: компания собирает только имя пользователя и адрес электронной почты для учётных целей и по желанию — анонимизированные данные об использовании функций, которые явно не содержат личной идентифицируемой информации. Вы можете отключить даже этот минимальный сбор телеметрии через настройки конфиденциальности, в результате чего Mailbird будет работать как почтовый клиент без какого-либо сбора данных, не передавая на серверы компании информацию об использовании функций, диагностические данные или поведенческие модели.

Многоуровневое шифрование с безопасными почтовыми провайдерами

Архитектура локального хранения обеспечивает дополнительные преимущества по конфиденциальности благодаря интеграции с зашифрованными почтовыми провайдерами, позволяя использовать многоуровневый подход к защите приватности, когда шифрование происходит как на уровне провайдера, так и на уровне клиента. Подключая Mailbird к зашифрованным почтовым провайдерам, таким как ProtonMail, Tuta или Mailfence, вы получаете сквозное шифрование на уровне провайдера в сочетании с безопасностью локального хранения от Mailbird, создавая комплексную защиту конфиденциальности, которая одновременно решает вопросы безопасности передачи данных и уязвимостей хранения.

Это многоуровневое шифрование означает, что даже в случае компрометации одного из уровней безопасности остальные слои продолжат обеспечивать защиту — нулевой доступ ProtonMail означает, что провайдер не может прочитать содержимое сообщений даже в случае технического взлома, а локальное хранение Mailbird означает, что провайдер клиента не может получить доступ к письмам, даже если будет юридически обязан.

Преимущества соответствия требованиям

Преимущества соответствия требований локального хранения выходят за рамки конфиденциальности и охватывают требования по месту хранения данных, установленные такими нормативными актами, как GDPR, HIPAA и отраслевыми нормативами. При хранении писем локально на устройствах пользователей, а не на облачных серверах, место хранения данных автоматически соответствует географическим требованиям, поскольку организации напрямую контролируют физическое расположение данных — на устройствах пользователей в конкретных географических регионах.

Требования GDPR по защите данных по дизайну и по умолчанию изначально выполняются архитектурой локального хранения, поскольку данные не проходят через серверы третьих сторон, находящиеся под юрисдикцией иных правовых систем, не становятся объектом возможного надзора в рамках Patriot Act или CLOUD Act и остаются под контролем организации с применением мер безопасности, определяемых пользователем.

Требования HIPAA к субъектам, подпадающим под регулирование, по реализации контроля доступа, аудита и механизмов защиты передачи данных естественным образом выполняются благодаря локальному хранению в сочетании с шифрованием на уровне устройства, поскольку защищённая медицинская информация никогда не покидает контроль организации и не становится доступной третьим лицам, которые сами должны соответствовать HIPAA.

Техническая реализация и практические стратегии защиты

Для комплексной защиты от рисков конфиденциальности при пересылке электронной почты необходимо применять несколько взаимодополняющих технических и организационных стратегий, которые одновременно устраняют уязвимости на нескольких уровнях.

Отключение внешней пересылки

На самом базовом уровне организации должны внедрять технические средства контроля, предотвращающие автоматическую внешнюю пересылку посредством политики фильтрации исходящего спама, которая явно отключает возможность внешней пересылки электронной почты. Согласно руководству Microsoft по настройке контроля внешней пересылки электронной почты, организации могут использовать политики Defender для Office 365, которые устанавливают настройки автоматической пересылки в положение «Выкл.», предотвращая доставку сообщений внешним адресам через правила для входящих сообщений или пересылку почтового ящика.

При правильной реализации данного технического контроля любая попытка внешней пересылки приводит к отчету о недоставке (NDR), блокирующему передачу сообщения и уведомляющему пользователя о том, что операция пересылки была заблокирована политикой организации. Такой технический подход оказывается более надежным, чем механизмы обнаружения, поскольку предотвращает атаку до ее успешного исполнения, исключая возможность использования правил пересылки для вывода данных до их обнаружения.

Реализация многофакторной аутентификации

Многофакторная аутентификация (MFA) является критически важным основным средством безопасности, которое организации должны повсеместно внедрить для всех почтовых аккаунтов, особенно для административных и высокозначимых аккаунтов руководителей, сотрудников финансового отдела и других работников с доступом к конфиденциальной информации. Исследования из разных источников показывают, что MFA может предотвратить более 99,9% атак на учетные записи, что обеспечивает исключительную отдачу при относительно простых усилиях по реализации.

Тем не менее, организациям следует осознавать, что одной MFA недостаточно для противодействия сложным атакам типа «человек посередине», когда злоумышленники используют phishing-as-a-service инструменты, обходящие MFA путем перехвата аутентификационных куки или кражи токенов сессии во время процесса аутентификации. Для защиты от таких угроз организации должны отдавать приоритет использованию MFA на основе WebAuthn, который использует криптографию с открытым ключом, привязанную к конкретным сайтам, полностью исключая передачу учетных данных и устраняя поверхность атаки, используемую атаками через обратный прокси.

Включение всестороннего аудита

Аудит и инфраструктура обнаружения — крайне важные, но часто игнорируемые требования для выявления вредоносных правил пересылки электронной почты до того, как они нанесут значительный ущерб. Организации должны включить всесторонний аудит событий создания и изменения правил электронной почты с сохранением журналов на длительный срок (не менее 90 дней, предпочтительно дольше) для проведения судебных расследований в случае выявления компрометации.

Для организаций Microsoft 365 это означает включение аудита почтовых ящиков для всех пользователей и мониторинг конкретных операций, таких как «New-InboxRule», «Set-InboxRule», «Set-Mailbox» с параметрами ForwardingSmtpAddress и «UpdateInboxRules», указывающих на создание или изменение правил пересылки.

Внедрение внешней проверки

Организации могут реализовать процедуры внешней проверки для чувствительных запросов, чтобы предотвратить использование злоумышленниками электронной почты как единственного канала связи для критически важных операций. Для финансовых операций выше определённых порогов организациям следует требовать подтверждения по альтернативным каналам связи, например, телефонные звонки на проверенные номера, личное подтверждение или иные методы, которые не могут быть скомпрометированы через пересылку электронной почты.

Эти процедуры внешней проверки особенно важны при проведении банковских переводов, авторизации платежей и других дорогостоящих операций, где мошенничество через электронную почту наносит наибольший финансовый ущерб.

Обучение по вопросам информационной безопасности

Обучение по вопросам информационной безопасности должно информировать сотрудников о рисках при пересылке электронной почты, о типах информации, которую никогда не следует пересылать через внешние правила пересылки, о признаках возможной компрометации их учетных записей и о процедурах сообщения о подозрительной активности. Обучение должно подчеркивать, что правила пересылки электронной почты создают постоянный канал наблюдения, что пересылаемые письма содержат полные метаданные, раскрывающие корпоративную информацию, и что пересылка на личные почтовые аккаунты является нарушением как безопасности, так и нормативных требований.

Часто задаваемые вопросы