Идентификатор отправителя электронной почты: что это такое и почему это важно

Электронное письмо имеет такую же ценность, как и личность, стоящая за ним, и в настоящее время вашу личность может быть легче подделать, чем вы думаете. Личность отправителя электронного письма определяет, от кого якобы пришло письмо и как эта личность проверяется с технической точки зрения. Она основана на заголовках SMTP, записях DNS и протоколах аутентификации, таких как SPF, DKIM и DMARC. Без надлежащей проверки злоумышленники могут подделывать домены, выдавать себя за руководителей и запускать фишинговые кампании, которые наносят ущерб репутации бренда и доставке электронной почты. Применение DMARC (p=reject), согласованные SPF и DKIM, а также постоянный мониторинг защищают ваш домен от прямой подделки и атак Business Email Compromise.

Что такое идентификатор отправителя электронной почты?

Идентификатор отправителя электронного письма — это адрес электронной почты и домен, указанные в поле «От», которые сообщают вам, от кого, по утверждению, пришло сообщение. Однако из-за особенностей протокола Simple Mail Transfer Protocol существует огромная разница между заявленной идентификацией и подтвержденной идентификацией.

• Заявленная идентичность: это то, кем себя называет отправитель. Злоумышленник может легко вписать в метаданные электронного письма адрес «От: [email protected]». Без аутентификации почтовый сервер получателя не имеет оснований сомневаться в этом.
• Проверенная идентичность: это идентичность, подтвержденная техническим «доказательством владения». Она использует записи DNS и криптографические ключи, чтобы доказать, что отправитель имеет законное право использовать данное доменное имя.

Идентичность представлена в трех слоях:

• Отображаемое имя, которое является удобным для человека именем.
• Заголовок «От», который является видимым адресом электронной почты.
• Конверт «От», который является техническим адресом маршрутизации.

Где отображается идентификатор отправителя электронного письма

Для обычного пользователя электронное письмо выглядит как простое письмо. Для почтового сервера это сложный набор заголовков.

Адрес отправителя (заголовок «From»)

Определено в RFC 5322, это адрес, который отображается в поле «От» вашего почтового ящика. Это самый важный сигнал идентификации, поскольку он определяет поведение пользователя. Если пользователь видит [email protected], то, согласно статистике, он с большей вероятностью перейдет по ссылке, чем если бы он увидел [email protected].

Отображаемое имя и фактический адрес

Именно с этого начинается большинство фишинговых атак. Злоумышленник может установить отображаемое имя «Microsoft Security», а фактический адрес — [email protected]. Поскольку многие мобильные устройства скрывают фактический адрес, чтобы сэкономить место на экране, пользователи видят только «дружественное» имя, что приводит к высокой успешности подражания.

Идентификаторы на уровне заголовка: RFC 5322 против RFC 5321

• RFC 5322.From: «Бланк письма». Это то, что видит человек.
• Return-Path (Envelope-From / RFC 5321): «Обратный адрес» на конверте. Именно туда получающий сервер отправляет сообщения «bounce», если электронное письмо не может быть доставлено. Эти два адреса не обязательно должны совпадать, если не установлены специальные правила безопасности.

Как проверяется личность отправителя электронного письма

Поскольку «заявление» о своей личности очень легко подделать, в отрасли был разработан комплексный набор протоколов аутентификации для ее проверки.

1. SPF

SPF — это запись DNS, в которой перечислены все IP-адреса и службы, имеющие право отправлять почту для вашего домена.

• Как это работает: когда приходит электронное письмо, принимающий сервер проверяет DNS домена Return-Path, чтобы увидеть, есть ли IP отправителя в «списке гостей».
• Недостаток: SPF проверяет только «конверт», а не «бланк» (адрес отправителя, который видит пользователь). Злоумышленник может использовать свой собственный домен для проверки SPF, но указать ваш домен в видимом поле «От».

2. DKIM

DKIM добавляет цифровую подпись в заголовок электронного письма с помощью криптографии с открытым ключом.

• Преимущество: гарантирует, что сообщение не было изменено во время передачи, и подтверждает, что владелец домена авторизовал сообщение. В отличие от SPF, подпись DKIM остается в электронном письме, даже если оно пересылается по списку рассылки.

3. DMARC

DMARC — это наиболее важный уровень. Он решает проблему «согласования идентичности».

• Логика: DMARC задает вопрос: «Соответствует ли домен в видимом адресе «От:» домену, проверенному SPF или DKIM?»
• Применение политики: позволяет владельцам доменов указывать принимающим серверам, что делать, если идентификационные данные не совпадают:
• Ничего, то есть не делать ничего
• Карантин, что означает отправить в спам
• Отклонить — это самая жесткая политика, которая полностью блокирует электронное письмо.

4. ARC (подтвержденная цепочка получения)

Несмотря на свою мощность, DMARC имеет «слабое место»: он часто дает сбой при пересылке электронного письма (например, через список рассылки или автоматическое перенаправление). Пересылка часто нарушает SPF или изменяет электронное письмо настолько, что подпись DKIM становится недействительной.

• Как это работает: ARC действует как «цифровой пропуск». Когда доверенный посредник (например, список рассылки) получает ваше электронное письмо, он проверяет подлинность исходного SPF/DKIM/DMARC, а затем прикрепляет свою собственную подпись (цепочку ARC), чтобы подтвердить, что сообщение было легитимным при первоначальном получении.
• Преимущество: это позволяет конечному получателю «проследить» цепочку пересылок и доверять идентичности первоначального отправителя, даже если DMARC технически не сработает.

Идентификация отправителя электронной почты и аутентификация электронной почты

Эти два термина легко спутать, но они выполняют разные функции в вашей системе безопасности.

• Идентичность — это «кто»: это цифровой образ вашего бренда. Это доверие, которое вы построили со своими клиентами, чтобы они знали, что электронное письмо от [email protected] является легитимным.
• Аутентификация — это «как»: это технические механизмы SPF, DKIM, DMARC, которые используются для подтверждения идентичности.

Представьте себе, что это паспорт. Ваша личность — это ваш статус гражданина, имеющего право на поездки. Аутентификация — это физический паспорт и биометрический чип внутри него, который доказывает, что вы являетесь тем, за кого себя выдаете. Аутентификация существует исключительно для защиты вашей личности от взлома. Когда между ними возникает «несоответствие», то есть проверка аутентификации проходит успешно, но личность не совпадает, доверие теряется, и именно в этом хакеры находят свою возможность.

Как злоумышленники злоупотребляют идентификацией отправителя электронной почты

Киберпреступники используют «обман личности», чтобы обойти человеческую интуицию и технические фильтры.

• Спуфинг точного домена: если компания не внедрила DMARC с p=reject, злоумышленник может отправить электронное письмо, которое будет полностью идентично реальному внутреннему электронному письму.
• Подделка имени отображаемого имени: часто называется «мошенничеством с участием генерального директора», направлено на занятых сотрудников. Электронное письмо выглядит как будто оно пришло от «имени генерального директора» и содержит просьбу о срочном банковском переводе или покупке подарочной карты.
• Похожие (родственные) домены: злоумышленники регистрируют домены типа nike-support.com вместо nike.com.
• Атаки с использованием омографов: использование символов из разных алфавитов, которые выглядят одинаково, например, замена латинской буквы «o» на греческую «ο» (омикрон).

Почему идентификация отправителя электронной почты важна для бизнеса

1. Репутация бренда: Ваш домен — это витрина вашего цифрового магазина. Если он используется для рассылки спама, ваш бренд будет ассоциироваться с «небезопасным» контентом.
2. Доставляемость: в начале 2024 года Google и Yahoo начали вводить обязательное использование DMARC для массовых отправителей. Если ваша личность не будет подтверждена, ваши законные маркетинговые и транзакционные электронные письма, такие как письма о смене пароля, будут заблокированы.
3. Финансовая безопасность: ежегодно убытки от взлома деловой электронной почты составляют миллиарды долларов. Проверка личности — единственный технический способ предотвратить такие атаки в широком масштабе.

Распространенные ошибки при указании идентификатора отправителя электронного письма

• Ловушка «p=none»: многие компании настраивают DMARC, но оставляют его в «режиме мониторинга» (p=none) навсегда. Это обеспечивает видимость, но не дает никакой защиты от подделки.
• Чрезмерная зависимость от SPF: SPF имеет «ограничение на 10 запросов». Если ваша запись слишком сложна, она не проходит проверку, оставляя вашу идентичность незащищенной.
• Незнание о теневом ИТ: отделы маркетинга или HR часто подписываются на новые инструменты, не сообщая об этом ИТ-отделу. Если они не проходят аутентификацию, они не пройдут проверку DMARC и исчезнут в папках со спамом.

Лучшие практики по обеспечению безопасности идентификации

Технический контрольный список

• Добивайтесь соблюдения DMARC: стремитесь к p=reject. Это «золотой стандарт» защиты идентичности.
• Внедрение BIMI: Brand Indicators for Message Identification (Индикаторы бренда для идентификации сообщений) позволяют отображать проверенный логотип вашего бренда в папке «Входящие», чтобы обеспечить визуальную отметку «Проверено».
• Используйте уникальные селекторы DKIM: присвойте разные ключи DKIM разным поставщикам, чтобы можно было отозвать один ключ, не затрагивая другие.

Организационная стратегия

• Непрерывный мониторинг: используйте инструмент мониторинга DMARC, чтобы проверять появление новых сервисов, отправляющих почту от вашего имени.
• Учения по противодействию фишингу для сотрудников: научите персонал никогда не доверять только отображаемому имени.

Обеспечить поддержку ARC

Если вы используете список рассылки или службу пересылки, убедитесь, что она настроена на «запечатывание» сообщений с помощью ARC. Это предотвратит отклонение ваших законных пересланных писем строгими политиками DMARC.

Итог: перестаньте позволять незнакомцам носить одежду вашего бренда

Представьте себе, что идентичность отправителя электронной почты — это цифровая «входная дверь» в ваш бизнес. Без надлежащих замков, SPF, DKIM и DMARC вы фактически оставляете эту дверь широко открытой. В начале развития Интернета электронная почта строилась на основе рукопожатия, но в современных условиях «доверие» — это то, что вы должны технически доказывать с каждым отправленным сообщением.

Если вы не защищаете свою личность, вы рискуете не только получить несколько жалоб на спам, но и передать репутацию своего бренда тому, кто захочет ее присвоить. Когда злоумышленник отправляет поддельную счёт-фактуру или фишинговую ссылку, используя ваш домен, жертва не винит хакера, а винит вас. Защита вашей личности — это не просто техническая задача; это гарантия того, что когда вы говорите «здравствуйте» клиенту или партнеру, они без тени сомнения знают, что это действительно вы.

Не ждите, пока в ваш бухгалтерский отдел поступит электронное письмо с «мошенничеством от имени генерального директора», прежде чем принять меры. Ваш бренд заслуживает проверенной идентичности, которой могут доверять поставщики почтовых ящиков и которую не могут затронуть злоумышленники. Получите бесплатную пробную версию PowerDMARC сегодня, чтобы упростить «буквенный суп» безопасности электронной почты, легко перейдя от уязвимой политики p=none к более строгой политике p=reject.

Часто задаваемые вопросы

Можно ли подделать личность отправителя электронного письма?

В мгновение ока. Исходный «язык» электронной почты (SMTP) похож на отправку почтовой открытки: любой может написать на обратной стороне поддельное имя отправителя. Без современных средств защиты, таких как SPF и DKIM, хакер может указать имя и адрес электронной почты вашего генерального директора в поле «От», и большинство почтовых ящиков просто поверят ему.

Предотвращает ли DMARC все случаи подделки?

Не совсем. DMARC отлично справляется с подделкой точного домена (когда кто-то притворяется [email protected]). Однако он не защищает от «похожих доменов» (таких как yourbrancd.com) или «подделки отображаемого имени» (когда имя верное, но адрес электронной почты — случайный аккаунт Gmail). Для их обнаружения по-прежнему нужен зоркий глаз.

В чем разница между From и Return-Path?

Представьте себе адрес отправителя как имя на бланке внутри конверта; это то, что видит человек. Return-Path — это адрес, напечатанный на внешней стороне конверта, который используется почтовыми серверами для обработки отказов. Хакеры любят делать их разными, чтобы обмануть фильтры, поэтому выравнивание DMARC так важно.

Идентичность отправителя и репутация электронной почты – это одно и то же?

Нет. Идентичность — это то, кто вы есть; репутация — это то, как вы себя ведете. Если у вас отличная идентичность (подтвержденная), но вы рассылаете спам, ваша репутация все равно будет испорчена. Однако, если вы не защитите свою идентичность, хакеры могут разрушить вашу репутацию, рассылая спам от вашего имени.

Нужна ли защита личности отправителя внутренних электронных писем?

Безусловно. Некоторые из крупнейших краж (например, мошенничество с участием генерального директора) происходят, когда сотрудник получает электронное письмо, которое выглядит так, как будто оно пришло от его начальника из соседнего кабинета. Если вы не защищаете свою личность внутри компании, вы оставляете дверь широко открытой для атак типа «Звонок поступает изнутри дома».

• О сайте
• Последние сообщения

Милена Багдасарян

Специалист по контенту в PowerDMARC

Милена - опытный писатель и создатель контента с более чем 7-летним опытом работы в создании увлекательных материалов по ИТ, кибербезопасности, виртуальным мероприятиям и многим другим темам. У нее есть опыт работы с высококачественными материалами для международных журналов, она окончила такие престижные учебные заведения, как Нью-Йоркский университет Абу-Даби, UWC China и Колледж Европы.

Последние сообщения Милены Багдасарян (см. все)

• Соответствие стандарту FIPS: как укрепить свою инфраструктуру до крайнего срока в 2026 году - 20 апреля 2026 г.
• Безопасность при работе с клиентами: 5 способов не дать вашей команде продаж выглядеть как фишеры - 14 апреля 2026 г.
• Gmail фильтрует ваши письма? Причины, признаки и способы устранения - 7 апреля 2026 г.