Электронные письма от [email protected]: это законно или мошенничество?
Последнее обновление:
5 Время чтения: 5 минут
Ключевые выводы
- [email protected] отправляет официальные сводные отчеты Google DMARC.
- Отчеты DMARC обобщают результаты аутентификации SPF, DKIM и DMARC каждые 24 часа.
- Прилагаемый ZIP-файл обычно содержит XML-отчет, а не вредоносное ПО.
- Вы получаете эти электронные письма, потому что ваша запись DMARC DNS содержит тег rua= reporting.
- Отчеты помогают обнаруживать неавторизованных отправителей и предотвращать подделку доменов.
- Удаление тега rua= останавливает отчеты, но снижает видимость угроз, связанных с электронной почтой.
Если вы увидели в своем почтовом ящике техническое письмо от [email protected], вашей первой реакцией, скорее всего, будет осторожность. В мире сложных фишинговых атак незапрашиваемое письмо с вложением в формате ZIP обычно является серьезным сигналом тревоги.
Однако это не относится к электронным письмам от [email protected]. Это законные агрегированные отчеты Google DMARC, предназначенные для помощи владельцам доменов в мониторинге аутентификации электронной почты и предотвращении атак с подделкой адреса. Эти автоматические уведомления о безопасности генерируются, когда ваш домен публикует запись DMARC с тегом rua=. Каждое сообщение содержит вложение ZIP с данными XML, в которых обобщены результаты SPF, DKIM и DMARC за предыдущие 24 часа.
Что такое « [email protected]»?
[email protected] — это автоматизированный адрес Google, используемый для доставки агрегированных отчетов DMARC владельцам доменов.
Проще говоря, он отправляет ежедневные сводки о деятельности электронной почты, связанной с вашим доменом, чтобы помочь предотвратить спуфинг, то есть подделку вашего адреса электронной почты мошенниками. Вы получаете эти сводки, потому что настройки DNS вашего домена специально запрашивают у Google отправку вам этих журналов. Отчеты приходят в виде XML-файлов, которые предназначены для машинной обработки, а не для удобного чтения.
Они выглядят довольно беспорядочно. Это потому, что они предназначены для загрузки в анализатор DMARC. Эти инструменты преобразуют необработанные данные XML в читаемые диаграммы, чтобы вы могли проверить, кто отправляет почту от вашего имени, и заблокировать несанкционированные угрозы.
Это письмо безопасно или это мошенничество?
Хотя сам адрес ([email protected]) является законным, злоумышленники иногда «подделывают» имена отправителей. Вы можете проверить подлинность сообщения с помощью этого профессионального контрольного списка:
Признаки легитимного электронного письма:
- Отправитель: Адрес «От» точно соответствует [email protected].
- Аутентификация: если вы проверите заголовки «Исходное сообщение» в Gmail, результаты SPF, DKIM и DMARC будут отображаться как«PASS».
- Вложение: оно содержит файл .zip, в котором обычно находится файл XML.
Предупреждающие признаки мошенничества:
- В электронном письме запрашивается ваш пароль или содержится ссылка на «страницу входа в систему».
- Он утверждает, что срок действия вашего домена истечет, если вы не оплатите сбор.
- Вложение имеет другой тип файла, например .exe или .html.
Если исходные данные в этих отчетах слишком сложны для чтения, вы можете использовать PowerDMARC Report Analyzer для преобразования кода в понятные и удобные для использования диаграммы.
Сводная таблица: Легальные сайты и мошеннические сайты
| Характеристика | Законный отчет Google | Возможное мошенничество/фишинг |
|---|---|---|
| Отправитель | [email protected] | [email protected] (или аналогичные опечатки) |
| Приложение | .zip, содержащий .xml | .zip, содержащий .exe, .js или .html |
| Содержание | Сводка технических данных; нет ссылок для перехода. | «Требуется действие», «Подтвердите учетную запись» или «Войдите здесь». |
| Статус аутентификации | SPF, DKIM и DMARC — все ПРОШЛИ | Аутентификация часто не работает или отсутствует. |
Почему я получаю это письмо?
Вы получаете электронные письма от [email protected], потому что ваш домен имеет запись DMARC с тегом «отчетность» (rua=). Этот тег действует как команда для почтовых серверов по всему миру: «Пожалуйста, отправляйте ежедневный отчет о моем электронном трафике на этот конкретный адрес».
Примечание о безопасности: это письмо настоящее?
Поскольку эти отчеты носят технический характер, они часто используются злоумышленниками в качестве «приманки».
- Если вы НАСТРОИЛИ запись DMARC с тегом rua: эти отчеты являются ожидаемыми. Они являются вашим основным инструментом для мониторинга аутентификации электронной почты.
- Если вы НЕ настроили DMARC и не определили тег rua: будьте крайне осторожны. Если вы неожиданно получили вложение «Отчет DMARC» или «Сводка по безопасности», высока вероятность, что вы стали жертвой попытки фишинга или спуфинга.
Совет от профессионала: настоящие отчеты DMARC отправляются в виде файлов .zip или .gz, содержащих документ .xml. Они никогда не просят вас «войти в систему» для просмотра данных или загрузки файла .exe.
Что содержится в отчете?
Отчет DMARC не содержит фактический текст ваших электронных писем. Вместо этого он предоставляет краткое резюме следующих сведений:
- Источник IP: идентификатор сервера, с которого было отправлено электронное письмо.
- Результаты аутентификации: прошла ли почта проверку SPF и DKIM.
- Объем: точное количество сообщений, отправленных этим IP-адресом за 24 часа.
Ручной просмотр этих файлов занимает много времени. Большинство организаций используют автоматизированные платформы, такие как PowerDMARC, для сбора этих отчетов и автоматического выделения потенциальных угроз.
Технический разбор отчетов DMARC
Чтобы понять, почему поступают такие сообщения, необходимо знать три ключевых компонента:
- SPF: в этой записи перечислены конкретные IP-адреса и службы, имеющие право отправлять почту для вашего домена.
- DKIM: добавляет цифровую подпись к вашим электронным письмам, что подтверждает, что их содержание не было изменено во время передачи.
- Политика DMARC: она сообщает получателю, что делать, если электронное письмо не прошло вышеуказанные проверки.
- p=none: Просто отслеживайте трафик.
- p=quarantine: отправлять подозрительные письма в папку со спамом.
- p=reject: Полностью блокировать подозрительную почту.
Чтобы проверить, правильно ли настроена ваша запись, вы можете использовать инструмент PowerDMARC Record Lookup.
Лучшие практики для владельцев доменов
Если эти сообщения загромождают ваш основной почтовый ящик, не помещайте их в папку «Спам». Это может негативно повлиять на репутацию вашего домена. Вместо этого выполните следующие действия:
- Перенаправление отчетов: измените тег rua= в вашем DNS на выделенный почтовый ящик или сторонний сервис.
- Анализируйте данные: ищите неавторизованных отправителей. Если вы видите результаты «Неудача» от серверов, которые вам не принадлежат, вероятно, кто-то пытается выдать себя за ваш бренд.
- Достижение соблюдения: Цель DMARC — достичь политики p=reject. Это гарантирует, что только ваша авторизованная почта попадает в почтовые ящики ваших клиентов.
Вывод: не паникуйте, просто автоматизируйте
Подводя итог: это письмо от [email protected] не является вирусом или мошенничеством. Это просто способ Google предоставить вам ежедневный «журнал безопасности» для вашего домена. Хотя ZIP-файл и XML-код выглядят устрашающе, на самом деле они являются вашими лучшими помощниками в борьбе с подделкой электронной почты и подражанием бренду.
Настоящая проблема заключается не в самом электронном письме, а в том, что люди не приспособлены к чтению необработанных данных XML. Если вы позволяете этим отчетам накапливаться в вашем почтовом ящике, вы упускаете важные данные, необходимые для перехода вашей политики безопасности от «просто наблюдения» (p=none) к «полной защите» (p=reject).
Вместо того, чтобы вглядываться в код или игнорировать эти письма, доверьте эту работу профессиональному инструменту. PowerDMARC превращает эти запутанные отчеты Google в простые и красивые панели инструментов, которые точно показывают, кто отправляет письма от вашего имени.
Прекратите загромождать почтовый ящик и начните защищать репутацию своего бренда уже сегодня. Проанализируйте свой первый отчет бесплатно с помощью нашего инструмента DMARC XML Analyzer Tool.
Часто задаваемые вопросы
Почему я получаю их каждый день?
Google отправляет их по умолчанию каждые 24 часа. Это стандартная частота для протокола DMARC, которая позволяет обеспечить актуальность данных безопасности.
Как я могу прекратить получать эти письма?
Чтобы прекратить отправку отчетов, необходимо удалить тег rua= из записи DMARC DNS. Однако в этом случае вы останетесь «незащищенными» от потенциальных атак с подделкой адреса. Лучшим решением будет использование PowerDMARC для сбора и систематизации данных, чтобы они не попадали в ваше рабочее пространство.
Могут ли эти сообщения быть спамом?
Это редкий случай. Хотя мошенники могут попытаться подделать адрес, собственные проверки безопасности Google обычно выявляют поддельные сообщения. Если электронное письмо проходит собственную проверку DMARC, это означает, что оно является безопасным техническим журналом от Google.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.
Последние сообщения Ахона Рудра (см. все)
