Подмена заголовков в электронной почте: виды угроз и как с этим бороться
#Haskimail
Что такое подмена заголовков и почему она возможна?
Подмена заголовков (почтовый спуфинг) — это метод кибермошенничества, при котором злоумышленники отправляют письма, маскируясь под легитимных отправителей. Визуально такое сообщение выглядит так, будто оно пришло от доверенного контакта, коллеги или известной компании. Техническая основа этой уязвимости кроется в протоколе SMTP — фундаментальном стандарте передачи электронной почты, который изначально не предусматривал проверки подлинности отправителя.
Для совершения атаки мошенникам достаточно любого инструмента, позволяющего указать произвольного отправителя — от специализированных скриптов до стандартных почтовых клиентов. Цель обычно заставить получателя совершить целевое действие — перевести деньги, раскрыть конфиденциальные данные, перейти на фишинговый ресурс или запустить вредоносное вложение.
Для совершения атаки мошенникам достаточно любого инструмента, позволяющего указать произвольного отправителя — от специализированных скриптов до стандартных почтовых клиентов. Цель обычно заставить получателя совершить целевое действие — перевести деньги, раскрыть конфиденциальные данные, перейти на фишинговый ресурс или запустить вредоносное вложение.
Разновидности подмены заголовков в транзакционных рассылках
1. Подмена легитимного домена
Самый прямой метод, когда в поле From указывается реальный домен организации-жертвы. Без дополнительных механизмов проверки пользователь не отличит такое письмо от настоящего — особенно в сервисах транзакционных рассылок, где ожидается автоматизированная отправка.
2. Манипуляция отображаемым именем (Display Name Spoofing)
Отображаемое имя — это имя отправителя, которое стоит в заголовке From перед его адресом. Если речь идет о корпоративной почте, то в качестве имени отправителя обычно используется реальное имя человека, название отдела и т. д. Мошенники указывают в имени доверенного отправителя, но оставляют свой настоящий адрес. Разновидности включают:
Ghost Spoofing: Самый популярный и часто встречающийся вид спуфинга отображаемого имени. Его суть заключается в том, что злоумышленник указывает в качестве имени не только имя человека или название компании, под которую он маскируется, но и адрес предполагаемого отправителя, как в примере на скриншоте ниже. При этом на самом деле письмо приходит с совсем другого адреса
Самый прямой метод, когда в поле From указывается реальный домен организации-жертвы. Без дополнительных механизмов проверки пользователь не отличит такое письмо от настоящего — особенно в сервисах транзакционных рассылок, где ожидается автоматизированная отправка.
2. Манипуляция отображаемым именем (Display Name Spoofing)
Отображаемое имя — это имя отправителя, которое стоит в заголовке From перед его адресом. Если речь идет о корпоративной почте, то в качестве имени отправителя обычно используется реальное имя человека, название отдела и т. д. Мошенники указывают в имени доверенного отправителя, но оставляют свой настоящий адрес. Разновидности включают:
Ghost Spoofing: Самый популярный и часто встречающийся вид спуфинга отображаемого имени. Его суть заключается в том, что злоумышленник указывает в качестве имени не только имя человека или название компании, под которую он маскируется, но и адрес предполагаемого отправителя, как в примере на скриншоте ниже. При этом на самом деле письмо приходит с совсем другого адреса
AD Spoofing: Является одной из разновидностей спуфинга отображаемого имени, но в отличие от техники Ghost Spoofing не предполагает указания поддельного адреса в качестве части имени. При этом в адресе злоумышленников, с которого рассылаются такие письма, используется имя человека, от лица которого они рассылаются.
Этот метод выглядит более примитивным по сравнению с Ghost Spoofing, однако мошенники могут предпочитать его по нескольким причинам. Во-первых, если почтовый агент получателя все-таки отображает содержимое заголовка From целиком, то двойной адрес отправителя вызовет у пользователя больше подозрений, чем адрес на общедоступном домене. Во-вторых, технически Ghost Spoofing легче блокировать спам-фильтрами: достаточно просто отправлять в спам письма, где в отображаемом имени отправителя содержится почтовый адрес. Запретить же все входящие письма от тезок всех коллег и контрагентов, как правило, не представляется возможным.
Этот метод выглядит более примитивным по сравнению с Ghost Spoofing, однако мошенники могут предпочитать его по нескольким причинам. Во-первых, если почтовый агент получателя все-таки отображает содержимое заголовка From целиком, то двойной адрес отправителя вызовет у пользователя больше подозрений, чем адрес на общедоступном домене. Во-вторых, технически Ghost Spoofing легче блокировать спам-фильтрами: достаточно просто отправлять в спам письма, где в отображаемом имени отправителя содержится почтовый адрес. Запретить же все входящие письма от тезок всех коллег и контрагентов, как правило, не представляется возможным.
3. Использование схожих доменов (Lookalike Domain Spoofing)
В более сложных атаках злоумышленники используют специально зарегистрированные домены, похожие на домен организации. Это требует немного больших затрат: все же найти и купить определенный домен, настроить на нем почту, подписи DKIM и SPF и аутентификацию DMARC сложнее, чем просто немного изменить заголовок From. Но и распознать подделку в таком случае труднее.
В более сложных атаках злоумышленники используют специально зарегистрированные домены, похожие на домен организации. Это требует немного больших затрат: все же найти и купить определенный домен, настроить на нем почту, подписи DKIM и SPF и аутентификацию DMARC сложнее, чем просто немного изменить заголовок From. Но и распознать подделку в таком случае труднее.
- Primary Lookalike: регистрация доменов-близнецов
- Unicode Spoofing: замена латинских символов на визуально идентичные
Стандарты аутентификации и их ограничения
Для противодействия спуфингу есть три ключевых стандарта:
SPF (Sender Policy Framework) — позволяет домену указывать, с каких IP-адресов разрешена отправка. Однако проверяет он не видимый заголовок From, а служебный адрес в SMTP-конверте.
DKIM (DomainKeys Identified Mail) — добавляет цифровую подпись к сообщению. Проблема в том, что письмо без подписи невозможно верифицировать этим методом.
DMARC (Domain-based Message Authentication) — объединяет SPF и DKIM, проверяя соответствие домена в From домену в служебных заголовках. При строгой политике возможны ложные блокировки легитимных писем.
SPF (Sender Policy Framework) — позволяет домену указывать, с каких IP-адресов разрешена отправка. Однако проверяет он не видимый заголовок From, а служебный адрес в SMTP-конверте.
DKIM (DomainKeys Identified Mail) — добавляет цифровую подпись к сообщению. Проблема в том, что письмо без подписи невозможно верифицировать этим методом.
DMARC (Domain-based Message Authentication) — объединяет SPF и DKIM, проверяя соответствие домена в From домену в служебных заголовках. При строгой политике возможны ложные блокировки легитимных писем.
Подробнее про "Простым языком о DKIM" и "Настройка DMARC" читайте в нашем блоге.
Важно понимать: эти механизмы эффективны против подмены легитимных доменов, но бессильны против спуфинга отображаемого имени или хитрых вариаций с Unicode-символами.
Практические рекомендации
- Всегда настраивайте SPF, DKIM и DMARC — это базовый уровень защиты
- Используйте субдомены для разных типов рассылок (транзакционные, маркетинговые)
- Мониторьте репутацию домена через специализированные сервисы
- Обучайте получателей — добавляйте в письма информацию о том, как проверить подлинность
- Реализуйте механизмы обратной связи для получателей, чтобы сообщать о подозрительных письмах
Заключение
В мире, где 94%(ссылка на источник) вредоносных программ доставляется по email, защита транзакционных рассылок от подмены — не опция, а необходимость. HaskiMail предлагает комплексный подход, сочетающий технологические стандарты и прозрачность для конечных пользователей.
Для бизнеса, использующего email-коммуникацию как канал взаимодействия с клиентами, инвестиции в защиту от спуфинга — это защита репутации, снижение рисков финансовых потерь и укрепление доверия аудитории. Современные угрозы требуют современных решений, и многоуровневая защита становится стандартом для ответственных сервисов рассылок.
Читайте также
23.03.2026
Что такое подмена заголовков и почему она возможна?
#Haskimail
#Haskimail
14.11.2025
DKIM: что это такое и почему это важно при отправке электронных писем?
#Haskimail
#Haskimail
14.11.2025
Лучшие практики писем с приглашением пользователей в ваш продукт
#HaskiMail #Лучшие практики
#HaskiMail #Лучшие практики
14.11.2025
Нюансы оформления одних из самых базовых писем
#HaskiMail #Лучшие практики
#HaskiMail #Лучшие практики
14.11.2025
Советы по созданию, оформлению и наполнению уведомлений о комментариях по электронной почте
#HaskiMail #Лучшие практики
#HaskiMail #Лучшие практики
14.11.2025
Проверенные рекомендации по настройке и отправке транзакционных писем
#Email-маркетинг #Лучшие практики
#Email-маркетинг #Лучшие практики
14.11.2025
Советы по созданию, оформлению и наполнению приветственных писем
#Email-маркетинг #Лучшие практики
#Email-маркетинг #Лучшие практики
19.11.2025
В чем отличия и почему важно их разделять
#Email-маркетинг #Лучшие практики
#Email-маркетинг #Лучшие практики
19.11.2025
Рекомендации по улучшению писем, содержащих счета и квитанции
19.11.2025
Рекомендации по отправке писем, с предупреждением об окончании пробного периода