Email spoofing: что это и как защититься

Email spoofing (спуфинг) - подделка адреса отправителя в email-сообщении. Получатель видит в поле «От» знакомый адрес (банк, коллега, сервис), хотя письмо на самом деле отправлено злоумышленником. Это одна из самых старых и до сих пор работающих техник в фишинге и спаме.

Почему спуфинг вообще возможен

Протокол SMTP, разработанный в 1982 году, не включает встроенной проверки подлинности отправителя. Команда MAIL FROM принимает любой адрес. Отправляющий сервер может указать что угодно, и принимающий сервер обработает это без вопросов, если не настроены дополнительные проверки.

Это как обычное бумажное письмо: на конверте можно написать любой обратный адрес, и почта его доставит. SMTP работает по такому же принципу. Именно поэтому понадобились надстройки безопасности: SPF, DKIM и DMARC.

Два адреса отправителя

В каждом email есть два адреса отправителя. Первый - Envelope From (MAIL FROM), который используется на уровне SMTP и не виден получателю. Второй - Header From (поле «От:» в заголовках письма), который получатель видит в почтовом клиенте.

Спуфинг обычно подделывает Header From, потому что именно его видит человек. Envelope From при этом может содержать совсем другой адрес. Без DMARC alignment проверка расхождения между этими адресами не выполняется.

Виды спуфинга

• Display name spoofing. Подделывается только имя отправителя, адрес остаётся чужим. Например, имя «Сбербанк Онлайн» с адреса random@attackerdomain.com. Многие мобильные клиенты по умолчанию показывают только имя.
• Domain spoofing. Подделывается сам домен в Header From: письмо выглядит как отправленное с @sberbank.ru, хотя реальный отправитель другой. Работает только если у домена-жертвы нет DMARC с политикой reject.
• Lookalike domain. Регистрируется домен, похожий на настоящий: sber-bank.ru, sberbankk.ru. Технически это не спуфинг (домен реальный и принадлежит атакующему), но эффект тот же - получатель путает адрес с подлинным.

Защита: SPF

SPF (Sender Policy Framework) публикует в DNS-записи домена список серверов, которым разрешено отправлять почту от имени этого домена. Принимающий сервер проверяет, совпадает ли IP отправителя с записью SPF. Если нет, письмо помечается как подозрительное.

Ограничение SPF: он проверяет Envelope From, а не Header From. Злоумышленник может пройти SPF-проверку со своим доменом в Envelope From, а в Header From поставить ваш домен.

Защита: DKIM

DKIM (DomainKeys Identified Mail) добавляет криптографическую подпись к заголовкам письма. Принимающий сервер проверяет подпись через открытый ключ в DNS. Если подпись невалидна или отсутствует, письмо считается неаутентифицированным.

DKIM подтверждает, что письмо не было изменено при передаче и что подпись поставлена владельцем ключа. Но сам по себе DKIM не указывает, что делать с неаутентифицированными письмами.

Защита: DMARC

DMARC связывает SPF и DKIM в единую систему и добавляет политику обработки. Он проверяет, что домен в Header From совпадает с доменом из SPF или DKIM (alignment). И указывает принимающему серверу, что делать при провале:

• p=none - ничего не делать, только отчёты.
• p=quarantine - отправить в спам.
• p=reject - отклонить письмо полностью.

Только DMARC с политикой reject обеспечивает реальную защиту от domain spoofing. По данным на 2025 год, менее 30% доменов в российском сегменте имеют DMARC-запись с политикой reject.

Последствия спуфинга для вашего домена

Если кто-то подделывает ваш домен, жалобы на спам идут на вашу репутацию. Получатели нажимают «Спам» на письмо, которое выглядит как ваше, и почтовые провайдеры снижают доверие к вашему домену. Ваши настоящие рассылки начинают попадать в спам.

Кроме репутационного ущерба, есть юридические риски. Если от вашего имени рассылаются фишинговые письма, клиенты и партнёры теряют доверие. Восстановление занимает недели и месяцы.