Как убедиться в подлинности письма и проверить email-адрес

Иван Корнев·12.04.2026·5 мин

Чтобы проверить подлинность письма, нужно проанализировать три ключевых элемента: визуальную точность адреса отправителя, технические заголовки письма (SPF, DKIM, DMARC) и репутацию домена. Если хотя бы один из протоколов аутентификации показывает статус fail, а адрес содержит скрытые опечатки — письмо с высокой вероятностью является фишингом. Ниже приведена детальная инструкция, как провести эту проверку самостоятельно за 5 минут.

Визуальная проверка адреса отправителя

Мошенники часто используют технику «тайпосквоттинга» (typosquatting), заменяя латинские буквы на визуально похожие кириллические или меняя одну букву в домене. Глазу это может быть незаметно, но для системы безопасности это критический сигнал.

На что обратить внимание:

  • Доменное имя: Официальный адрес банка sberbank.ru, а фейковый может выглядеть как sber-bank.ru или sberbаnk.ru (с кириллической «а»).
  • Имя отправителя: Поле «От кого» легко подделать. Злоумышленник может написать «Служба поддержки», но реальный адрес будет [email protected]. Всегда смотрите на адрес в угловых скобках <...>.
  • Поддомены: Легитимные компании редко используют сложные цепочки вроде [email protected]. Официальные письма обычно приходят с основных доменов или стандартных поддоменов (например, [email protected]).

Никогда не копируйте адрес целиком для поиска в Google прямо из письма — вы можете случайно кликнуть по ссылке. Лучше перепечатайте домен вручную или используйте инструменты анализа.

Для быстрой проверки репутации адреса можно воспользоваться сервисами вроде EmailRep.io или Whois. Введите адрес отправителя: если домен зарегистрирован вчера или имеет низкий рейтинг доверия, это красный флаг.

Анализ технических заголовков письма

Заголовки (headers) содержат техническую информацию о пути письма от сервера отправителя к вашему ящику. Это самый надежный способ отличить подделку.

Как открыть исходный код письма

Интерфейс почтовых клиентов скрывает заголовки по умолчанию. Чтобы их увидеть:

  • Gmail: Нажмите на три точки в правом верхнем углу письма → «Показать оригинал».
  • Яндекс.Почта: Три точки → «Свойства письма» или «Исходный текст».
  • Outlook (Desktop): Файл → Свойства → поле «Интернет-заголовки».
  • Mail.ru: Еще → «Служебные заголовки».

Ключевые поля для проверки

В открывшемся тексте найдите блок Authentication-Results. Именно здесь находятся результаты автоматической проверки протоколов безопасности.

ПротоколСтатусЧто означаетДействия
SPFpassIP-адрес отправителя разрешен владельцем домена.Письмо легитимно.
fail / softfailОтправитель не имеет права слать почту от этого имени.Высокий риск фишинга.
DKIMpassПисьмо подписано криптографическим ключом и не менялось в пути.Подпись верна.
fail / noneПодпись отсутствует или не совпадает. Содержимое могло быть изменено.Подозрительно.
DMARCpassПисьмо прошло проверки SPF и/или DKIM согласно политике домена.Можно доверять.
failПолитики безопасности не соблюдены.Удалить письмо.

Если вы видите spf=fail, но письмо пришло от известного сервиса (например, рассылка магазина), возможно, они неправильно настроили сервер. Однако в 99% случаев при получении письма от «банка» с таким статусом — это мошенничество.

Ручная проверка протоколов безопасности (SPF, DKIM, DMARC)

Если автоматическая проверка в заголовках вызывает сомнения или вы хотите углубиться в анализ, можно проверить настройки домена отправителя вручную через командную строку или онлайн-инструменты (например, MXToolbox).

  1. Проверка SPF записи: Узнает, какие серверы имеют право отправлять почту от имени домена.

    • Команда: dig txt example.com (или через онлайн-сервис).
    • Ищите запись, начинающуюся с v=spf1. Если IP-адрес из заголовка Received не входит в список разрешенных (include или ip4), протокол не сработает.

  2. Проверка DKIM подписи: Требует наличия селектора в заголовках (строка dkim=... s=selector).

    • Команда: dig txt selector._domainkey.example.com.
    • Если запись публичного ключа отсутствует или не совпадает с подписью в письме, целостность нарушена.

  3. Проверка политики DMARC: Определяет, что делать с письмами, не прошедшими проверки.

    • Команда: dig txt _dmarc.example.com.
    • Надежная политика выглядит так: v=DMARC1; p=reject (отклонять подозрительные) или p=quarantine (помещать в спам). Политика p=none лишь мониторит ситуацию, но не блокирует подделки.

Дополнительные признаки мошенничества

Даже если технические протоколы пройдены (что возможно при компрометации реального аккаунта), стоит оценить содержание письма.

  • Срочность и угрозы: Фразы «Ваш аккаунт будет заблокирован через 2 часа», «Срочно подтвердите данные» — классический прием социальной инженерии. Банки и госорганы так не пишут.
  • Универсальное обращение: «Уважаемый клиент» вместо вашего имени и отчества часто указывает на массовую рассылку фишеров.
  • Подозрительные ссылки: Наведите курсор на ссылку (не нажимая), чтобы увидеть настоящий адрес в нижнем углу браузера. Если написано «Сбербанк», а ссылка ведет на bit.ly/... или sber-security-update.com — это обман.
  • Вложения: Никогда не открывайте файлы .exe, .scr, .zip с паролями или макросы в документах Word/Excel от неизвестных отправителей.

Современные почтовые сервисы (Gmail, Яндекс) автоматически помечают письма с ошибками аутентификации значком вопросительного знака рядом с именем отправителя. Если вы видите такой значок — не переходите по ссылкам внутри письма.

Частые ошибки при проверке

  • Доверие только к логотипу и дизайну. Мошенники копируют шапки писем и фирменный стиль один в один. Дизайн не является гарантией подлинности.
  • Игнорирование мобильного приложения. В мобильных приложениях почтовых клиентов сложнее посмотреть полные заголовки. При малейшем сомнении откройте письмо через браузер на ПК.
  • Ответ на письмо. Никогда не отвечайте на подозрительные письма, даже чтобы спросить «кто вы». Это подтвердит злоумышленникам, что ваш адрес активен.

FAQ

Можно ли полностью подделать заголовки письма? Технически подделать поле From легко, но подделать результаты прохождения проверок SPF, DKIM и DMARC (Authentication-Results) практически невозможно, так как эти записи генерируются принимающим сервером на основе данных, которые мошенник не может контролировать (приватные ключи домена).

Что делать, если я уже перешел по ссылке из фишингового письма? Немедленно смените пароль от своего почтового ящика и банковских приложений. Если вводили данные карты — заблокируйте её через банк. Просканируйте устройство антивирусом.

Почему легитимное письмо попало в спам? Часто это случается из-за ошибок в настройке DNS-записей у отправителя (например, новый сервер не добавлен в SPF) или из-за жалоб других пользователей на рассылку. В этом случае лучше связаться с отправителем другим способом.