Как вычислить настоящего отправителя электронного письма

Иван Корнев·12.04.2026·4 мин

Чтобы узнать, от кого на самом деле пришло письмо, недостаточно смотреть на имя в поле «От кого». Злоумышленники легко подделывают этот адрес. Реальный источник можно определить только через полные заголовки письма (строки Received), проверку цифровых подписей (SPF, DKIM, DMARC) и анализ домена отправителя. Если эти проверки не пройдены или маршрут письма выглядит подозрительно — перед вами вероятная подделка.

Почему адрес «От кого» может врать

Поле From, которое вы видите в списке писем, легко фальсифицировать. Это как отправить бумажное письмо с любым обратным адресом, написанным от руки. Почтовые протоколы (SMTP) исторически не требовали строгой проверки отправителя, поэтому спам и фишинг процветают.

Никогда не доверяйте слепо имени и адресу в поле «Отправитель». Мошенники часто используют адреса, отличающиеся от официальных всего одной буквой (например, [email protected] вместо sberbank.ru).

Шаг 1. Просмотр полных заголовков (Headers)

Заголовки письма — это его технический паспорт. В них записан весь путь сообщения от сервера отправителя до вашего ящика.

Как открыть заголовки в популярных сервисах:

  • Gmail: Откройте письмо → нажмите на три точки справа вверху → «Показать оригинал» (Show original).
  • Яндекс.Почта: Откройте письмо → три точки → «Свойства письма».
  • Mail.ru: Откройте письмо → три точки → «Служебные заголовки».
  • Outlook (Desktop): Файл → Свойства → поле «Заголовки интернета».
  • Apple Mail: Вид → Сообщение → Raw Source (или исходный код).

На что смотреть в заголовках:

  1. Строки Received: Они идут в обратном хронологическом порядке (снизу вверх). Самая нижняя строка — это точка входа письма в сеть. Ищите там домен, который не совпадает с заявленным отправителем.
  2. Поле Return-Path: Адрес, на который уходят уведомления о недоставке. Часто он отличается от видимого адреса отправителя и может указывать на спам-рассылку.
  3. Несоответствие доменов: Если письмо якобы от apple.com, но в заголовках Received видно, что оно пришло с сервера mailing-service.xyz или неизвестного IP, это подделка.

Шаг 2. Проверка цифровых подписей (SPF, DKIM, DMARC)

Современные почтовые системы используют три технологии для подтверждения подлинности. Их статус обычно отображается в развернутых заголовках или специальном блоке безопасности клиента.

ТехнологияЧто проверяетСтатус «Pass» означает
SPFРазрешен ли серверу отправлять письма от этого домена.Сервер имеет право слать почту от имени домена.
DKIMЦелостность письма и наличие цифровой подписи.Письмо не меняли в пути, подпись верна.
DMARCПолитика обработки писем, не прошедших SPF/DKIM.Отправитель требует жесткой проверки подлинности.

Как читать результаты: В заголовках ищите строки вида spf=pass, dkim=pass, dmarc=pass. Если хотя бы одна из проверок имеет статус fail или softfail, а письмо выглядит важным (от банка, госоргана) — это с высокой вероятностью мошенничество.

Шаг 3. Анализ содержания и поведения

Технические проверки — это база, но социальная инженерия обходит их. Обратите внимание на контекст:

  • Срочность и угрозы: Фразы «ваш аккаунт будет заблокирован», «срочно оплатите штраф» — классические триггеры фишинга. Легитимные организации редко требуют мгновенных действий под угрозой блокировки.
  • Универсальное обращение: «Уважаемый клиент» вместо вашего имени часто указывает на массовую рассылку.
  • Подозрительные ссылки: Наведите курсор на ссылку (не нажимая!), чтобы увидеть реальный адрес в статусной строке браузера. Если текст ссылки ведет на bank.ru, а при наведении всплывает bit.ly/xyz или bank-security-check.com — не переходите.
  • Вложения: Никогда не открывайте исполняемые файлы (.exe, .scr, .bat) или архивы с паролями от неизвестных отправителей.

Частые ошибки при проверке

  1. Доверие только к логотипу. Красивая картинка с логотипом компании в письме ничего не значит. Её можно скачать и вставить за 1 минуту.
  2. Игнорирование домена. Пользователи смотрят на имя «Служба поддержки», не замечая, что адрес отправителя [email protected], а не @company.com.
  3. Переход по ссылкам из письма. Даже если письмо кажется настоящим, безопаснее вручную ввести адрес сайта в браузере, чем кликать по ссылке.

FAQ: Вопросы о подлинности писем

Можно ли точно узнать IP-адрес отправителя? В большинстве случаев — нет. Современные почтовые сервисы (Gmail, Яндекс, Mail.ru) скрывают реальный IP-адрес пользователя в заголовках Received, подменяя его адресом своего сервера. Узнать точное местоположение человека по письму практически невозможно без запроса к провайдеру через полицию.

Что делать, если я перешел по ссылке из подозрительного письма? Немедленно смените пароль от почты и важных сервисов (банк, соцсети). Включите двухфакторную аутентификацию (2FA). Если вводили данные карты — заблокируйте её и сообщите в банк.

Почему письма от известных компаний иногда попадают в спам? Это может быть ошибкой фильтров, но чаще — признаком того, что домен компании был скомпрометирован или рассылка ведется с небезопасного сервера. Перепроверьте адрес отправителя через официальный сайт компании.

Лайфхак для безопасности: Настройте в почтовом клиенте правило, которое автоматически помечает ярким цветом все письма, не прошедшие проверку SPF или DKIM. Это поможет визуально отсеивать подозрительную корреспонденцию.