Переписывание ссылок в email: почему ссылки в письмах заменены

Вы открываете письмо от коллеги и замечаете: ссылка, которую он прислал, выглядит совсем не как оригинальный URL. Вместо https://example.com там что-то вроде https://safelinks.protection.outlook.com/?url=https%3A... или https://urldefense.com/v3/__https://... Это не фишинг — это переписывание ссылок, технология безопасности корпоративных почтовых систем.

Что такое переписывание ссылок

Переписывание ссылок (link rewriting) — это процесс, при котором система безопасности заменяет все ссылки в входящих письмах на прокси-URL своего сервиса. Когда пользователь кликает по ссылке, запрос сначала проходит через сервер безопасности, который проверяет URL в режиме реального времени и либо разрешает переход, либо блокирует.

Ключевое преимущество перед статической проверкой: ссылка проверяется в момент клика, а не только при получении письма. Это позволяет ловить «time-delayed» атаки, когда URL становится вредоносным через несколько часов после доставки письма.

Сервисы, использующие переписывание ссылок

Microsoft Defender for Office 365 (Safe Links)

Переписывает ссылки в вид: https://safelinks.protection.outlook.com/?url=ОРИГИНАЛЬНЫЙ_URL&data=...&sdata=...&reserved=0. Используется в корпоративных Microsoft 365.

Proofpoint URL Defense

URL вида: https://urldefense.com/v3/__https://ОРИГИНАЛЬНЫЙ_URL__;!TOKEN!. Широко используется в корпоративных письмах.

Mimecast URL Protection

URL вида: https://protect2.fireeye.com/url?k=... или https://mimecast.com/... в зависимости от версии.

Cisco Secure Email

Реписывает ссылки через адрес своего сервиса проверки.

Почему это можно спутать с фишингом

Переписанные ссылки содержат несколько признаков, которые обычно считаются подозрительными:

• Неожиданный домен (safelinks.protection.outlook.com вместо ожидаемого)
• Длинный URL с кодированными параметрами
• Base64-подобные строки в параметрах
• Оригинальный URL зашифрован или закодирован в параметрах

Пользователь, знающий о признаках фишинга, может насторожиться. Но это корпоративная защита, а не угроза.

Как отличить легитимное переписывание от фишинга

• Домен сервиса безопасности. safelinks.protection.outlook.com принадлежит Microsoft. urldefense.com принадлежит Proofpoint. Проверьте, что домен прокси — официальный сервис безопасности.
• Контекст письма. Переписывание применяется ко всем ссылкам в письме, а не только к «специальным». Если переписаны ссылки на обычные статьи и сайты — это корпоративная защита.
• Ваша организация использует этот сервис. Спросите у IT-отдела, какая система безопасности использует переписывание ссылок.

Признаки того, что это всё же фишинг, а не легитимная защита:

• Прокси-домен — неизвестный или подозрительный (не safelinks, не urldefense)
• После «переписанного» URL следует явно вредоносный домен
• Письмо пришло с внешнего адреса, но претендует на внутреннюю переписку

Как проверить ссылку за прокси

Если вы хотите узнать, куда ведёт переписанная ссылка, не кликая по ней:

1. Скопируйте переписанный URL
2. Вставьте в 2check.click — анализатор прослеживает все редиректы, включая прокси, и показывает конечный домен
3. Или найдите параметр url= в переписанном URL, декодируйте его из процентного кодирования и проверьте результат

Проверьте подозрительную ссылку

Вставьте URL, SMS или QR-код в 2check.click — сервис проверит домен, редиректы, возраст домена и другие признаки фишинга.

Открыть анализатор 2check.click

Часто задаваемые вопросы

Можно ли доверять ссылкам после переписывания Microsoft Safe Links?

Microsoft Safe Links проверяет URL в момент клика и блокирует известные вредоносные сайты. Но это не абсолютная защита — особенно против новых доменов. Доверять переписанной ссылке в той же мере, что и оригинальной.

Почему переписывание ссылок применяется в корпоративной почте?

Корпоративные системы защищают большое количество сотрудников, поэтому проактивная проверка ссылок при клике более оправдана, чем обучение каждого сотрудника. Кроме того, это позволяет ретроспективно блокировать ссылки в уже доставленных письмах.

Применяется ли переписывание ссылок в личной почте Gmail или Яндекс?

Нет, стандартные почтовые сервисы для частных пользователей не применяют переписывание ссылок. Это корпоративная функция.

Что делать, если переписанная ссылка ведёт на заблокированную страницу?

Система безопасности заблокировала URL как подозрительный. Не пытайтесь обойти блокировку. Свяжитесь с IT-отделом, если считаете это ошибкой.

Может ли мошенник имитировать переписывание ссылок?

Теоретически да — создать URL, похожий на safelinks.protection.outlook.com. Именно поэтому важно проверять, что домен прокси — настоящий сервис безопасности, а не подделка.