2check.click

4 мин. чтения Обновлено: июнь 2026 г.

Подмена отправителя письма (email spoofing)

Письмо якобы от «Сбербанка», «ФНС России» или вашего руководителя — но на самом деле отправлено мошенником. Это email spoofing — подмена отправителя электронного письма. Техника существует столько же, сколько существует электронная почта, и по-прежнему широко используется в фишинге.

Как работает подмена отправителя

Протокол электронной почты SMTP (Simple Mail Transfer Protocol) не требует аутентификации отправителя — это исторически так сложилось. Технически любой почтовый сервер может указать в поле From: любой адрес. Это как написать на конверте любой обратный адрес — почтальон доставит письмо вне зависимости от того, настоящий он или нет.

Существует два уровня подмены, которые важно различать:

Подмена отображаемого имени (Display Name Spoofing)

Это самый простой и самый распространённый вид. Поле отправителя в письме содержит две части: отображаемое имя и реальный адрес. Например: «Сбербанк Безопасность» <noreply@sber-security.ru>.

Большинство почтовых клиентов по умолчанию показывают только отображаемое имя — «Сбербанк Безопасность». Реальный адрес скрыт. Чтобы его увидеть, нужно нажать на имя отправителя или раскрыть детали письма.

Мошенник устанавливает отображаемое имя «Сбербанк», «ФНС России» или «Служба безопасности», а реальный адрес — произвольный: sber-alert@mail-service.com, tax-refund@notify.ru. Получатель видит «Сбербанк» и не подозревает обмана.

Подмена домена отправителя

Более технически сложный вариант: мошенник настраивает свой сервер так, чтобы поле From: содержало адрес из другого домена. Например, отправляет письмо с сервера malicious.com, но в From: указывает sberbank.ru.

Именно против этого направлены механизмы SPF, DKIM и DMARC — они позволяют получающему серверу проверить, авторизован ли отправляющий сервер для данного домена. Если домен sberbank.ru настроил DMARC с политикой reject, подделать его адрес в From: становится значительно сложнее.

Разница между отображаемым именем и реальным адресом

В разных почтовых клиентах эту информацию можно увидеть по-разному:

  • Gmail: нажмите на имя отправителя — появится всплывающее окно с реальным адресом
  • Яндекс.Почта: нажмите на имя отправителя в развёрнутом письме
  • Outlook: нажмите на имя отправителя — раскроется карточка с адресом
  • Apple Mail: нажмите на имя — появится реальный адрес

Правило: если отображаемое имя — «Сбербанк», а реальный адрес — что-то на mail.ru, rambler.ru или неизвестном домене — это spoofing.

Как SPF, DKIM и DMARC помогают

Три механизма аутентификации email работают вместе, чтобы бороться со spoofing:

  • SPF — указывает, с каких серверов разрешено отправлять письма от имени домена
  • DKIM — добавляет цифровую подпись к письму, подтверждающую его подлинность
  • DMARC — определяет политику: что делать с письмами, не прошедшими SPF и DKIM (пропустить, отправить в спам, отклонить)

Подробнее о каждом — в руководствах по SPF, DKIM и DMARC.

Что проверить в подозрительном письме

  1. Откройте детали отправителя — совпадает ли реальный адрес с заявленным именем?
  2. Совпадает ли домен отправителя с официальным доменом организации?
  3. Посмотрите на заголовки письма (в Gmail: три точки → «Показать оригинал») — проверьте результаты SPF, DKIM, DMARC
  4. Не переходите по ссылкам в письме — зайдите на сайт напрямую

Проверьте подозрительную ссылку

Вставьте URL, SMS или QR-код в 2check.click — сервис проверит домен, редиректы, возраст домена и другие признаки фишинга.

Открыть анализатор 2check.click

Часто задаваемые вопросы

Могут ли мошенники подделать адрес @sberbank.ru?

Если у Сбербанка настроен DMARC с политикой reject, письма с поддельным адресом @sberbank.ru будут отклонены почтовыми серверами. Но «Сбербанк Безопасность» <fraud@mail-service.ru> пройдёт — это не подмена домена, а только подмена отображаемого имени.

Как отличить легитимное письмо от банка от поддельного?

Проверьте реальный адрес отправителя. Официальные письма Сбербанка приходят с домена sberbank.ru (@sberbank.ru). Любой другой домен — не Сбербанк, независимо от отображаемого имени.

Может ли письмо с реальным адресом @sberbank.ru быть мошенническим?

Если сервер Сбербанка был скомпрометирован — теоретически да, но это крайне редкий сценарий. Гораздо чаще мошенники используют похожие домены (sberbank-info.ru) или только подмену отображаемого имени.

Что значит «письмо не прошло DMARC»?

Это означает, что письмо не удовлетворяет политике аутентификации домена отправителя. Почтовый сервер может поместить его в спам или отклонить, в зависимости от политики DMARC.

Всегда ли письмо в спаме является фишингом?

Нет. Спам-фильтры иногда ошибаются с легитимными письмами. Но письмо с явными признаками spoofing в спаме — действительно, скорее всего, мошенническое.

Как сообщить о письме с подменой отправителя?

Отметьте как «Фишинг» или «Спам» в почтовом клиенте. Если используется имя российского банка или госоргана — сообщите также в Центробанк или МВД. Подробнее — в руководстве как сообщить о фишинге.

Популярные статьи

Получили подозрительную ссылку?

Проверьте сейчас →

Похожие статьи