Почему ссылки в письмах выглядят иначе: что это значит

Вы наводите курсор на ссылку в письме и видите в строке состояния браузера совершенно не то, что написано в тексте. Или ссылка выглядит подозрительно длинной с множеством параметров. Или начинается с незнакомого домена. Паника? Не обязательно — у этого явления есть четыре разных объяснения, и только одно из них опасно.

Причина 1: Система безопасности перезаписала ссылки

Корпоративные системы защиты электронной почты (Microsoft Defender Safe Links, Proofpoint, Mimecast) заменяют все ссылки в письме на прокси-URL своего сервиса. Вместо https://partner.com/contract вы видите https://safelinks.protection.outlook.com/?url=https%3A%2F%2Fpartner.com%2Fcontract&...

Как распознать: домен прокси — известный сервис безопасности (outlook.com, urldefense.com, mimecast.com). Применяется ко всем ссылкам в письме, включая безобидные. Подробнее — в руководстве переписывание ссылок в email.

Причина 2: UTM-метки и отслеживание кликов

Маркетинговые рассылки добавляют к ссылкам параметры отслеживания: utm_source=email&utm_campaign=spring-promo и тому подобное. Сама ссылка ведёт на правильную страницу, просто с «хвостом» для аналитики. Безопасно, но меняет внешний вид ссылки.

Некоторые рассылки используют отдельный сервер отслеживания: click.email.company.com/track?url=https://company.com/page. После клика происходит быстрый редирект на настоящий адрес. Технически это тоже переписывание, но легитимное.

Как распознать: есть параметры utm_*, fbclid, yclid. Или первый домен — корпоративный поддомен (click.company.com, email.brand.ru).

Причина 3: Почтовый клиент иначе рендерит ссылки

Иногда разница — в отображении, а не в содержании. HTML-письмо может содержать:

<a href="https://real-url.ru">Нажмите здесь</a>

Текст ссылки «Нажмите здесь» никак не связан с адресом href. При наведении вы видите реальный URL в строке состояния. Это нормально — тексты ссылок всегда могут отличаться от адресов. Насторожиться стоит, если текст ссылки выглядит как URL одного сайта, а href ведёт на другой.

Причина 4: Реальный фишинг

Четвёртая причина — та, которой стоит опасаться. Ссылка в письме специально оформлена так, чтобы выглядеть как легитимная, но вести на поддельный сайт:

• Текст ссылки: https://sberbank.ru/login — а href ведёт на sberbank-secure.ru
• Длинный URL с редиректом на фишинговый домен
• Закодированный URL, скрывающий реальное назначение

Красные флаги: текст ссылки — один URL, а реальный href — совершенно другой домен. Или href ведёт через несколько редиректов, и конечный домен — неизвестный.

Практическое руководство по проверке

1. Наведите курсор на ссылку — посмотрите реальный href в строке состояния браузера (или в подсказке при долгом нажатии на мобильном).
2. Сравните текст ссылки и href. Если текст выглядит как URL, но href — другой адрес — это подозрительно.
3. Определите первый домен. Это известный сервис безопасности? Корпоративный трекинговый домен? Или незнакомый адрес?
4. Скопируйте ссылку и проверьте через 2check.click — анализатор прослеживает все редиректы и показывает конечный домен.

Таблица сравнения

Когда длинная или странная ссылка легитимна:

• Домен — известная система безопасности (outlook, urldefense, mimecast)
• Есть UTM-параметры, конечный домен — официальный сайт отправителя
• Текст ссылки и href оба ведут на один и тот же легитимный домен

Когда ссылка подозрительна:

• Текст ссылки показывает один домен, href — другой
• Первый домен — незнакомый, конечный — тем более
• Много редиректов через неизвестные домены

Проверьте подозрительную ссылку

Вставьте URL, SMS или QR-код в 2check.click — сервис проверит домен, редиректы, возраст домена и другие признаки фишинга.

Открыть анализатор 2check.click

Часто задаваемые вопросы

Как посмотреть реальную ссылку в письме на смартфоне?

Долгое нажатие на ссылку обычно показывает меню с опцией «Скопировать ссылку» или отображает URL в подсказке. Скопируйте и вставьте в 2check.click для проверки.

Почему в Яндекс.Почте ссылки выглядят иначе, чем в Gmail?

Разные почтовые клиенты могут по-разному отображать ссылки и обрабатывать переписывание. Яндекс.Почта и Mail.ru имеют собственные механизмы безопасности, которые могут добавлять свои параметры.

Если текст ссылки выглядит как URL, обязан ли он совпадать с href?

Нет, это не обязательно технически. Но разумные компании и пользователи стараются совпадение соблюдать. Расхождение — особенно когда текст выглядит как «sberbank.ru», а href ведёт на другой домен — классический признак обмана.

Опасно ли наводить курсор на ссылку для просмотра href?

Нет. Наведение курсора без клика абсолютно безопасно.

Что делать, если я не могу понять, безопасна ли ссылка?

Не переходите по ссылке из письма. Найдите официальный сайт организации через поисковик или закладки и перейдите напрямую. Если проблема реальная — вы увидите её в своём аккаунте.