Defaults.Exposed

Defaults.ExposedИсправленияGuides

Кто-то отправляет письма с вашего домена: руководство по экстренному реагированию (2026)

Опубликовано 2026-07-08

Показатели по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи по 261 млн оценённых доменов. См. как мы выставляем оценки.

Сначала проверьте, используют ли поддельные письма ваш точный домен или двойник, потому что исправления совершенно разные. Подделку точного домена можно перекрыть в DNS — и большинство доменов этого не сделали: у 89,41% нет принудительной политики DMARC, а 46,4% вообще не публикуют SPF, по данным переписи Defaults.Exposed из 261 086 232 оценённых доменов.

Это чек-лист инцидента: первый час — подтвердить происходящее, не усугубив его; первый день — закрыть открытую дверь или начать снятие домена, если дверь не ваша; первая неделя — наблюдать, предупредить тех, кто может обжечься, включить принудительное применение. Пока только интересуетесь, может ли такое случиться? Начните со статьи может ли кто-то подделать мой домен? — эта страница для случая, когда это уже происходит.

Сначала: это действительно ваш домен или подражатель?

Возьмите одно из поддельных писем и прочитайте адрес отправителя посимвольно. Всё дальнейшее зависит от этого:

Что показывает адрес FromЧто происходитВаш путь
[email protected] — ваш домен, написанный в точности верноСпуфинг: чужой сервер подделывает ваш домен в строке From. Ваши системы НЕ взломаны.Исправление в DNS — SPF, DKIM, принудительный DMARC. Путь 1.
[email protected], yourcompany-billing.com, yourcompany.co — похоже, но не вашеДомен-двойник, зарегистрированный кем-то другим. К вашему DNS никто даже не обращается.Снятие домена + предупреждения. Путь 2.
Ваш точный адрес, и сообщения лежат в вашей собственной папке «Отправленные» или отвечают в реальные цепочкиКомпрометация учётной записи — кто-то внутри настоящего ящика. Другой инцидент.Смените пароль, отзовите сессии, включите 2FA, проверьте правила пересылки — прежде всего остального.

Данные по состоянию на 2026-06-29.

Выделенная строка — самый частый и самый исправимый случай. Базовый протокол электронной почты никогда не проверял строку From — вписать туда ваш домен может кто угодно, — поэтому исправление состоит в публикации DNS-записей, позволяющих получателям проверить самим. Неудобные цифры переписи: 121 145 609 из 261 086 232 оценённых доменов (46,4%) вообще не публикуют запись SPF, а 36 014 из 138 927 207 доменов, которые SPF публикуют, заканчивают его на +all — буквально разрешая всему интернету отправлять от их имени (данные по состоянию на 2026-06-29).

Первый час: подтвердите, не реагируйте

  1. Запустите бесплатное сканирование на defaults.exposed. Тридцать секунд, без регистрации. Оно скажет, можно ли сейчас подделать ваш домен — есть ли SPF и строг ли он, принудителен ли DMARC, — до того, как вы тронете DNS.
  2. Не отвечайте на подделку, ничего в ней не нажимайте и пока не рассылайте массовое письмо контактам. Паническая рассылка «игнорируйте письма от нас!» с того же домена читается ровно как мошенничество. Предупреждения будут позже — адресные и по другому каналу.
  3. Соберите один полный образец с полными заголовками. Попросите получателя переслать подделку вложением (Gmail: «Show original» → скачать; Outlook: «View message source»). Скриншота строки From недостаточно — заголовки — это доказательство для всего дальнейшего.
  4. Прочитайте вердикт, который принимающий сервер уже вынес. В заголовках найдите Authentication-Results:dmarc=fail по вашему точному домену подтверждает подделку вашего домена; двойник в header.from= подтверждает путь 2. Одна тонкость: получатели вычисляют SPF по домену Return-Path (RFC5321.MailFrom, адрес возврата), а не по заголовку From, который видит ваш получатель, — поддельное письмо может даже показывать spf=pass для домена спамера, подделывая ваш во From. Проверка выравнивания в DMARC закрывает именно эту дыру.

Путь 1 — это ваш точный домен: первый день

Подделка вашего точного домена работает лишь до тех пор, пока ваш DNS не говорит ничего, что позволило бы получателям её отклонить. Сегодня вы публикуете (или ужесточаете) три записи; принудительное применение — в течение недели.

  1. SPF: опубликуйте одну запись со списком ваших реальных отправителей, заканчивающуюся на -all («всем остальным: отказ»). Если ваша заканчивается на +all или ?all, сначала исправьте это — это открытая дверь, которую вы опубликовали сами. Разбор: как исправить SPF, клики по панели провайдера — в SPF на GoDaddy.
  2. DKIM: включите подписывание доменом у почтового провайдера и во всех инструментах рассылок/выставления счетов (обычно по паре записей CNAME на каждый).
  3. DMARC: опубликуйте v=DMARC1; p=none; rua=mailto:... уже сегодня, чтобы пошли отчёты; p=reject — проект этой недели, а не этого часа — полный справочник в разделе как исправить DMARC. Если домен вообще не отправляет легитимной почты — старый бренд, припаркованный домен — отбросьте осторожность и заприте его сегодня: тот старый домен после ребрендинга — дверь, которую вы оставили открытой.

Честная оговорка, прежде чем расслабиться: принудительная политика DMARC велит принимающим серверам отправлять в спам или отклонять подделки точного домена — и крупные провайдеры её соблюдают. Но она обязывает только тех получателей, которые её проверяют, и ничего не делает с доменами-двойниками: как только мошенники не смогут отправлять как yourcompany.com, регистрация yourcompany-billing.com стоит несколько евро. DMARC сжимает атаку, но не заканчивает историю — шаги первой недели важны и для вас.

Путь 2 — это двойник: это не исправляется в DNS

Никакая запись, опубликованная на вашем домене, не влияет на почту с домена, которым вы не владеете, — в ваш DNS никто даже не заглядывает. Сценарий — снятие домена плюс предупреждения:

  1. Выясните, кто стоит за двойником. Посмотрите его в RDAP/WHOIS (например, lookup.icann.org), чтобы узнать регистратора, и проверьте, размещает ли он сайт.
  2. Сообщите на abuse-контакт регистратора, приложив образец с полными заголовками, — регистраторы приостанавливают фишинговые домены каждый день; ясные доказательства ускоряют дело. Есть фишинговый сайт? Сообщите также хостеру, в Google Safe Browsing и Microsoft SmartScreen.
  3. Отмечайте письма как фишинг в принимающих ящиках (Gmail/Outlook «Report phishing») — это обучает большие фильтры против двойника быстрее любого письма.
  4. Предупредите вероятные цели по другому каналу — шаг, который реально останавливает уход денег. Позвоните или напишите (не только по почте) клиентам, поставщикам и вашему бухгалтеру: назовите поддельный домен и сделайте любую смену банковских реквизитов «от вас» проверяемой по телефону. Эта привычка — лучшая защита от истории о мошенничестве со счетами, которую вы слышали.
  5. Если двойник злоупотребляет вашим товарным знаком, жалоба по процедуре UDRP может передать домен вам — медленнее, чем снятие, но навсегда.

И всё равно пройдите путь 1: злоумышленники редко возятся с двойником, пока настоящий домен всё ещё открыт, а у 89,41% доменов нет принудительного DMARC (он есть лишь у 27 640 987 из 261 086 232 — 10,59%, по состоянию на 2026-06-29). Закройте собственную дверь в любом случае.

Первая неделя: наблюдайте, предупреждайте, применяйте

  1. Читайте отчёты DMARC. Через день-два после публикации тега rua= агрегированные отчёты покажут каждый сервер, отправляющий от имени вашего домена, — ваши настоящие и спуфера, с объёмами и вердиктами. Так вы наблюдаете, как атака умирает.
  2. Убедитесь, что ваши легитимные отправители проходят. Каждый настоящий источник (почтовый провайдер, инструмент рассылок, приложение для счетов, контактная форма сайта) должен проходить SPF или DKIM с выравниванием на ваш домен до включения принудительного применения — иначе reject заблокирует и вашу собственную почту.
  3. Дожмите DMARC до p=quarantine, затем p=reject. Под активным спуфингом обычные месяцы сжимаются до недели-двух — но вы сжимаете этапы, а не пропускаете их. Поэтапное развёртывание, плавный ввод через pct и политика для поддоменов: от p=none к p=reject без потери легитимной почты.
  4. Отправьте одно спокойное адресное уведомление контрагентам, которые могли получить подделки: что произошло, о чём просила подделка, правило «проверяй по телефону» для смены платёжных реквизитов и (для пути 2) точный домен-двойник, который надо заблокировать.
  5. Пересканируйте и сохраните отчёт. Страховщики и клиенты всё чаще спрашивают, что вы сделали для безопасности почты; датированный отчёт с оценкой отвечает письменно.

Часто задаваемые вопросы

Мне пришло мошенническое письмо с моего собственного адреса. Меня взломали? Почти всегда нет — вымогательские письма «от вас — вам» это тот же трюк с подделкой, эксплуатирующий то, что ваш домен не отклоняет фальшивки. Проверьте папку «Отправленные» и недавние входы; если чисто — это спуфинг, и принудительная политика DMARC останавливает этот вариант у соблюдающих её получателей. По состоянию на 2026-06-29 89,41% из 261 086 232 оценённых доменов этого не сделали.

Остановит ли DMARC письма с домена-двойника? Нет. Ваша политика DMARC управляет только вашим точным доменом (и его поддоменами) — двойник это чужой домен со своим DNS, который никогда не сверяется с вашими записями. С двойниками борются abuse-жалобами регистратору, жалобами на фишинг и предупреждениями контрагентов, а не DNS.

Как быстро p=reject реально остановит спуфинг? Изменения DNS доходят до получателей за часы, а Gmail, Outlook и большинство крупных провайдеров исполняют вердикты DMARC — подделки точного домена начинают умирать в день публикации политики. Два честных ограничения: мелкие получатели, которые вообще не проверяют DMARC, могут по-прежнему доставлять фальшивки, а принудительное применение до выравнивания ваших собственных отправителей заблокирует вашу легитимную почту — ускоряйте этапы, но не пропускайте их.

Отправьте владельцу отчёт

Если этим занимаетесь вы — ИТ-подрядчик: как только записи вступят в силу, повторно запустите сканирование и перешлите владельцу бизнеса отчёт с оценкой. Он простым языком показывает, что позволило спуфингу случиться, что вы изменили и где домен находится теперь — письменный ответ на вопрос «мы теперь в безопасности?» и доказательство для продления страховки или анкеты клиента. Если вы владелец: попросите именно такой отчёт и сохраните «до» и «после».

Проверьте бесплатно, можно ли подделать ваш домен

Узнайте, может ли чужой сервер сейчас выдать себя за вас — и что именно исправлять, — приватно и только для владельца.

Проверьте свой домен → · От p=none к p=reject → · Исправить DMARC → · Может ли кто-то подделать мой домен? → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.