Рекомендации по выявлению мошеннических действий
В поддельном письме имеется следующая информация:
Received: from mail.ru (unknown [ХХХ.ХХХ.ХХХ.ХХХ])
by mail.<сервер получателя>.ru (Postfix) with ESMTP id E9AF535E8A6
for <mailbox@<сервер получателя>.ru>; Tue, 28 Jul 2020 15:58:20 +0400 (MSK)
Return-Path: <info@nalog.ru>
Выделены элементы, которые показывают, что письмо от домена nalog.ru отправляется с сервера mail.ru, и при этом адрес, с которого отправляется письмо, не принадлежит заявленному серверу mail.ru (unknown). Фактически информация об отправителе (nalog.ru) не соответствует действительности по всем реквизитам (адрес сервера, имя сервера).
В реальном письме от почтового сервера ФНС России поля имеют вид:
Return-path: <mailbox@nalog.ru>
Received-SPF: pass (<server>.ru: domain of nalog.ru designates XXX.XXX.XXX.XXX as permitted sender) client-ip= XXX.XXX.XXX.XXX; envelope-from=mailbox@nalog.ru; helo=nalog.ru;
Received: from eups.nalog.ru ([XXX.XXX.XXX.XXX]:XXXXX helo=nalog.ru)
by <server>.ru with esmtp (envelope-from <mailbox@nalog.ru>)
id 1k0i3g-0000s0-4f
for mailbox@<server>.ru; Wed, 29 Jul 2020 12:07:32 +0300
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=simple/simple; d=nalog.ru; s=mail; bh=T519/PetbVFwHJ5wt0SN4hW2Ovn+bHWpCRZvS4esehM=;h=Content-Type:To:From:Thread-Topic:MIME-Version:Message-Id:Date:Subject; b=a4v5weJIaXyIt4CwFs/P5O50RmFKxLFcyL6bL13XyljTII5YPBodaAJAXw3bSLKPNHGrgQ2JKydPh
Проверка домена отправителя (SPF) пройдена и письмо действительно направлено с домена nalog.ru
Цифровая подпись (DKIM-Signature) позволяет серверу получателя проверить целостность письма во избежание подделки.
Крупные почтовые службы проверяют легитимность отправителя письма и информируют своих пользователей о поддельных письмах, помещая их в папку «спам» или включая в заголовок письма соответствующее предупреждение.
Для защиты пользователей, получающих письма с почтового сервера nalog.ru, в начале 2017 года при участии специалистов крупных российских почтовых сервисов ФНС России внедрила механизмы DMARC*, а также SPF* и DKIM*. Благодаря этому почтовые серверы получателя электронного письма автоматически проверяют легитимность отправителя и в случае необходимости переносят письмо в папку «Спам».
Настроив DMARC, владельцы почтовых серверов могут блокировать письма с неавторизованных доменов. Таким образом, DMARC позволяет выявлять и пресекать подмену обратного адреса отправителя, которую используют спамеры для поддельных рассылок от имени ФНС России (или любой другой компании). Подробную информацию об использовании данного механизма можно получить на сайте https://dmarc.org/ или на сайтах крупнейших почтовых сервисов России.
ФНС России настоятельно рекомендует осуществить необходимые настройки корпоративных почтовых систем пользователей для защиты от получения поддельных писем.
*DMARC - Domain-based Message Authentication, Reporting and Conformance (идентификация сообщений, создание отчётов и определение соответствия по доменному имени) — это техническая спецификация, предназначенная для снижения количества спамовых и фишинговых электронных писем. Основана на идентификации почтовых доменов отправителя на основании правил и признаков, заданных на почтовом сервере получателя. Письма с домена nalog.ru ФНС России отправляются с необходимой информацией для проверки легитимности отправителя.
*SPF - Sender Policy Framework (инфраструктура политики отправителя) — расширение для протокола отправки электронной почты через SMTP. SPF определён в RFC 7208. Благодаря SPF можно проверить, не подделан ли домен отправителя. Домен ФНС России имеет необходимые атрибуты для такой проверки.
*DKIM (Domain Keys Identified Mail) — это цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма.