ENG

Рекомендации по выявлению мошеннических действий

1. Перенесены сроки уплаты налогов для субъектов МСП

Рекомендации по выявлению мошеннических действий

В поддельном письме имеется следующая информация:

Received: from mail.ru (unknown [ХХХ.ХХХ.ХХХ.ХХХ])

         by mail.<сервер получателя>.ru (Postfix) with ESMTP id E9AF535E8A6

         for <mailbox@<сервер получателя>.ru>; Tue, 28 Jul 2020 15:58:20 +0400 (MSK)

Return-Path: <info@nalog.ru>


Выделены элементы, которые показывают, что письмо от домена nalog.ru отправляется с сервера mail.ru, и при этом адрес, с которого отправляется письмо, не принадлежит заявленному серверу mail.ru (unknown). Фактически информация об отправителе (nalog.ru) не соответствует действительности по всем реквизитам (адрес сервера, имя сервера).

В реальном письме от почтового сервера ФНС России поля имеют вид:

Return-path: <mailbox@nalog.ru>

Received-SPF: pass (<server>.ru: domain of nalog.ru designates XXX.XXX.XXX.XXX as permitted sender) client-ip= XXX.XXX.XXX.XXX; envelope-from=mailbox@nalog.ru; helo=nalog.ru;

Received: from eups.nalog.ru ([XXX.XXX.XXX.XXX]:XXXXX helo=nalog.ru)

         by <server>.ru with esmtp (envelope-from <mailbox@nalog.ru>)

         id 1k0i3g-0000s0-4f

         for mailbox@<server>.ru; Wed, 29 Jul 2020 12:07:32 +0300

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=simple/simple; d=nalog.ru; s=mail; bh=T519/PetbVFwHJ5wt0SN4hW2Ovn+bHWpCRZvS4esehM=;h=Content-Type:To:From:Thread-Topic:MIME-Version:Message-Id:Date:Subject; b=a4v5weJIaXyIt4CwFs/P5O50RmFKxLFcyL6bL13XyljTII5YPBodaAJAXw3bSLKPNHGrgQ2JKydPh

Проверка домена отправителя (SPF) пройдена и письмо действительно направлено с домена nalog.ru

Цифровая подпись (DKIM-Signature) позволяет серверу получателя проверить целостность письма во избежание подделки.

Крупные почтовые службы проверяют легитимность отправителя письма и информируют своих пользователей о поддельных письмах, помещая их в папку «спам» или включая в заголовок письма соответствующее предупреждение.

Для защиты пользователей, получающих письма с почтового сервера nalog.ru, в начале 2017 года при участии специалистов крупных российских почтовых сервисов ФНС России внедрила механизмы DMARC*, а также SPF* и DKIM*. Благодаря этому почтовые серверы получателя электронного письма автоматически проверяют легитимность отправителя и в случае необходимости переносят письмо в папку «Спам».

Настроив DMARC, владельцы почтовых серверов могут блокировать письма с неавторизованных доменов. Таким образом, DMARC позволяет выявлять и пресекать подмену обратного адреса отправителя, которую используют спамеры для поддельных рассылок от имени ФНС России (или любой другой компании). Подробную информацию об использовании данного механизма можно получить на сайте https://dmarc.org/ или на сайтах крупнейших почтовых сервисов России.

ФНС России настоятельно рекомендует осуществить необходимые настройки корпоративных почтовых систем пользователей для защиты от получения поддельных писем.

*DMARC - Domain-based Message Authentication, Reporting and Conformance (идентификация сообщений, создание отчётов и определение соответствия по доменному имени) — это техническая спецификация, предназначенная для снижения количества спамовых и фишинговых электронных писем. Основана на идентификации почтовых доменов отправителя на основании правил и признаков, заданных на почтовом сервере получателя. Письма с домена nalog.ru ФНС России отправляются с необходимой информацией для проверки легитимности отправителя.

*SPF - Sender Policy Framework (инфраструктура политики отправителя) — расширение для протокола отправки электронной почты через SMTP. SPF определён в RFC 7208. Благодаря SPF можно проверить, не подделан ли домен отправителя. Домен ФНС России имеет необходимые атрибуты для такой проверки.

*DKIM (Domain Keys Identified Mail) — это цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма.