Редакция журнала "Информационная безопасность", 10/10/25
Корпоративная почта остается одним из основных каналов коммуникации и одновременно – самым атакуемым вектором в инфраструктуре любой компании. Фишинг, компрометация учетных записей, злоупотребления доступом и ошибки настройки сервисов делают ее зоной постоянного риска. Мы предложили экспертам обсудить, что сегодня является самым слабым звеном в почтовой безопасности и какие решения действительно работают.
Эксперты:
- Юрий Иванов, технический директор ООО “АВ Софт”
- Александр Матвиенко, руководитель практики по защите почты, Positive Technologies
- Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE
- Дмитрий Черников, бизнес-руководитель департамента детектирования и предотвращения угроз компании F6
Что является самым слабым звеном в защите корпоративной почты – недостаточные настройки почтового сервиса, отсутствие наложенных средств или человек, получающий почту?
Юрий Иванов, "АВ Софт"
Однозначно, самое слабое звено – это человек. Даже при корректных настройках сервисов и наличии базовой фильтрации именно пользователь чаще всего становится мишенью. Более 80% атак опираются на социальную инженерию, преимущественно через почту. Поэтому даже при наличии организационных мер ключевой фактор защиты – это применение многоуровневых технических средств защиты на базе современных технологий. В нашей системе AVSOFT KAIROS мы реализовали ИИ-модели, которые позволяют выявлять фишинг и сложные целевые атаки, основанные на социальной инженерии.
Дмитрий Царев, BI.ZONE
Наиболее уязвимой частью корпоративной почты является человек. Злоумышленники выстраивают атаки именно вокруг него, стараясь различными способами вынудить сотрудника перейти по ссылке, открыть вложение или выполнить другое действие. Один из основных инструментов атакующих – фишинговые рассылки. Массовые рассылки нацелены на то, чтобы хотя бы один адресат перешел по ссылке. В целевых атаках, напротив, злоумышленники долго готовятся, но и потенциальная прибыль для них выше.
Если рассматривать вопрос шире, почта остается одним из старейших способов электронной коммуникации. При этом уровень ее безопасности по-прежнему невысок – как на уровне протокола, так и на уровне знаний о правильной настройке почтовых систем и средств защиты. Дополнительный риск возникает, когда ради решения бизнес-задач администраторы ослабляют защиту, что нередко приводит к компрометации.
Александр Матвиенко, Positive Technologies
Человек почти всегда будет целью хакера. Злоумышленники используют большие языковые модели (БЯМ), средства маскирования вредоносного контента: QR-коды, тесты CAPTCHA, многоэтапные нагрузки, нетипичные файлы во вложениях, которые остаются невидимыми для простейших систем защиты почты. Цель -- обойти средства защиты и убедить пользователя перейти по ссылке, загрузить файл, ввести пароль. В некоторых фишинговых сообщениях мы видели попытки увести пользователя в другой канал коммуникации. Фишинговая рассылка якобы от Госуслуг, где была информация о входе в личный кабинет, и для уточнения предлагалось позвонить по указанным номерам телефона.
Какой первый аспект вы проверяете в инфраструктуре, если стоит задача быстро улучшить защиту корпоративной почты?
Дмитрий Царев, BI.ZONE
Если необходимо быстро усилить защиту корпоративной почты, наиболее действенным решением становится подключение облачного провайдера защиты почты. Такой сервис можно развернуть за считанные часы. После включения решения проводится анализ почтового трафика: проверяются отправители и получатели, оценивается соответствие писем стандартам, выявляются признаки атак, выполняется сверка с базами STI, а также анализируются ссылки и вложения, включая запароленные архивы.
Александр Матвиенко, Positive Technologies
Первоочередно смотрим на настройки DNS (SPF, DKIM, DMARC), правила антиспама для фильтрации входящей почты, настройки межсетевого экрана для защиты почтовых серверов и состояние 2FA для защиты пользовательских учётных записей. Далее -- харденинг почтового сервера, предложение перевода почтовых серверов за WAF и NGFW, чтобы доступ к ним был только после подключения к корпоративной среде. В целом, здесь можно придерживаться стратегии Defence in depth, чтобы реализовывать защиту в комплексе.
Дмитрий Черников, F6
Первый аспект, требующий внимания, – анализ актуальности и корректности настроек аутентификации пользователей. Даже самые современные средства фильтрации и защиты не дадут желаемого результата, если злоумышленник получит доступ к учетной записи через утечку или подбор пароля. Прежде всего необходимо внедрить многофакторную аутентификацию для всех сотрудников, особенно если доступ к почте осуществляется вне корпоративной сети. МФА значительно снижает риск компрометации учетных данных.
Юрий Иванов, "АВ Софт"
Первым шагом стоит провести аудит имеющихся средств защиты – антиспам-фильтров, песочниц, антивирусных движков: формально они нередко присутствуют, но не интегрированы или плохо настроены. В частности, даже базовые почтовые серверы обладают минимальными методами защиты и фильтрации, но многие пренебрегают даже ими.
Параллельно необходимо проверить корректность базовых механизмов аутентификации почты. Их отсутствие или ошибки конфигурации открывают путь к подмене адресов и фишингу. Завершающий этап – анализ каналов доставки вложений и ссылок, чтобы выявить слепые зоны фильтрации.
Какой механизм защиты почты недооценивают даже зрелые организации?
Дмитрий Черников, F6
Даже зрелые компании часто недооценивают защиту писем "в пути". Если соединение между почтовыми серверами не зашифровано должным образом, письмо могут перехватить или подменить. Чтобы атакующие не смогли встроиться в переписку и похитить данные, важно использовать современные технологии, которые гарантируют безопасную передачу и проверку сертификатов. Например: MTA-STS, DANE, TLS-RPT, снижающие риски атак типа "человек посередине".
Александр Матвиенко, Positive Technologies
Недооценивают защиту от целевых атак. Мы часто видим в PT Sandbox почтовые атаки, в которых используется сложная схема сокрытия вредоносной нагрузки в архивах-полиглотах, которая остается невидимой для антивирусов. Цена ошибки сейчас очень высока, и всего один пропущенный файл может привести к серьезным последствиям для организации. И вредоносы загружают не только в почту, но и в веб-формы и хранилища, поэтому крайне важно контролировать все каналы передачи информации.
Юрий Иванов, "АВ Софт"
Даже зрелые организации недооценивают поведенческий анализ и мультисканер. Антивирусный движок в одиночку почти никогда не дает полной картины: сигнатуры обновляются с разной скоростью, и часть угроз ускользает. Использование сразу нескольких движков вместе с поведенческим анализом в песочнице позволяет выявлять новые и сложные атаки, которые обходят классическую защиту. В системе AVSOFT ATHENA реализованы обе технологии, что обеспечивает максимально полный и надежный уровень обнаружения угроз и защиты почтового трафика.
Дмитрий Царев, BI.ZONE
Даже зрелые организации часто недооценивают базовые механизмы защиты – идентификацию и аутентификацию участников переписки, а также шифрование писем.
Защита почты не ограничивается проверкой вложений и ссылок. Например, BI.ZONE Mail Security анализирует сам контекст переписки: мотивы, стиль общения, даже эмоциональную окраску сообщений. Злоумышленники постоянно ищут новые способы обмана. В тщательно подготовленных атаках они создают отдельные инфраструктуры: регистрируют домены, нарабатывают их репутацию и даже налаживают официальные контакты. Человеческий фактор здесь остается ключевым. Если пользователь может уверенно идентифицировать человека, с которым ведет диалог, риск инцидентов значительно снижается.
Какой самый нетривиальный вектор атаки через почту вы встречали в своей практике, и чему он вас научил?
Юрий Иванов, "АВ Софт"
На практике мы сталкивались с разными атаками: "спящие" ссылки, QR-коды, обходящие фильтры без компьютерного зрения. Но самой интересной стала эксплуатация уязвимостей популярных веб-фреймворков: обычный сайт превращался в угрозу через вредоносные JS-скрипты. Такие атаки можно выявить только поведенческим анализом URL на базе KAIROS или ATHENA.
Дмитрий Черников, F6
В одной из ситуаций не было вредоносного вложения или ссылок. Атака была основана на компрометации почтового ящика подрядчика организации: преступники получили доступ к корпоративной почте поставщика, изучили стиль переписки и шаблоны счетов. Затем от имени доверенного контактного лица отправили корректно оформленный счет, содержащий измененные банковские реквизиты. Это показывает: даже продвинутые средства технической защиты не могут полностью заменить внимание сотрудников и необходимость проверки данных при финансовых операциях.
Александр Матвиенко, Positive Technologies
Почти всегда человек является целью. "Почти", потому что в практике был случай, когда вектор был иной, и атака была направлена на информационную систему. Злоумышленники отправляли письмо, содержащее SQL-запрос для удаления таблиц. Такое письмо прошло через антиспам и достигло цели, и в итоге таблицу удалили. Система компании оказалась киберустойчивой, поэтому все данные и работоспособность были быстро восстановлены. Всегда нужна валидация отправителя при таких интеграциях, и, пожалуй, SMTP не лучший транспорт для такого сценария.
Что бы вы изменили в пользовательском интерфейсе почтового клиента, чтобы сделать безопаснее всю корпоративную почту?
Юрий Иванов, "АВ Софт"
Я бы добавил больше "объяснимости": автоматические предупреждения о сомнительных письмах, визуальную подсветку внешних отправителей и встроенные подсказки при переходе по ссылкам. Важна простота – пользователь должен сразу видеть риск без перегрузки деталями. Такой интерфейс снижает количество ошибок и укрепляет доверие к защите, дополняя работу шлюзов и фильтров.
Александр Матвиенко, Positive Technologies
Возможно, мои предложения покажутся очевидными, но еще алеко не все компании их используют.
Во-первых, добавил бы предупреждение во приходящие извне почтовые сообщения, что письмо получено из внешнего мира и может быть опасным. Это мгновенно повысит бдительность пользователя перед фишингом, мимикрирующим под внутреннюю переписку. Для ответов на такие сообщения использовал бы предупреждение о том, что письмо будет отправлено внешнему получателю, находящемуся за пределами компании.
Во-вторых, в панель почтового клиента добавил бы кнопки "Отправить в SOC" и "Отправить вендору", которые направляли бы письмо со всеми заголовками в службу ИБ. Первая кнопка важна для отслеживания фишинга и подозрительных писем. Ее также нужно нажимать, если после перехода по ссылке появились опасения, что это все же был фишинг. Вторая кнопка полезна, чтобы быстро проинформировать об ошибках первого или второго рода (ложноположительных или ложноотрицательных срабатываниях), и у вендора была возможность отреагировать и выпустить требуемое обновление баз. Естественно, такое письмо должно передаваться только после согласования службой ИБ.
Дмитрий Царев, BI.ZONE
Чтобы пользователи могли лучше оценить надежность отправителя перед прочтением письма, стоит добавлять специальные маркеры. Даже простое указание на то, что письмо пришло из внешнего источника, помогает снизить риск киберинцидентов. Такой подход позволяет компенсировать человеческий фактор за счет привлечения внимания пользователей к сообщениям.
В BI.ZONE Mail Security можно добавлять специальные маркеры, которые будут сигнализировать о том, что пользователю стоит обратить внимание на легитимность письма. А если письмо попадает в карантин, пользователи получают наиболее полную информацию о его содержимом, что повышает общую безопасность и снижает нагрузку на специалистов по кибербезопасности.
Дмитрий Черников, F6
Я бы добавил кнопку для быстрого сообщения о фишинге, возможность безопасного просмотра вложений в песочнице и небольшие подсказки-тренировки по фишингу на месте, которые появляются при подозрительных письмах или действиях.
