исследование 3 июня 2026

BEC, фишинг и спуфинг: как защитить корпоративную почту

Электронная почта остаётся каналом №1 для атак на компании: через неё заходят фишинг, спуфинг (подделка отправителя) и BEC (business email compromise — компрометация деловой переписки, в которой мошенник выдаёт себя за руководителя, контрагента или бухгалтерию и провоцирует перевод денег или утечку данных). В отличие от вредоносных вложений, BEC часто не содержит ни ссылок, ни файлов — только текст и социальную инженерию, поэтому обходит простые антивирусные фильтры. **Если коротко:** надёжная защита почты — это два контура сразу. Технический: аутентификация домена (SPF, DKIM, DMARC), почтовая песочница, анти-BEC и защита от имперсонации, проверка ссылок при клике. Организационный: обучение сотрудников, регламент подтверждения платежей по второму каналу, понятный путь сообщить о подозрительном письме. Ниже разбираем, как устроены атаки, какие меры им противопоставить и как выбрать решение. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге защиты почты и антифишинга](/rating/email-security-antiphishing).

9 мин. чтения Блоки данных: 5 Позиции: не продаются Авторы: Ирина Карпова

Короткий вывод

security context

Визуальный контекст исследования

Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.

Тематическое фото для исследования: BEC, фишинг и спуфинг: как защитить корпоративную почту — Тематическая иллюстрация к исследованию: BEC, фишинг и спуфинг: как защитить корпоративную почту. Burst / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Ирина Карпова Редактор методологии и проверки источников

Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.

9 лет в редакционной аналитике, проверке источников и методологии рейтингов
Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Почему почта — главный вектор атак

Почтовый адрес сотрудника публичен и предсказуем, а доверие к письму «от начальника» или «от знакомого контрагента» — встроенная человеческая слабость. Атакующему не нужно взламывать периметр: достаточно убедить одного человека нажать на ссылку, открыть файл или перевести деньги. Это дешевле и эффективнее технического взлома.

Опасность BEC в том, что он бьёт не по технике, а по процессу. Письмо с просьбой «срочно оплатить счёт, реквизиты изменились» может прийти без единого вредоносного элемента — и пройдёт любой антивирус. Поэтому защита почты строится не только на фильтрах, но и на проверяемых правилах: кто, как и по какому второму каналу подтверждает финансовые и чувствительные операции.

Три типа атак на почту: чем отличаются

Важно различать механики, потому что меры защиты для них разные.

- **Фишинг.** Массовая или таргетированная рассылка со ссылкой на поддельную страницу (сбор паролей) или с вредоносным вложением. Точечная разновидность — целевой фишинг (spear phishing) под конкретного человека. - **Спуфинг.** Подделка поля «От кого»: письмо выглядит как пришедшее с вашего или доверенного домена. Именно против спуфинга работают SPF, DKIM и DMARC. - **BEC.** Компрометация деловой переписки: мошенник выдаёт себя за руководителя или контрагента (через спуфинг, похожий домен-двойник или захваченный реальный ящик) и добивается перевода денег, смены реквизитов или выдачи данных. Часто — без ссылок и вложений, на чистой социальной инженерии.

Тип атаки → признак → мера защиты

Тип атаки	Как распознать (признак)	Основная мера защиты
Спуфинг домена	Адрес «От кого» совпадает с вашим/доверенным, но письмо не проходит проверку подлинности	SPF + DKIM + DMARC в режиме reject на вашем домене
Похожий домен-двойник	Домен почти как настоящий (замена/добавление символов, иная зона)	Защита от имперсонации, мониторинг похожих доменов, баннер «внешний отправитель»
Массовый фишинг (ссылка)	Призыв срочно «подтвердить пароль» по ссылке на сторонний сайт	Антифишинг-фильтр, проверка ссылок при клике (rewrite/time-of-click)
Целевой фишинг (вложение)	Неожиданный файл, макросы, архив с паролем	Почтовая песочница (детонация вложений), блокировка опасных типов
BEC «от руководителя»	Срочность, секретность, просьба обойти процедуру, новый адрес ответа	Анти-BEC, анализ аномалий, регламент подтверждения по второму каналу
BEC «смена реквизитов»	Письмо от «контрагента» с новым счётом для оплаты	Подтверждение реквизитов по телефону, обучение бухгалтерии
Захват реального ящика (ATO)	Письмо с настоящего адреса, но нетипичные правила/пересылка	MFA, мониторинг входов, защита от перехвата сессии

Технические меры: что выстраивает контур почты

Техника не отменяет обучение, но снимает основную массу автоматизированных и шаблонных атак, оставляя людям только сложные случаи.

- **SPF, DKIM, DMARC.** Базовая аутентификация домена. SPF задаёт, какие серверы вправе слать почту от вашего имени; DKIM подписывает письма криптографически; DMARC связывает их и говорит, что делать с подделками (карантин/reject), плюс присылает отчёты. Это главный барьер против спуфинга вашего домена. - **Почтовая песочница.** «Детонация» вложений и переход по ссылкам в изолированной среде до доставки — ловит то, что ещё не попало в сигнатуры. - **Проверка ссылок при клике (time-of-click).** Ссылки переписываются и проверяются в момент перехода, а не только при доставке — защита от «спящих» URL, которые становятся вредоносными позже. - **Анти-BEC и защита от имперсонации.** Анализ аномалий в переписке, выявление доменов-двойников и поддельных «отображаемых имён», детекция типичных BEC-сценариев (срочность, смена реквизитов, обход процедур). - **Баннер внешнего отправителя и MFA.** Пометка писем извне снижает доверие к имперсонации, а многофакторная аутентификация защищает от захвата самих ящиков (ATO).

Какие меры закрывают какую долю почтовых атак

Усреднённая редакционная оценка вклада меры в снижение результативных атак по открытым данным. Это не вендорский бенчмарк и не гарантия — реальный эффект зависит от настройки и зрелости процессов.

SPF / DKIM / DMARC (reject) 90 /100

90 /100

Обучение сотрудников и репорт-кнопка 85 /100

85 /100

Анти-BEC и защита от имперсонации 80 /100

80 /100

Регламент подтверждения платежей 80 /100

80 /100

Почтовая песочница (вложения) 75 /100

75 /100

Проверка ссылок при клике 70 /100

70 /100

MFA против захвата ящиков 70 /100

70 /100

Организационные меры: почему без людей не работает

BEC обходит технику, потому что эксплуатирует процесс и доверие. Поэтому половина защиты — это не продукт, а правила и привычки.

- **Обучение и тренировочный фишинг.** Регулярные имитированные рассылки и короткие разборы учат распознавать срочность, давление и подмену адреса лучше любой инструкции. - **Регламент второго канала.** Любая смена реквизитов или нетиповой платёж подтверждается по заранее известному телефону/мессенджеру, а не по контактам из самого письма. - **Простой путь сообщить.** Кнопка «пожаловаться на письмо» и понятная реакция SOC превращают сотрудника из жертвы в датчик: чем быстрее репорт, тем меньше ущерб. - **Сегментация полномочий.** Право менять реквизиты и инициировать платежи — у ограниченного круга с двойным контролем.

Чек-лист защиты корпоративной почты

SPF, DKIM, DMARC настройте на всех доменах и доведите DMARC до политики reject, читайте отчёты.

Похожие домены заранее зарегистрируйте/мониторьте двойники вашего домена.

Песочница вложений включите детонацию файлов и блокировку опасных типов до доставки.

Проверка ссылок при клике включите переписывание и проверку URL в момент перехода.

Анти-BEC и имперсонация активируйте детекцию доменов-двойников и поддельных имён.

Баннер внешнего отправителя помечайте письма извне, особенно с «именами руководителей».

MFA на почту закройте захват ящиков многофакторной аутентификацией.

Регламент платежей подтверждайте смену реквизитов по второму каналу, не из письма.

Обучение и тренировочный фишинг проводите регулярно, разбирайте результаты.

Репорт-кнопка и реакция SOC дайте простой способ сообщить и быстро реагируйте.

Проверьте поставщиков сверьтесь с подтверждёнными внедрениями в [рейтинге защиты почты](/rating/email-security-antiphishing).

Как внедрить защиту почты: 5 шагов

01 Аудит и аутентификация домена
Проверьте, кто шлёт почту от вашего имени, настройте SPF/DKIM и доведите DMARC до reject.
02 Шлюз и фильтры
Подключите почтовый шлюз с антифишингом, песочницей и проверкой ссылок при клике.
03 Анти-BEC и имперсонация
Включите детекцию доменов-двойников, поддельных имён и аномалий переписки, добавьте баннер внешнего отправителя.
04 Процессы и люди
Введите регламент подтверждения платежей по второму каналу, репорт-кнопку и реакцию SOC.
05 Обучение и проверка
Запустите тренировочный фишинг, разберите результаты и повторяйте цикл — метрику кликов держите под контролем.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики систем защиты почты сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Статус в [реестре отечественного ПО](https://reestr.digital.gov.ru/) и [реестре сертифицированных СЗИ ФСТЭК](https://reestr.fstec.ru/) — это проверяемые первоисточники, на которые стоит опираться при закупке. Поэтому статью полезно читать в связке с [рейтингом защиты почты](/rating/email-security-antiphishing): здесь — механики атак и меры, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Разобрались с механиками и мерами — переходите к сравнению поставщиков: **[рейтинг защиты почты и антифишинга →](/rating/email-security-antiphishing)**. Полезно прочитать рядом: [рейтинг российских систем защиты почты 2026](/research/reyting-email-security-rossiya-2026), [чем заменить Proofpoint и Mimecast](/research/zamena-proofpoint-mimecast) и [настройку SPF, DKIM и DMARC](/research/spf-dkim-dmarc-nastroyka).

Частые вопросы

Чем BEC отличается от обычного фишинга?

Фишинг обычно содержит ссылку или вложение и нацелен на кражу пароля либо запуск вредоноса. BEC часто не содержит ни того, ни другого: мошенник выдаёт себя за руководителя или контрагента и текстом провоцирует перевод денег или смену реквизитов. Поэтому BEC обходит антивирус и требует анти-BEC-детекции плюс процессных правил.

Достаточно ли настроить SPF, DKIM и DMARC?

Это обязательная база против подделки вашего домена, но недостаточная. DMARC не защищает от писем с похожих доменов-двойников, от захваченных реальных ящиков и от чистой социальной инженерии. Нужны песочница, анти-BEC, защита от имперсонации и обучение.

Как защититься от писем с «почти настоящего» домена?

Поможет защита от имперсонации и мониторинг похожих доменов, баннер «внешний отправитель», а также организационное правило: смену реквизитов и нетиповые платежи подтверждать по заранее известному второму каналу, а не по контактам из письма.

Нужна ли почтовая песочница, если есть антивирус?

Да. Антивирус ловит известные угрозы по сигнатурам, а песочница «детонирует» вложения и ссылки в изоляции и выявляет новые, ещё не каталогизированные атаки до их доставки пользователю.

Зачем обучать сотрудников, если есть технические фильтры?

Потому что BEC и целевой фишинг намеренно обходят технику, эксплуатируя доверие и срочность. Обученный сотрудник с репорт-кнопкой становится дополнительным датчиком и закрывает те сценарии, которые фильтр пропускает.

Где сравнить конкретных поставщиков защиты почты?

В рейтинге защиты почты и антифишинга — там компании ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России

Рейтинг защиты почты и антифишинга Сравнить поставщиков по подтверждённым сигналам Рейтинг российских систем защиты почты и антифишинга 2026 Чем заменить Proofpoint и Mimecast для защиты почты SPF, DKIM и DMARC: базовая защита домена от подделки писем