Гид по технологиям

Что делать, если ваш почтовый ящик начал рассылать спам

9 min read Безопасность Обновлено 29 Dec 2025
Почта рассылает спам — что делать
Почта рассылает спам — что делать

Входящие письма со спамом на экране

Введение

Спам раздражает, крадёт время и может быть опасен. Но ещё хуже, когда спам уходит от вашего имени — значит, кто‑то использует ваш аккаунт, чтобы обмануть ваших друзей и коллег. В этой статье мы подробно разберём признаки компрометации, последовательные шаги для остановки рассылки, проверку и восстановление контроля, а также меры, которые помогут предотвратить повторение инцидента.

Важно: если вы обнаружили признаки взлома, действуйте немедленно. Злоумышленники часто действуют быстро и пытаются расширить доступ или скрыть следы.

Признаки компрометации аккаунта

Ниже перечислены общие симптомы, которые указывают, что ваш почтовый ящик могли взломать. Появление одного из них — основание начать расследование.

  • Необычные письма в папке «Отправленные».
  • Входы из незнакомых устройств или локаций в истории активности аккаунта.
  • Вы не получаете ожидаемые письма или их перенаправляют.
  • Контакты жалуются на полученные от вас спам‑сообщения или письма с вредоносными ссылками.

Спам на экране и тревожные уведомления

Проверьте папку «Отправленные»

Многие не смотрят туда регулярно. Просмотрите заголовки писем в «Отправленных». Если вы не узнаёте сообщения — откройте их и изучите заголовки. Учтите: злоумышленник мог удалить следы, поэтому отсутствие писем в «Отправленных» не гарантирует безопасность.

Проверьте недавнюю активность

У большинства провайдеров есть страница с недавними входами и используемыми устройствами. Посмотрите эту страницу хотя бы раз в месяц. Если вы видите локации или устройства, которых у вас нет — это настораживает.

  • В Gmail: Google Account > Security > Your devices / Recent activity. Там же в разделе Gmail можно увидеть количество отправленных сообщений.
  • В Yahoo: история входов (login history).
  • В Outlook/Hotmail: Microsoft Account > Recent activity.

История активности аккаунта

Вы не получаете письма

Если ваш почтовый ящик перестал получать письма, возможно, злоумышленник настроил правила пересылки или фильтры, которые скрывают входящие. Проверьте правила и целевые адреса пересылки. Для проверки попросите друга прислать вам письмо и подтвердите, что вы его получили и что в нём не добавлена посторонняя подпись.

Жалуются ваши контакты

Если друзья сообщают, что от вас пришли подозрительные письма, воспринимайте это серьёзно. Люди с низкой компьютерной грамотностью могут стать жертвами мошенников, выдающих себя за вас.

Разочарованный человек с телефоном

Немедленные шаги для остановки рассылки спама

Ниже — пошаговая инструкция, которую следует выполнить сразу после обнаружения проблемы.

1. Смените пароль

Смените пароль немедленно. Выбирайте уникальную фразу, длиной не менее 12 символов, с буквами, цифрами и символами. Если используете менеджер паролей — обновите запись.

Совет: смените пароль с доверенного устройства, а не с компьютера в интернет‑кафе.

2. Включите двухфакторную аутентификацию (2FA)

Включите 2FA в настройках аккаунта. Используйте приложение‑генератор кодов (Authy, Google Authenticator) или аппаратный ключ (например, YubiKey). SMS — лучше, чем ничего, но уязвимее.

3. Просканируйте устройства на вредоносное ПО

Запустите сканирование на всех устройствах, с которых вы заходили в почту. Используйте проверенные антивирусы и анти‑малваре (например, Malwarebytes). Если найдёте троян, кейлоггер или бэкдор — очистите систему и поменяйте пароли снова.

4. Проверьте правила и пересылку

Проверьте настройки почты: фильтры, автоматические ответы, адреса пересылки, подписи. Удалите все правила, которые вы не создавали.

Проверка настроек пересылки в Gmail

5. Проверьте подключённые приложения и сессии

Удалите неузнанные подключения (OAuth-приложения) и завершите все активные сессии, кроме тех, которые вы используете прямо сейчас.

6. Сообщите контактам

Отправьте вежливое уведомление вашим контактам, что аккаунт был скомпрометирован, и попросите игнорировать подозрительные сообщения из вашего адреса, присланные за период инцидента. Лучше предупредить заранее о возможных мошеннических ссылках и просьбах выслать деньги.

Как понять, был ли отправлен спам с вашего аккаунта или письмо подделано

Есть два сценария: аккаунт был использован напрямую или злоумышленник подделал (спуфил) адрес отправителя.

  • Если в истории входов вы видите чужой IP — кто‑то входил в ваш аккаунт.
  • Если в заголовках письма виден IP сервера, не связанный с вашим провайдером, и нет следов входа в аккаунт — письмо может быть спуфом.

Как посмотреть технические заголовки в Gmail

  1. Откройте письмо (или попросите получателя переслать его вам).
  2. Нажмите стрелку рядом с Ответить и выберите Просмотреть оригинал.
  3. Найдите строки Received и trace headers. Первая строка Received указывает исходный SMTP‑сервер и IP.

Проверяйте IP по сервисам типа ipinfo.io или whois. Если IP принадлежит крупному почтовому провайдеру (например, Google), это может быть нормой для исходящей почты через их сервера.

Просмотр оригинальных заголовков письма

Полный план действий: инструкция для пользователя

Ниже — практический чек‑лист и пошаговый план, который вы можете распечатать или держать под рукой.

Быстрая проверка (первые 10–30 минут)

  • Сменить пароль с доверенного устройства.
  • Включить 2FA.
  • Завершить все активные сессии (в настройках безопасности).
  • Отозвать права у неизвестных приложений.
  • Сообщить контактам не открывать подозрительные письма.

Глубокая проверка (1–3 часа)

  • Просканировать всё оборудование антивирусом и антималваре.
  • Проверить и удалить неизвестные правила пересылки и фильтры.
  • Проверить подпись письма и автоответы.
  • Проверить настройки восстановления аккаунта (телефон, резервный email).

Восстановление и профилактика (в течение 24–72 часов)

  • Обновить пароли на прочих сервисах, где использовался тот же пароль.
  • Настроить резервный почтовый адрес и актуализировать номер телефона.
  • Обучить близких контактам распознавать фишинг.

Сценарий инцидента и откат

Ниже — примерный сценарий (runbook) действий IT‑специалиста или продвинутого пользователя при обнаружении рассылки спама с корпоративной почты.

  1. Идентификация
    • Собрать доказательства: скриншоты, заголовки писем, логи входов.
    • Оценить масштаб: сколько сообщений отправлено, какие контакты затронуты.
  2. Блокировка
    • Заблокировать сессию и временно отключить аккаунт от входа.
    • Отозвать OAuth‑токены и приложения.
  3. Очистка
    • Просканировать устройства владельца на вредоносное ПО.
    • Удалить вредоносные правила пересылки и автоответы.
  4. Восстановление
    • Установить новый надёжный пароль и 2FA.
    • Обновить контактную информацию для восстановления доступа.
  5. Уведомление
    • Уведомить пострадавших контактов и, при необходимости, службу безопасности организации.
  6. Мониторинг
    • Включить расширенный аудит логов на 30 дней.
    • Проводить периодические проверки активности.

Критерии приёмки

  • Все неизвестные правила удаления/пересылки удалены.
  • Пароль и 2FA обновлены и проверены с рабочего устройства.
  • Нет обнаруженного вредоносного ПО на устройствах, связанных с аккаунтом.
  • Контакты оповещены, и нет новых жалоб на рассылку от вашего адреса.

Роли и чек‑листы

Распределите обязанности, если инцидент происходит в компании.

Роль: Владелец аккаунта

  • Немедленно сменить пароль и включить 2FA.
  • Предоставить логи и письма ИТ‑команде.
  • Проверить личные устройства на вредоносное ПО.

Роль: IT‑специалист

  • Снять журналы активности и IP‑адреса.
  • Отозвать OAuth‑приложения и завершить сессии.
  • Провести форензик‑сканирование и очистку машин.
  • Восстановить доступ и проверить интеграции.

Роль: Коммуникации/PR

  • Подготовить шаблон уведомления для пострадавших контактов.
  • Объяснить, какие письма были отправлены и какие меры приняты.

Шаблон уведомления для контактов

Тема: Ваш контактный адрес [ваш@почта] был временно скомпрометирован

Текст:

Здравствуйте,

Наш аккаунт [ваш@почта] был временно скомпрометирован и могли быть отправлены мошеннические письма от нашего имени. Мы уже восстановили контроль, сменили пароль и приняли меры защиты. Пожалуйста, не переходите по подозрительным ссылкам и не отправляйте деньги по письмам, которые выглядят необычно. Если вы получили такие письма, перешлите их нам.

С уважением, [Ваше имя]

Профилактика и жёсткая защита аккаунта

Рекомендации по снижению риска повторной компрометации:

  • Используйте уникальные пароли для каждого сервиса.
  • Включите 2FA, желательно приложение или аппаратный ключ.
  • Регулярно проверяйте журнал входов и подключённые устройства.
  • Не используйте публичные компьютеры для управления важными аккаунтами.
  • Ограничьте доступ OAuth‑приложениям и проверяйте права.
  • Настройте уведомления о новых входах и подозрительной активности.

Когда меры не помогут — случаи и альтернативные подходы

Контрпримеры и когда базовых действий недостаточно:

  • Если атака идёт через скомпрометированного почтового сервера компании — смены пароля на клиентском уровне может быть недостаточно. Требуется вмешательство администратора сервера.
  • Если используется целенаправленный APT (advanced persistent threat) с бэкдорами в сети — нужен форензик и возможное восстановление с резервных копий.

Альтернативные подходы:

  • В случае корпоративной почты — отключить внешнюю пересылку на уровне сервера как временную меру.
  • Временная замена почтового домена для важной коммуникации, если репутация домена серьёзно пострадала.

Проверочные тесты и критерии приёмки

Тесты после очистки:

  • Отправить контрольное письмо с аккаунта и потребовать, чтобы получатель переслал его обратно.
  • Проверить, что в исходящем письме нет автоматической подписи или дополнительного текста.
  • Сделать тестовый вход и получить уведомление о входе на привязанный контакт.

Критерии приёмки:

  • Отправленные контрольные письма проходят и не модифицируются.
  • В журнале нет подозрительных входов за последние 24 часа.
  • Количество жалоб от контактов равно нулю через 48 часов после восстановления.

Короткая методология расследования

  1. Сбор доказательств: заголовки писем, логи входов, список фильтров.
  2. Идентификация точки входа: подбор пароля / фишинг / устройство с вредоносом / скомпрометированное приложение.
  3. Устранение: смена пароля, удаление вредоносных правил, очистка устройств.
  4. Восстановление: возврат доступа, уведомление контактам, мониторинг.

Ментальные модели для принятия решений

  • Предполагаем худшее: начинайте с полного сброса доступа и переходите к более легким вариантам, только если у вас есть доказательства того, что дело менее серьёзно.
  • Разделяй и властвуй: не выполняйте все шаги с одного устройства — используйте отдельный проверенный девайс для восстановления.
  • Минимальные права: отзывайте минимально необходимые права у приложений и сервисов.

1‑строчный глоссарий

  • Спуфинг: подделка адреса отправителя.
  • 2FA: двухфакторная аутентификация.
  • OAuth: протокол авторизации, дающий приложениям доступ к аккаунту без передачи пароля.
  • Кейлоггер: программа, записывающая нажатия клавиш.
  • Форензик: цифровое расследование.

Визуальный поток решений

flowchart TD
  A[Замечена рассылка спама] --> B{Имеются доступы к устройствам?}
  B -- Да --> C[Сменить пароль и включить 2FA]
  B -- Нет --> D[Попросить получателя переслать заголовки]
  C --> E[Проверить правила пересылки и фильтры]
  D --> F[Анализ заголовков и IP]
  F --> G{IP внешний или вход в аккаунт?}
  G -- Внешний --> H[Вероятный спуфинг — уведомить контакты]
  G -- Был вход --> C
  E --> I[Сканирование устройств]
  I --> J{Обнаружено ПО?}
  J -- Да --> K[Очистка/восстановление устройства и смена паролей]
  J -- Нет --> L[Мониторинг и ревизия подключений]

Часто задаваемые вопросы

Вопрос: Нужно ли менять пароль на других сервисах, если использовался тот же пароль?

Ответ: Да. Если вы используете один и тот же пароль в нескольких местах, смените его везде, начиная с наиболее критичных сервисов (банки, почта, рабочие аккаунты).

Вопрос: Подойдёт ли SMS‑код для 2FA?

Ответ: Лучше использовать приложение для генерации кодов или аппаратный ключ. SMS уязвим к SIM‑свопу.

Итоги

  • Расслабляться нельзя: быстрые действия снижают ущерб.
  • Всегда используйте уникальные пароли и 2FA.
  • Проверяйте правила пересылки, подписей и подключённые приложения.
  • Имейте план действий и шаблоны оповещений для контактов.

Если вы уже пережили такой инцидент — напишите в комментариях, какие шаги помогли вам. Обмен опытом полезен для всех.

Image Credits: man sleeping via Shutterstock, Spam via Shutterstock, Frustrated Caller via Shutterstock

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Виртуальные ярмарки вакансий — полное руководство
Карьера

Виртуальные ярмарки вакансий — полное руководство

Как защитить записи GRUB паролем
Безопасность

Как защитить записи GRUB паролем

Как установить шрифты на Windows, Linux и macOS
Инструкции

Как установить шрифты на Windows, Linux и macOS

Исправление Machine Check Exception в Windows
Windows

Исправление Machine Check Exception в Windows

Как удалить историю браузера на Android
Приватность

Как удалить историю браузера на Android

Отключить Google Suggest, Instant и Preview
Конфиденциальность

Отключить Google Suggest, Instant и Preview