Как Gmail помогает распознать фишинговые письма

Зачем это важно

Фишинг использует подмену адреса отправителя и подделку заголовков, чтобы заставить вас раскрыть данные или перейти по вредоносной ссылке. Проверка аутентичности отправителя — быстрый способ отсеять явные подделки.

Краткие шаги в Gmail (веб)

1. Нажмите на значок настроек в правом верхнем углу (Настройки).

2. Ранее в Gmail была вкладка «Лаборатория», где можно было включить опцию “Authentication icon for verified senders”. Эта лабораторная функция помогала видеть значок ключа рядом с аутентифицированными письмами. Сейчас эта конкретная лаборатория больше недоступна, но знание о ней помогает понять, что искать в интерфейсе.

3. Если в вашей почте отображается значок ключа или отмечен отправитель как проверенный, это хороший сигнал. Внешне это выглядит так:

4. Чтобы проверить конкретное письмо: откройте его и нажмите стрелку под адресом отправителя. Посмотрите поля “mailed-by” и “signed-by” — они должны соответствовать домену отправителя.

Важно: если рядом с именем отправителя стоит вопросительный знак или номера не совпадают, будьте осторожны.

Как проверить заголовки сообщения вручную

1. Откройте письмо в Gmail.
2. Нажмите на стрелку рядом с адресом отправителя и выберите “Показать оригинал” или “Show original”.
3. В открывшемся окне найдите блок Authentication‑Results.
4. Ищите spf=pass и dkim=pass — это значит, что отправитель прошёл базовые проверки.

Если spf или dkim показывают fail или neutral, а домен в поле From не совпадает с доменом, указанным в mailed-by/signed-by, письмо можно считать подозрительным.

Проверка в сторонних почтовых клиентах (например, Apple Mail)

В Apple Mail откройте письмо и в меню выберите Вид → Сообщение → Стандартные заголовки. Заголовок Authentication‑Results обычно отображается вверху блока заголовков. Ищите те же значения spf=pass и dkim=pass.

Когда этот метод не работает

• Отправитель использует защищённый сервис рассылки, где подписывается общим доменом провайдера. Тогда signed-by будет отличаться от видимого From. Это не обязательно означает фишинг, но требует дополнительной проверки.
• Некоторые злоумышленники умело подделывают заголовки локально перед отправкой на открытую почтовую инфраструктуру — тогда проверка может быть сложнее.
• Письмо может пройти spf/dkim, но содержать вредоносные ссылки на сторонние домены — аутентификация отправителя не гарантирует безопасность содержимого.

Альтернативные и дополнительные меры защиты

• Включите двухфакторную аутентификацию для аккаунта Google.
• Настройте фильтры и блокировки для подозрительных доменов.
• Используйте корпоративные решения по защите почты (например, DMARC в сочетании с SPF и DKIM) — это задача администратора почтового домена.
• Обучайте сотрудников распознаванию фишинга: проверять ссылки, не открывать вложения от неизвестных отправителей и сообщать о подозрениях.

Быстрый чек‑лист для пользователя

• Перед переходом по ссылке наведите курсор и проверьте URL.
• Посмотрите mailed-by и signed-by — совпадают ли с доменом отправителя.
• Откройте «Показать оригинал» и найдите spf=pass и dkim=pass.
• Если есть сомнения — не вводите данные и сообщите о письме как о фишинге.

Чек‑лист для администратора

• Включите SPF, DKIM и DMARC для домена организации.
• Настройте отчёты DMARC и анализируйте их.
• Внедрите фильтрацию и правила блокировки подозрительных вложений и ссылок.
• Периодически проводите обучение сотрудников и тесты на фишинг.

Мини‑методология проверки письма (шаги за 60 секунд)

1. Посмотреть отображаемый адрес отправителя. 2. Проверить mailed-by/signed-by. 3. Показать оригинал и найти spf/dkim. 4. Оценить содержание: ссылки, вложения, запросы на данные. 5. При сомнении — не отвечать и сообщить.

Критерии приёмки

• Письмо прошло spf=pass и dkim=pass и mailed-by соответствует домену отправителя — низкий риск подмены.
• Любое несоответствие доменов или отрицательный результат spf/dkim — письмо требует ручной проверки.
• Запросы на ввод паролей, ПИНов или данных карты — автоматическое подозрение.

Глоссарий: одно предложение каждое

• SPF: механизм, который проверяет, разрешено ли отправителю посылать почту от имени домена.
• DKIM: цифровая подпись сообщения, подтверждающая, что письмо не изменяли в пути.
• DMARC: политика, которая говорит почтовым провайдерам, как обрабатывать письма, не прошедшие SPF/DKIM.

Пример рабочего процесса (Mermaid)

flowchart TD
  A[Получили письмо] --> B{Отображаемый домен совпадает?}
  B -->|Да| C{mailed-by/signed-by совпадают?}
  B -->|Нет| D[Отметить как подозрительное]
  C -->|Да| E{spf/dkim = pass?}
  C -->|Нет| D
  E -->|Да| F[Обычно безопасно, проверить ссылки]
  E -->|Нет| D

Итог

Проверка аутентичности отправителя — эффективный и быстрый способ отсеять часть фишинговых писем. Хотя ранее существовала лабораторная метка для пометки аутентифицированных отправителей, сейчас важно уметь вручную смотреть поля mailed-by, signed-by и заголовок Authentication‑Results. В сочетании с базовой гигиеной безопасности и двухфакторной аутентификацией это значительно снижает риск успешного фишинга.

Важно: если вы обнаружили подозрительное сообщение, используйте встроенную функцию Gmail “Сообщить о фишинге” и при необходимости обратитесь к администратору почтового домена.

Поделитесь своими советами по распознаванию фишинга в Gmail в комментариях.