Фишинг через кнопку отписки: как защитить корпоративную
Фишинговая рассылка мигрировала в легитимный служебный канал — кнопку List-Unsubscribe.

Механика подмены
Злоумышленник рассылает письмо от имени несуществующей или скомпрометированной компании. В теле — призыв «отписаться» через внешнюю ссылку. URL ведёт на фишинговый домен, имитирующий бренд: формы «Подтверждение отписки», «Жалоба на спам», «Удаление адреса из базы». Легитимный процесс ограничивается сменой статуса подписчика и не требует ничего, кроме адреса. Запрос имени, телефона, паспортных данных — индикатор компрометации канала.
Риск для корпоративного сегмента
Корпоративный почтовый трафик уязвим сильнее: один клик рядового сотрудника выдаёт злоумышленнику должность, внутренний домен, контакты в смежных подразделениях. Дальше — таргетированный spear-phishing с подменой отправителя внутри цепочки доверия. PTR, SPF, DKIM отправителя значения не имеют: домен одноразовый, проверки пройдены, жертва идёт через браузер, минуя почтовый фильтр.
Что проверить на стороне MTA
- Запретите автоклик по List-Unsubscribe на уровне почтового клиента в корпоративных политиках. Используйте только серверную обработку.
- Включите DKIM-верификацию и DMARC-репорт (p=quarantine минимум) на собственном домене — чтобы подделка вашего отправителя блокировалась у получателей.
- Настройте SPF в режиме hardfail (-all). Softfail (~all) для фишинга бесполезен.
- Письма с внешними URL в теле List-Unsubscribe помечайте как потенциальный фишинг на стороне фильтра, до доставки в ящик.
- Проверьте журналы SMTP-релеев: массовые ответы пользователей на непрофильные домены — индикатор уже состоявшейся утечки.
- Обучите пользователей: легитимная отписка — смена статуса в базе отправителя, а не заполнение анкеты.
Разовая кнопка в письме теперь стоит дороже самого письма. Заблокируйте канал утечки до того, как им воспользуются.