mail-nation

Управляем почтой: от домена до конверсий

Новость

Информационная безопасность почты в эпоху атак через ИИ

Совбез РФ провёл совещание по информационной безопасности: в повестке — угрозы, связанные с применением систем искусственного интеллекта.

Информационная безопасность почты в эпоху атак через ИИ

Для почтовой инфраструктуры это прямой сигнал ужесточить периметр. ИИ ускоряет генерацию фишинговых рассылок, делает BEC-атаки правдоподобнее, автоматизирует обход CAPTCHA и подбор паролей к учётным записям операторов MTA. Проверка только по SPF/DKIM остаётся базой — и перестаёт быть достаточной.

Угрозы, за которыми следить

ИИ-генерируемый контент в фишинге. Шаблоны писем с легитимным тоном, корректной орфографией и релевантным контекстом (отрасль, имя руководителя, текущий проект) уже фиксируются в трафике. Сигнатурная фильтрация их не останавливает — работайте по содержимому, обновляйте правила на новых сэмплах еженедельно.

Автоматизированный подбор паролей к webmail и SMTP-интерфейсам. Если фронтенд не ограничивает скорость попыток AUTH и не валидирует CAPTCHA серверной стороной — это готовая точка входа. Проверьте журналы postfix/sendmail/exim за последние 30 дней, отфильтруйте источники с аномальной частотой AUTH LOGIN и AUTH PLAIN.

Что ужесточить в первую очередь

DMARC. Переведите домен с p=none на p=quarantine или p=reject. Без агрегированных отчётов (RUA) на reject не переходить — сначала соберите статистику легитимных отправителей и зафиксируйте их в SPF.

Аутентификация на SMTP-границе. Обязательная двухфакторная для всех учётных записей postmaster, abuse, noc. Где поддерживается — запретите AUTH LOGIN и AUTH PLAIN, оставьте CRAM-MD5 или SCRAM-SHA-256.

Минимальный чек-лист после новости

— DMARC: политика не p=none, RUA включён, RUF по возможности.

— SPF: не превышает лимит 10 DNS-запросов; flatten для критичных доменов.

— DKIM: ключи ≥2048 бит, ротация по графику, не реже раза в квартал.

— TLS: MTA-to-MTA только через opportunistic TLS 1.2+; где бизнес-критично — поднимите MTA-STS в режиме enforce.

— PTR: совпадение forward и reverse для всех исходящих MX и relay-узлов.

— Журналы: ежесуточный разбор аномалий AUTH, RBL-срабатываний, неуспешных TLS-хэндшейков.

— Rate limit: AUTH-эндпоинты и webmail — ограничение по IP и по account, CAPTCHA с серверной валидацией.

Заявления такого уровня обычно предшествуют ужесточению регулирования и росту числа проверок со стороны надзорных органов. Приведите периметр в порядок до того, как это станет обязательным.