Політики карантину й папки спаму: припиніть втрачати важливі листи

Карантин електронної пошти — це місце, куди тихо та безповоротно потрапляють бізнес‑критичні повідомлення. Замовлення на закупівлю, скидання паролів, повідомлення HR, юридичні запити, рахунки від постачальників — речі, які ви помічаєте лише тоді, коли наслідки стають очевидними, зазвичай у вигляді запрошення на нараду під назвою «Швидка розмова».

Якщо ви керуєте продакшен‑системами, ви вже знаєте закономірність: фільтр «працював», поки перестав. Режим відмови не буває драматичним. Він безшумний. А тиша — це найдорожчий тип відмови.

Що таке карантин насправді (і чим він не є)

Карантин — це не «спам». Це зона утримання, створена політичним рішенням: це повідомлення достатньо підозріле, щоби утримати його від доставки, але недостатньо підозріле, щоб видалити його відразу. Це різниця важлива, тому що карантин — це не лише функція безпеки, а й площина контролю:

• Папка спаму зазвичай знаходиться в поштовій скриньці. Користувач її бачить. Повідомлення «доставлене», просто перенаправлене в папку для сміття.
• Карантин часто знаходиться поза скринькою (шлюз безпеки, консоль хмарної безпеки). Користувач може його не бачити, якщо ви явно не побудували шлях (зведення, портали самообслуговування, робочі процеси для випуску).
• Відмова (Reject) (SMTP 5xx) — це рішуче «ні» під час SMTP‑транзакції. Повідомлення не приймається; ви розраховуєте, що відправник отримає bounce і виправить налаштування.
• Відкидання (Discard) приймає й відкидає. Операційно спокусливо. Аудитори й інженери з реагування на інциденти це ненавидять. Користувачі ненавидять ще більше.

Для надійності карантин — це черга. Як і будь‑яка черга, вона потребує:

• Видимості (що в ній, чому, як довго)
• Власності (хто її спорожнює і з якою повноваженням)
• SLO (максимальний час на випуск хибнопозитивів; максимальна ставка хибнопозитивів за типом відправника)
• Правил зворотного тиску (що відбувається, коли вона росте)

Чому важливі листи губляться: реальна механіка

Більшість організацій ставляться до карантину як до додатку безпеки. Насправді це розподілена система з хаотичними входами, непослідовною автентифікацією та інтерфейсом, створеним кимось, хто вважає, що всім подобаються «портали безпеки». Ви втрачаєте важливі повідомлення, бо діє один або кілька із цих механізмів:

1) Помилки автентифікації, які не «зловмисні», а просто халтурні

SPF, DKIM і DMARC не опціональні, якщо вам важлива доставлення. Але реальні корпоративні поштові потоки включають CRM, таск‑системи, платіжні сервіси та маркетингові платформи. Ці системи відправляють від вашого імені. Деякі роблять це добре. Деякі — як кіт, що друкує на клавіатурі.

Коли автентифікація не проходить, сучасні фільтри не просто підвищують рейтинг спаму. Вони трактують повідомлення як підвищений ризик імпостерства та фішингу. Це штовхає його в карантин, навіть якщо вміст прісний і легітимний.

2) Системи репутації — грубий інструмент

Великі провайдери використовують репутацію відправника, IP‑репутацію, репутацію домену та зворотні зв’язки від користувачів. Репутація корелює з «добросовісністю», але не тотожна їй. Новий домен постачальника, щойно змінений вихідний IP або загальний пул SaaS можуть виглядати підозріло тижнями.

3) Надто суворі політики: хтось «виправив фішинг» розширивши сітку

Політики карантину часто загострюються після інциденту. Це емоційно приємно. Це також спосіб створити повільно розвиваючу аварию, яку виявляють місяцями: закупівля перестає бачити рахунки; продажі перестають отримувати ліди; HR втрачає відповіді кандидатів.

4) Помилки UX: ніхто не перевіряє те, чого не бачить

Якщо користувачі не отримують зведень карантину, або якщо самі зведення фільтруються як спам (таке трапляється), карантин стає невидимою сміттєвою коробкою. Навіть найкращий фільтр не допоможе, якщо він тихо утримує пошту, а ніхто не звик її щодня перевіряти.

5) Помилки маршрутизації та конекторів

Пошта може бути поміщена в карантин ще до того, як потрапить до вашого провайдера скриньки (шлюз), всередині провайдера (хмарний фільтр) або після доставки (правила клієнта). Діагностика неправильної шари марнує час і формує найгірший вид упевненості: упевненість‑але‑помилкова.

Одна перефразована ідея від Werner Vogels (CTO Amazon), часто повторювана в опс‑колах: «Усе ламається весь час; стійкість приходить при проєктуванні з урахуванням відмов». Застосуйте це до електронної пошти. Карантин — це режим відмови. Проєктуйте під нього.

Цікаві факти та коротка історія спаму і карантину

• Факт 1: Одне з найраніших масових небажаних повідомлень в інтернеті — маркетинговий лист ARPANET 1978 року. Люди відразу скаржилися. Деякі традиції вічні.
• Факт 2: Термін «спам» для небажаних повідомлень став популярним на ранньому інтернет‑етапі, і проблема масштабувалася з дешевою автоматизацією відправлення задовго до «AI».
• Факт 3: Ранні фільтри спаму були здебільшого ключовими словами і ламкими; сучасні системи сильно покладаються на репутацію, автентифікацію та поведінкові сигнали.
• Факт 4: SPF з’явився на початку 2000‑х як спроба перевірити хости відправника. Воно зменшило частину підробок, але само по собі не верифікує видиму «From» особистість.
• Факт 5: DKIM приніс криптографічні підписи до ідентичності пошти. Концептуально елегантно, операційно — дратівливо при ротації і вирівнюванні.
• Факт 6: DMARC пов’язав SPF/DKIM із видимим «From» доменом і ввів політику (none/quarantine/reject). Він також породив нове хобі: читати агреговані звіти і усвідомлювати, скільки систем надсилають пошту, про які ви забули.
• Факт 7: «Карантин» як формальний клас політик виник із появою корпоративних шлюзів безпеки та хмарних продуктів захисту електронної пошти, які хотіли сильніший контроль, ніж «відправити в спам».
• Факт 8: Зворотні зв’язки (дії користувачів «позначити як спам/не спам») суттєво змінюють фільтрацію. Навчання користувачів — це не м’який навик; це частина вашого каналу виявлення.
• Факт 9: Електронна пошта навмисно ліберальна і сумісна з попередніми версіями. Багато відмов походить від тієї ж особливості: екосистема терпить неправильну конфігурацію, поки сувора політика не перестане її терпіти.

Проектування політик: що дозволяти, що поміщати в карантин, що відкидати

Якщо ви хочете припинити втрачати важливі повідомлення, вам потрібна явна політика. Не «що за замовчуванням». Стандартні політики створені для середнього клієнта. Ви не середній клієнт. У вас є постачальники, регулятори та люди, які клікають.

Розпочніть з трьох доріжок, а не однієї великої корзини

Думайте в термінах доріжок із різними контролями та шляхами ескалації:

1. Відомі‑доброчесні бізнес‑відправники: ваші домени, основні SaaS‑вендори, критичні партнери. Мета: надійна доставка; виявлення компрометації через аномалії, а не грубі карантини.
2. Невідомі, але правдоподібні: нові постачальники, вхідні ліди, кандидати, випадкові, але легітимні контакти. Мета: мінімізувати хибні спрацьовування; карантин має бути перегляданим і швидким для випуску.
3. Відомо‑погані / високоризикові: очевидне підроблення, шкідливе ПЗ, DMARC‑fail із суворою політикою, неможлива географія + моделі фішингу. Мета: відкидати або карантинувати без можливості самостійного випуску.

Вибирайте «reject» частіше, ніж здається — для імпостерства

Для доменів, які ви контролюєте, DMARC із p=reject — найчистіший хід проти підроблення. Це зменшує кількість сміття, яке користувачі мають оцінювати. Також це змушує вашу власну екосистему вихідної пошти поводитися правильно.

Але не робіть цього бездумно. Спочатку перелічіть свої відправники (маркетингові платформи, білінг‑системи, оповіщення). Якщо ви перемкнете на reject, коли половина ваших систем не проходить вирівнювання DKIM, ви створите самостійно спричинений простій з чудовою історією безпеки і жахливими бізнес‑наслідками.

Карантин доречний, коли потрібне людське рішення

Карантин призначений для неоднозначних випадків, коли ви хочете зберегти повідомлення для перегляду, судової експертизи та контрольованого випуску. Помилки відбуваються, коли карантин стає стандартним методом утилення.

Папка спаму — для низькоризикового, високонавантаженого шуму

Доставка в папку Junk/Spam все ще дозволяє користувачам шукати й відновлювати повідомлення. Це функція надійності. Для класифікації з низькою впевненістю (розсилки, неакуратний маркетинг, нешкідливі масові повідомлення) папка спаму часто краща за карантин, бо її можна знайти.

Створюйте allowlist як брандмауер: вузько, з рев’ю, з датою завершення

Allow‑листинг необхідний. Це також те, як можна випадково надати доступ зловмисникам, які компрометували постачальника.

• Краще дозволяти за автентифікованою ідентичністю (домен DKIM) ніж за видимим «From» доменом.
• Якщо доводиться allowlistити по IP, документуйте, хто володіє цим діапазоном і як вас повідомлять про зміни.
• Додавайте дати закінчення та цикли рев’ю. Постійні винятки — це шлях перетворення ризику на політику.

Жарт 1: Карантин як шухляда для дрібниць: усе туди потрапляє, нічого не виходить, і все одно ви не можете знайти викрутку.

Управління: хто може звільнити що і як це довести

Карантин — це межа привілеїв. Ставтеся до нього як до доступу в продакшен.

Чітко визначте ролі випуску

• Самостійний випуск користувачем для низькоризикових категорій спаму й масових розсилок. Добре для масштабування, погано для цілеспрямованого фішингу, якщо не обережні.
• Випуск через helpdesk для бізнес‑критичних повідомлень, коли користувач заблокований, але ризик низький. Потрібне навчання й логування.
• Тільки безпека для імпостерства, шкідливого ПЗ, фішингу з крадіжкою облікових даних і DMARC‑fail. Користувачів ніколи не повинні просити «вирішити» в таких випадках.

Вимагайте коди причин і збереження

Коли повідомлення випускають, вам потрібні:

• Хто його випустив
• Чому (код причини)
• Який класифікатор спричинив карантин
• Які докази підтримали випуск (автентифікація пройдена, sandbox чистий, відправник верифікований)
• Тривалість зберігання як артефактів карантину, так і випущених матеріалів

Зведення (digests) — не опція

Щоденне зведення карантину для користувачів (або принаймні для команд з високою зовнішньою залежністю, як Sales, Procurement, HR) — дешеве страхування. Але воно має бути:

• Усталеного часу
• Щоб саме не фільтрувалося
• Дієвим (шляхи випуску/запиту, що працюють на мобільних пристроях)
• Аудитованим (хто запитував випуск)

Плейбук для швидкої діагностики (перший/другий/третій)

Коли хтось каже: «Я не отримав лист», не починайте з зміни порогів фільтра. Саме так одне відсутнє повідомлення перетворюється на новий клас інцидентів.

Перший крок: визначте шар, де зникло повідомлення

1. Чи відправник насправді відправив його? Попросіть часову мітку, отримувача, тему і, бажано, Message‑ID від відправника.
2. Перевірте трасування повідомлень у провайдера (Microsoft 365 / Google Workspace) на події доставки/карантину.
3. Перевірте логи шлюзу, якщо такий є (Proofpoint, Mimecast, on‑prem Postfix/Amavis тощо).

Другий крок: підтвердіть автентифікацію та вирівнювання

1. Проінспектуйте заголовки з подібного повідомлення, що дійшло (або попередній перегляд із карантину).
2. Перевірте SPF pass/fail і який IP був оцінений.
3. Перевірте дійсність DKIM підпису і домен підпису.
4. Перевірте результат вирівнювання DMARC і дію політики.

Третій крок: вирішіть, чи це політика, репутація чи вміст

1. Якщо автентифікація не пройшла: виправте конфігурацію відправника, не заклеюйте проблему allowlist‑ами.
2. Якщо автентифікація пройшла, але все одно карантин: подивіться на репутацію, скарги користувачів і тригери вмісту (URL, вкладення, макроси).
3. Якщо це один отримувач: перевірте правила скриньки, фільтри на клієнті або персональні списки безпечних відправників.

Практичні завдання: команди, виводи, рішення (12+)

Мета завдань — не «зібрати логи». Це прийняти рішення і діяти. Нижче конкретні перевірки, які можна виконати на Linux‑інфраструктурі пошти, плюс DNS і інспекція повідомлень, що застосовні навіть при використанні хмарних провайдерів.

Завдання 1: Підтвердьте, що SPF‑запис домену існує і явно не поламан

cr0x@server:~$ dig +short TXT example.com
"v=spf1 ip4:203.0.113.0/24 include:_spf.mailvendor.example -all"

Що означає вивід: Домен публікує SPF. Він авторизує конкретний IPv4‑діапазон і include від вендора, і закінчується -all (жорстка відмова).

Рішення: Якщо IP відправника не в цьому діапазоні або include, SPF провалиться. Виправте SPF‑запис або надсилайте з авторизованої системи. Не allowlistьте провал.

Завдання 2: Перевірте, чи SPF не перевищує ліміт DNS‑запитів (поширена тиха відмова)

cr0x@server:~$ python3 - <<'PY'
import dns.resolver, re
domain="example.com"
txts=[]
for r in dns.resolver.resolve(domain,"TXT"):
    s="".join([b.decode() for b in r.strings])
    if s.startswith("v=spf1"):
        txts.append(s)
spf=txts[0]
includes=re.findall(r'include:([^\s]+)', spf)
print("SPF:", spf)
print("Includes:", includes)
print("Note: SPF has a 10 DNS-lookup limit (includes, a, mx, ptr, exists, redirect).")
PY
SPF: v=spf1 ip4:203.0.113.0/24 include:_spf.mailvendor.example -all
Includes: ['_spf.mailvendor.example']
Note: SPF has a 10 DNS-lookup limit (includes, a, mx, ptr, exists, redirect).

Що означає вивід: Ця проста перевірка вказує на include; складні записи часто вміщують ланцюжки include і перевищують ліміт запитів.

Рішення: Якщо ваш SPF — це матрьошка include, сплющіть його або використовуйте піддомени для окремих відправників. SPF «permerror» часто корелює з карантином.

Завдання 3: Перевірте наявність DKIM селектора

cr0x@server:~$ dig +short TXT s1._domainkey.example.com
"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A..."

Що означає вивід: Публічний DKIM‑ключ існує для селектора s1.

Рішення: Якщо DKIM відсутній для селектора, що використовує відправник, підписи не пройдуть валідацію і збільшать ризик карантину. Виправте відправника або опублікуйте потрібний запис.

Завдання 4: Перевірте політику DMARC та адреси звітності

cr0x@server:~$ dig +short TXT _dmarc.example.com
"v=DMARC1; p=quarantine; rua=mailto:dmarc-agg@example.com; ruf=mailto:dmarc-afrf@example.com; adkim=s; aspf=s"

Що означає вивід: DMARC встановлено в quarantine і використовує строгий режим вирівнювання для DKIM та SPF.

Рішення: Суворе вирівнювання ламає більше сторонніх відправників. Якщо ви втрачаєте легітимну пошту постачальника, що надсилає «від вашого імені», або налаштуйте постачальника правильно, або помʼякшіть вирівнювання там, де це обґрунтовано.

Завдання 5: Подивіться заголовки повідомлення, що в карантині, на результати автентифікації

cr0x@server:~$ grep -iE 'Authentication-Results|Received-SPF|DKIM-Signature|From:' -n quarantined.eml | head
12:From: "Accounts Payable" <ap@example.com>
45:Received-SPF: fail (example.com: domain of ap@example.com does not designate 198.51.100.25 as permitted sender) receiver=mx1.local;
78:Authentication-Results: mx1.local; spf=fail smtp.mailfrom=ap@example.com; dkim=none; dmarc=fail (p=quarantine) header.from=example.com

Що означає вивід: SPF провалився, DKIM відсутній, DMARC провалився. Це не «фільтр сердиться». Це відправник не довів свою ідентичність.

Рішення: Ставтеся до цього як до імпостерства, поки не верифіковано поза каналом. Якщо це реальний постачальник — змусьте його виправити конфігурацію. Якщо внутрішній — виправте власні вихідні системи.

Завдання 6: На Postfix шукайте логи за отримувачем і таймфреймом

cr0x@server:~$ sudo grep -E "to=<user@example.com>|user@example.com" /var/log/mail.log | tail -n 5
Jan 04 10:11:32 mx1 postfix/smtpd[21102]: connect from mail.sender.tld[198.51.100.25]
Jan 04 10:11:33 mx1 postfix/cleanup[21110]: 9A1B02C3D1: message-id=<20260104101132.12345@mail.sender.tld>
Jan 04 10:11:33 mx1 postfix/qmgr[1033]: 9A1B02C3D1: from=<ap@example.com>, size=48219, nrcpt=1 (queue active)
Jan 04 10:11:34 mx1 postfix/smtp[21112]: 9A1B02C3D1: to=<user@example.com>, relay=filter.local[127.0.0.1]:10024, delay=1.2, delays=0.2/0.01/0.3/0.7, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 5F7E9D0A12)
Jan 04 10:11:35 mx1 postfix/qmgr[1033]: 9A1B02C3D1: removed

Що означає вивід: Postfix прийняв повідомлення і передав його в контент‑фільтр (поширено з Amavis/SpamAssassin). «queued as …» вказує на ID наступного хопа.

Рішення: Зникнення, ймовірно, сталося на стадії фільтра/карантину, а не під час SMTP‑прийому. Тепер слідуйте за другим queue ID у логах фільтра.

Завдання 7: На Amavis знайдіть, чи повідомлення було поміщено в карантин

cr0x@server:~$ sudo grep -R "5F7E9D0A12" /var/log/amavis/amavis.log | tail -n 3
Jan 04 10:11:34 mx1 amavis[3091]: (03091-12) Passed CLEAN, but quarantined by policy, MESSAGE-ID: <20260104101132.12345@mail.sender.tld>
Jan 04 10:11:34 mx1 amavis[3091]: (03091-12) quarantine: local:spam-20260104-101134-03091-12
Jan 04 10:11:34 mx1 amavis[3091]: (03091-12) Tests: DKIM_NONE,SPF_FAIL,DMARC_FAIL score=6.3 tagged_above=-9999 required=5.0

Що означає вивід: Повідомлення класифіковано і поміщено в карантин відповідно до політики та оцінки. Місце карантину зафіксовано.

Рішення: Перевірте, чи політика правильна: це реальний рахунок чи підробка? Якщо реальний — виправляйте автентифікацію; не просто піднімайте поріг глобально.

Завдання 8: Перевірте чергу пошти на зворотний тиск (карантин іноді — просто «застрягла пошта»)

cr0x@server:~$ mailq | head -n 15
-Queue ID-  --Size-- ----Arrival Time---- -Sender/Recipient-------
A12BC34D56*    9210 Thu Jan  4 10:05:12  ap@example.com
                                         user@example.com

B98FE76A10*   48219 Thu Jan  4 10:06:01  noreply@vendor.tld
                                         user2@example.com
-- 2 Kbytes in 2 Requests.

Що означає вивід: Зірочки вказують на активні записи в черзі, що ще не доставлені. Якщо черги ростуть, повідомлення можуть приходити із запізненням і сприйматися як «втрачені», або вони можуть часом таймаутися у відправника.

Рішення: Якщо черга збільшується, розглядайте це як інцидент доступності: перевірте стан downstream фільтра, DNS і ліміти швидкості. Не плутайте «затримано» з «карантином».

Завдання 9: Перевірте здоров’я DNS‑резолюції (фільтри постійно залежать від DNS)

cr0x@server:~$ resolvectl query _dmarc.example.com
_dmarc.example.com: 192.0.2.53         -- link: eth0
                     (TXT) "v=DMARC1; p=quarantine; rua=mailto:dmarc-agg@example.com"

Що означає вивід: DNS розв’язується з поштового хоста. Якщо це час від часу не працює, перевірки SPF/DKIM/DMARC можуть деградувати до tempfail/permerror, що змінює рішення фільтрації.

Рішення: Якщо DNS нестабільний, виправте його перш ніж коригувати пороги спаму. Інакше ви налаштовуєте фільтр під інфраструктурні баги.

Завдання 10: Підтвердіть TLS і сертифікат від вашого вхідного MX (для діагностики зі сторони відправника)

cr0x@server:~$ openssl s_client -starttls smtp -connect mx.example.com:25 -servername mx.example.com -brief
CONNECTION ESTABLISHED
Protocol version: TLSv1.3
Ciphersuite: TLS_AES_256_GCM_SHA384
Peer certificate: CN = mx.example.com
Verification: OK

Що означає вивід: Ваш MX пропонує STARTTLS і предʼявляє дійсний сертифікат. Погана TLS‑позиція може знизити репутацію і змусити деяких відправників ставитися до вас підозріло.

Рішення: Якщо валідація не пройшла або STARTTLS відсутній там, де очікується, виправте TLS. Це не основна причина карантину, але тихий фактор, що впливає на доставлення.

Завдання 11: Використайте SpamAssassin, щоб дізнатися, чому вміст набрав високий бал

cr0x@server:~$ spamassassin -t < quarantined.eml | head -n 25
SpamAssassin version 3.4.6
X-Spam-Flag: YES
X-Spam-Score: 6.3
X-Spam-Level: ******
X-Spam-Status: Yes, score=6.3 required=5.0 tests=DKIM_NONE,DMARC_FAIL,SPF_FAIL,URIBL_BLOCKED
        DKIM_NONE           0.1  Message has no DKIM signature
        SPF_FAIL            3.5  SPF check failed
        DMARC_FAIL          2.0  DMARC check failed
        URIBL_BLOCKED       0.0  URIBL: query blocked (maybe missing DNS)

Що означає вивід: Помилки автентифікації домінують у загальному рахунку. Зверніть увагу також на URIBL_BLOCKED, часто через DNS або політику; це може спотворювати класифікацію.

Рішення: Виправляйте автентифікацію в першу чергу. Якщо URIBL блокується через вашу політику DNS, налаштуйте URIBL так, щоб він не створював зайвого шуму в оцінці.

Завдання 12: Перевірте проблеми з SRS/форвардингом (поширене джерело хибнопозитивів)

cr0x@server:~$ grep -i "SRS0" -n quarantined.eml | head
102:Return-Path: <SRS0=HhZx=AB=example.com=ap@example.com@forwarder.tld>

Що означає вивід: Повідомлення пройшло через форвардер, що використовує SRS (Sender Rewriting Scheme). Якщо форвардер не використовує SRS, SPF часто не пройде, підвищуючи ймовірність карантину.

Рішення: Якщо є пересилка, віддавайте перевагу DKIM/DMARC‑вирівнюванню і забезпечте, щоб форвардери підтримували SRS. Інакше очікуйте карантину, повʼязаного зі SPF.

Завдання 13: Перевірте локальні правила скриньки, що імітують «карантин» (пастка на боці користувача)

cr0x@server:~$ doveadm sieve list -u user@example.com
1. "move-suspicious-to-archive"
2. "auto-forward"

Що означає вивід: У користувача є Sieve‑правила. Правило може переміщувати пошту з Inbox, створюючи враження «втрати».

Рішення: Якщо проблема локальна — виправте правило або проведіть освіту. Не чіпайте глобальну політику спаму через місцеву сортувальну помилку.

Завдання 14: Виміряйте обсяг і тренд карантину (бо «відчувається гірше» — це не метрика)

cr0x@server:~$ sudo awk '/quarantine:/{count++} END{print "quarantined_messages_today="count}' /var/log/amavis/amavis.log
quarantined_messages_today=184

Що означає вивід: У вас є добовий підрахунок. Поєднайте це з загальним входящим обсягом, щоб отримати ставку карантину і виявляти раптові стрибки після змін політики.

Рішення: Якщо обсяг карантину стрибнув після зміни — відкотіть або звузьте правило. Якщо він стрибнув без змін — підозрюйте зміну репутації або проблеми з DNS/автентифікацією.

Три корпоративні міні‑історії з практики

Міні‑історія 1: Інцидент через неправильне припущення

Компанія впровадила новий шлюз безпеки електронної пошти. Він мав стандартну політику карантину, що здавалася «розумною», і привабливу панель стану. Припущення було таке: якщо повідомлення поміщено в карантин, призначений отримувач дізнається про це й зможе самостійно випустити. Це припущення було помилковим у трьох різних аспектах.

По‑перше, зведення карантину були вимкнені, бо хтось побоювався, що вони «звикнуть користувачів натискати посилання». По‑друге, самовипуск дозволявся лише невеликій групі IT‑користувачів. По‑третє, helpdesk не мав прав на випуск повідомлень; це міг робити security, але security не вела функцію триажу скриньки.

Поломка виявилась, коли Accounts Payable пропустили оновлення банківських реквізитів від постачальника (легітимне). Наступний рахунок простояв невчасно, постачальник призупинив відвантаження. Procurement звинувачувало AP, AP — постачальника, постачальник — «вашу пошту», а IT викликали останніми, бо пошта завжди працює, доки не перестає.

Коли це простежили, повідомлення було в карантині через DMARC fail. Постачальник використовував сторонню білінг‑платформу, що відправляла пошту з домену постачальника без DKIM‑вирівнювання. Не зловмисно. Просто неправильно налаштовано.

Виправлення не було «підняти поріг». Виправлення — це управління і видимість: увімкнути зведення для команд з високою залежністю, додати шлях випуску через helpdesk з огородженнями і вимагати від постачальників правильної автентифікації. Відсутній елемент був не технологією, а власністю.

Міні‑історія 2: Оптимізація, що відзеркалилася

Команда безпеки хотіла менше фішингових інцидентів і швидший відгук. Вони ввели правило «автоматично карантинувати все, що згадує переказ коштів». Це подали як швидку перемогу: зупинити BEC, ловлячи явні пастки.

Першого дня приємно виглядало. Показники карантину зросли. Повідомлення про фішинг зменшились. Команда святкувала. За тиждень фінанси підняли тривогу: листи з реквізитами постачальників приходили із запізненням або не приходили взагалі, і цикли платежів стали хаотичні.

Правило мало класичний паттерн негативного ефекту: високочутливе правило контенту, застосоване до високовартісної бізнес‑доменної області. Воно захоплювало не лише шахрайство. Воно захоплювало легітимні фінансові процеси, особливо кінцевомісячні повідомлення з реальними інструкціями по переказу.

Команда оптимізувала під одну метрику (звітність про фішинг) і випадково погіршила інше SLO (доступність пошти для фінансово‑критичних листів). Вони відкочували правило і замінили його вужчим контролем: примусове DMARC‑reject для власних доменів, верифікація постачальників при зміні банківських реквізитів і карантин лише при підозрі у автентифікації або репутації URL — не при наявності слова «wire» у листі.

Жарт 2: Нічого не скаже про «успіх безпеки», як блокування зарплат у п’ятницю ввечері.

Міні‑історія 3: Нудна, але правильна практика, що врятувала день

Середня SaaS‑компанія мала звичку, яка на папері виглядала нудною: щотижневий «тріаж карантину» між security, helpdesk і командами, що отримують важливу зовнішню пошту (Sales Ops, HR, AP). 30 хвилин. Той самий порядок денний щоразу.

Вони переглядали невелику вибірку карантинованих повідомлень: топ‑відправники, топ‑причини і будь‑які випуски, що виглядали ризиковано. Вони також відстежували просту метрику: час‑до‑випуску для хибнопозитивів, що впливають на дохід чи зарплату. Вони не гналися за досконалістю. Вони гналися за повторюваністю.

За місяць вони підключили нового HR‑провайдера для рекрутингу. Через кілька днів відповіді кандидатів почали потрапляти в карантин. Тріаж‑засідання швидко це помітило, бо HR позначив як «високий вплив», а вибірка карантину показала послідовні DKIM‑помилки.

Виправлення було простим: вендор мав DKIM, але підписував іншим доменом, ніж видимий From, що ламало DMARC при суворому режимі. Вендор оновив конфігурацію; компанія додала тимчасовий, обмежений виняток (дозволити DKIM‑домен для цього відправника) з датою завершення.

Жодної драми, жодної «воєнної кімнати», жодного ескалації на рівні керівництва. Нудні процеси працюють. Компанія ставилася до карантину як до черги продакшену з моніторингом і переглядом, а не як до загадкової коробки.

Поширені помилки: симптом → корінь → виправлення

Симптом: «Листи від одного постачальника завжди йдуть у карантин, але тільки для деяких отримувачів.»

Корінь: Персональні списки безпечних відправників, правила скриньки або відмінності в політиках на користувача (особливо при змішаних ліцензіях/ролях). Часом постачальник маршрутизований через різні входи (регіональні MX, різні групи політик шлюзу).

Виправлення: Порівняйте траси повідомлень між отримувачами; перевірте правила користувачів; нормалізуйте політики для команд з високою вартістю; уникайте «особливих налаштувань» без тикета.

Симптом: «Усе почало йти в карантин після ввімкнення DMARC quarantine/reject.»

Корінь: Ви ввімкнули політику не провівши інвентар легітимних відправників. Сторонні сервіси відправляють як ваш домен, але провалюють вирівнювання.

Виправлення: Аудит джерел вихідної пошти, налаштуйте DKIM для кожного, використовуйте окремі піддомени для вендорів, потім поступово переводьте DMARC з none → quarantine → reject.

Симптом: «Користувачі клянуться, що перевірили спам/джанк і його там немає.»

Корінь: Повідомлення в карантині поза скринькою, або воно відхилено на SMTP‑етапі. Користувачі нічого не бачать у цьому випадку.

Виправлення: Встановіть стандартний збір: відправник, отримувач, час, Message‑ID. Використовуйте трасування повідомлень/логи шлюзу. Забезпечте портал самообслуговування карантину або швидкий шлях випуску через helpdesk.

Симптом: «Зведення карантину не надходять.»

Корінь: Відправник зведення фільтрується, або DMARC провалюється для домену зведень, або зведення блокуються внутрішнім правилом як масовий розсил.

Виправлення: Переконайтеся, що зведення автентифікуються (SPF/DKIM/DMARC). Allowlistіть відправника зведень за автентифікованою ідентичністю. Моніторьте доставлення зведень окремо.

Симптом: «Пересланий лист завжди потрапляє в карантин.»

Корінь: SPF ламається при пересиланні, якщо форвардер не використовує SRS; вирівнювання DMARC може провалитись; заголовки ARC можуть бути відсутні або недовірені.

Виправлення: Віддавайте перевагу DKIM‑вирівнюванню відправників; забезпечте, щоб форвардери імплементували SRS; оцініть підтримку ARC у вашому стеку фільтрації; зменшіть залежність від наївної пересилки для критичних робочих процесів.

Симптом: «Ми allowlist‑или домен, але він все одно іноді потрапляє в карантин.»

Корінь: Ви allowlist‑или за видимим From доменом, але фактична інфраструктура відправника різна (нескільки пулів SaaS, різні DKIM‑домени, різні envelope‑відправники). Або правило оцінюється після інших блокувань.

Виправлення: Allowlistьте за DKIM‑доменом або за стабільним автентифікованим атрибутом. Перевірте порядок оцінки правил і пріоритети. Тримайте винятки вузькими і протестованими.

Симптом: «Після зміни DNS хибнопозитиви вибухнули.»

Корінь: SPF‑include порвався, селектор DKIM відсутній, DMARC‑запис пошкоджено або резолвери працюють нестабільно. Фільтри трактують провали автентифікації як ризик.

Виправлення: Додайте контроль змін DNS: перевірки перед зміною, пониження TTL поетапно, післязмінна верифікація (SPF/DKIM/DMARC запити) і моніторинг рівня автентифікаційних помилок.

Контрольні списки / покроковий план

Контрольний список A: Побудуйте політику карантину, що не з’їдає бізнес

1. Класифікуйте вхідну пошту за бізнес‑критичністю: фінанси, HR, юридичні, продажі, підтримка. Призначте власників на папері.
2. Визначте доріжки: відомі‑добрі, невідомі‑але‑правдоподібні, відомо‑погані/високий ризик.
3. Вирішіть дії для кожної доріжки: доставити у вхідні, доставити в папку спаму, карантин, відхилити.
4. Встановіть TTL карантину: як довго зберігати елементи перед видаленням. Переконайтеся, що це відповідає потребам розслідування.
5. Встановіть ролі випуску: користувач/helpdesk/security; додайте коди причин і логування.
6. Увімкніть зведення для команд з високою залежністю; забезпечте доставлення зведень.
7. Реалізуйте управління винятками: обмежені allowlist‑и, дати завершення, цикл перегляду.
8. Метрики: ставка карантину, відсоток хибнопозитивів, час‑до‑випуску для критичних команд, топ‑причини карантину.

Контрольний список B: Покроково при «зниклому» критичному листі

1. Зберіть мінімальні факти: адреса відправника, отримувач, приблизний час, тема та будь‑який Message‑ID, який може надати відправник.
2. Визначте шар: трасування повідомлень (провайдер), логи шлюзу, правила скриньки.
3. Знайдіть результат: доставлено, у спамі, у карантині, відхилено, відкладено.
4. Якщо відхилено: отримаєте SMTP‑код відповіді і виправте автентифікацію відправника чи маршрутизацію.
5. Якщо в карантині: визначте класифікатор (SPF/DKIM/DMARC, URL, вкладення, правило вмісту).
6. Прийміть безпечне рішення: якщо автентифікація провалена і це схоже на імпостерство, не випускайте необдумано.
7. Виправте корінь: налаштуйте DNS/автентифікацію для легітимних відправників; звужуйте політику для зловмисних; документуйте виняток.
8. Закрийте цикл: повідомте користувача, зафіксуйте причину і додайте подію у щотижневий тріаж, якщо повторюється.

Контрольний список C: Винятки, що не переслідуватимуть вас

1. Віддавайте перевагу автентифікованим атрибутам (DKIM d=, SPF‑валідація envelope sender) над іменами або видимими From доменами.
2. Обмежуйте за групою отримувачів, коли можливо (фінансова команда), а не глобальним «пропустити все».
3. Ставте дату закінчення прямо в заголовку тикета. Так, буквально в заголовку.
4. Додайте крок валідації: після зміни правила надішліть тестове повідомлення і підтвердіть результат.
5. Переглядайте винятки щомісяця. Видаляйте застарілі. Якщо ви ніколи не видаляєте винятків, ви їх не керуєте — ви їх збираєте.

Питання та відповіді

1) Чи варто надсилати карантиновані повідомлення до папки спаму користувача?

Іноді. Для низькоризикового масового і підозрілого спаму доставка в папку спаму підвищує можливість відновлення. Для високоризикового фішингу/шкідливого ПЗ/імпостерства тримайте карантин поза скринькою і обмежуйте випуск.

2) Чи є allowlist домену постачальника розумним рішенням?

Лише тимчасово і бажано на основі автентифікованої ідентичності (домен DKIM), а не видимого From. Надалі змусьте постачальника виправити SPF/DKIM/DMARC вирівнювання. Інакше ви довіряєте найлегшому для підробки полю.

3) Чому повідомлення проходили вчора, а сьогодні — карантин без зміни політики?

Зміни репутації, зміни вмісту (нові посилання/вкладення) або дрейф автентифікації (ротація IP, прострочений DKIM‑ключ, DNS‑пропагація) можуть змінити оцінку. Також важливі зворотні зв’язки: якщо користувачі позначали схожі листи як спам, класифікатори адаптуються.

4) Яка різниця між «quarantine» і «reject» в DMARC?

DMARC p=quarantine сигналізує, що повідомлення з помилкою слід трактувати як підозріле (часто доставляти в спам або карантин). p=reject просить приймаючі системи відхилити його на SMTP‑етапі. Reject зменшує вплив підроблення на користувачів, але вимагає вирівнювання легітимних відправників.

5) Чи можемо ми покладатись на користувачів у випуску своїх карантинованих повідомлень?

Для низькоризикових категорій — так, з навчанням і хорошим UI. Для імпостерства і крадіжки облікових даних — ні. Користувачі не є контролем безпеки; це люди з календарями.

6) Чому переслані повідомлення караються?

Пересилка змінює IP відправника, що ламає SPF, якщо форвардер не використовує SRS. DKIM може вижити при пересиланні, але деякі форвардери змінюють вміст і ламають підписи. DMARC‑вирівнювання тоді провалюється, і фільтри підозрюють повідомлення.

7) Як довго зберігати карантиновану пошту?

Достатньо довго для розслідувань і відновлення користувачем, але недовго, щоб обмежити ризик і зберігання. Багато організацій обирають 15–30 днів для загального карантину і довше для безпекових утримань під час розслідування. Виберіть число, задокументуйте і зробіть його доступним.

8) Які метрики скажуть, що ми «втрачаємо важливі листи»?

Відстежуйте час‑до‑випуску для високовпливових команд, повторні карантини для тих самих легітимних відправників і співвідношення карантинованих‑до‑вхідних листів. Поєднайте це з тикетами від користувачів про «втрату пошти». Якщо тикети зростають після зміни політики — це ваш канарка.

9) Чи можемо ми повністю ліквідувати карантин?

Ви можете зменшити залежність від карантину, примушуючи сильну автентифікацію, використовуючи reject для очевидного підроблення і доставляючи сумнівні масові повідомлення в папку спаму. Але неоднозначність залишається. Карантин корисний — коли він видимий і керований.

10) Яке найнадійніше перше покращення, якщо ми починаємо з хаосу?

Увімкніть зведення карантину (або простий щоденний звіт) для команд, що залежать від зовнішньої пошти, і визначте процес випуску через helpdesk з логуванням. Це негайно зменшить тихі втрати, поки ви виправляєте автентифікацію і налаштування політик.

Висновок: наступні кроки, що дійсно зменшують втрати

Якщо ви хочете припинити втрачати важливі повідомлення, припиніть ставитися до карантину як до магічної ями для безпеки і почніть ставити його як чергу продакшену з власниками, метриками та робочим процесом випуску.

1. Сьогодні: Увімкніть видимість (зведення/доступ до порталу) і визначте, хто може випускати що.
2. Цього тижня: Побудуйте швидкий робочий процес діагностики: трасування повідомлення → логи шлюзу → заголовки/автентифікація → політичне рішення. Зробіть це ранбуком, а не племінними знаннями.
3. Цього місяця: Виправте автентифікацію і вирівнювання для ваших доменів і ваших головних сторонніх відправників. Зменште винятки, змусивши відправників поводитися правильно.
4. Постійно: Проводьте щотижневий тріаж карантину з власниками бізнесу. Це нудно. Тримайте його нудним. Нудне — надійне.