Причины:
1. Готовые решения (шлюзы/песочницы): Автоматически фильтруют ~99% массовых фишинговых писем, но пропускают целевые атаки (spear-phishing), написанные без типовых сигнатур (IOC). Дают ложноположительные срабатывания, блокируя легитимную почту.
2. Тренинг сотрудников: Развивает критическое мышление. Сотрудник — последний рубеж. Без тренинга уязвим к zero-day фишингу, который не обнаруживается фильтрами. Статистика: 30-40% сотрудников кликают на фишинг в симуляциях без обучения.
3. Сочетание: Ни одно готовое решение не заменяет человека, способного распознать контекстную атаку (просьба от «генерального»). И наоборот, обученный сотрудник бессилен против 1000 фишинговых писем в день без стартовой фильтрации.
Решение:
Бескомпромиссный выбор — только двухуровневый подход.
1. Уровень 1 (Технологии). Внедрите шлюз с аналитикой (DMARC/DKIM/SPF, sandboxing, URL-detonation). Пример настройки для Postfix + rspamd:
bash
# Включить проверку SPF/DKIM/DMARC
rspamd.conf
actions {
reject = 15; # Высокий спам — reject
add_header = 6;
rewrite_subject = 9;
}
# Блокировать домены без DMARC (p=none все равно пропускает)Критично: Решение не должно работать на «черных списках» — только на ML/поведенческом анализе.
2. Уровень 2 (Человек). Проводите регулярные (ежемесячные) симуляции фишинга через open-source инструмент GoPhish (легально, если есть письменное согласие от руководства на тестирование).
Минимальный KPI:** Доля кликов