Επιστροφή στο Blog

Γιατί τα email προσομοίωσης phishing καταλήγουν στο spam (και πώς να το διορθώσετε χωρίς να αποδυναμώσετε την ασφάλεια)

Η τοποθέτηση στο Inbox δεν είναι μια μετρήσιμη παράμετρος. Είναι η διαφορά μεταξύ της μέτρησης της ανθρώπινης συμπεριφοράς και της μέτρησης των λαθών στη ροή των μηνυμάτων.

Από Ομάδα Autophish|Δημοσιεύτηκε στις 4/21/2026
Cover image for Γιατί τα email προσομοίωσης phishing καταλήγουν στο spam (και πώς να το διορθώσετε χωρίς να αποδυναμώσετε την ασφάλεια)

Εάν τα email προσομοίωσης phishing καταλήγουν στο spam ή στην καραντίνα, τα αποτελέσματά σας γίνονται δύσκολο να θεωρηθούν αξιόπιστα.

Ένα ποσοστό κλικ 2% μπορεί να σημαίνει ότι οι χρήστες σας βελτιώθηκαν. Ή μπορεί να σημαίνει ότι ένα μεγάλο μέρος της εταιρείας δεν είδε ποτέ πραγματικά το μήνυμα. Αυτό δεν είναι απλώς ένα πρόβλημα αναφοράς. Είναι ένα πρόβλημα σχεδιασμού του προγράμματος. Αυτός ο οδηγός απευθύνεται σε μηχανικούς ασφάλειας, διαχειριστές IT, CISO και υπεύθυνους συμμόρφωσης που χρειάζονται αξιόπιστη παράδοση για προσομοιώσεις χωρίς να δημιουργούν επικίνδυνα κενά στην ασφάλεια του ηλεκτρονικού ταχυδρομείου.

Σημείωση ασφαλείας: Αυτό το άρθρο αφορά αμυντικές προσομοιώσεις και μέτρηση ευαισθητοποίησης. Δεν περιλαμβάνει οδηγίες για πραγματικό phishing, κλοπή διαπιστευτηρίων ή παράκαμψη ελέγχων ασφαλείας για κακόβουλους σκοπούς.

Η σύντομη εκδοχή

Εάν τα email προσομοίωσης phishing καταλήγουν στο spam, η λύση συνήθως δεν είναι «να χαλαρώσετε τα φίλτρα μέχρι να καταλήγουν όλα στο inbox».

Η ασφαλέστερη προσέγγιση είναι:

  • χρησιμοποιήστε έναν αποκλειστικό τομέα ή υποτομέα προσομοίωσης
  • φροντίστε ώστε η ευθυγράμμιση SPF, DKIM και DMARC να είναι σκόπιμη
  • διατηρήστε καθαρό το περιεχόμενο και τις αλυσίδες ανακατεύθυνσης
  • διαχωρίστε την τηλεμετρία παράδοσης από την τηλεμετρία συμπεριφοράς χρηστών
  • και, όπου χρειάζεται, χρησιμοποιήστε επιλεκτική λίστα επιτρεπόμενων αντί για ευρείες παρακάμψεις

Το τελευταίο σημείο έχει σημασία. Η ευρεία λίστα επιτρεπόμενων είναι επικίνδυνη. Ωστόσο, οι περιορισμένοι, καλά τεκμηριωμένοι κανόνες που συνδέονται με μια αποκλειστική IP αποστολής και γνωστές ταυτότητες αποστολέων μπορούν να αποτελέσουν έναν απολύτως λογικό μακροπρόθεσμο έλεγχο.

Γιατί αποτυγχάνει η παραδοσιμότητα της προσομοίωσης phishing

Οι αποτυχίες παραδοσιμότητας σπάνια είναι τυχαίες. Συνήθως αποτελούν το προβλέψιμο αποτέλεσμα του τρόπου με τον οποίο έχει ρυθμιστεί το πρόγραμμα.

1) Τα SPF, DKIM ή DMARC δεν ευθυγραμμίζονται με τον ορατό αποστολέα

Αυτή είναι η πιο συνηθισμένη αιτία.

Εάν ο τομέας που βλέπουν οι χρήστες στο πεδίο Από δεν ταιριάζει με τον τομέα που έχει εξουσιοδοτηθεί από το SPF ή έχει υπογραφεί από το DKIM, τα συστήματα αλληλογραφίας έχουν βάσιμο λόγο να είναι ύποπτα. Τόσο η Microsoft όσο και η Google αντιμετωπίζουν τα SPF, DKIM και DMARC ως βασικά σήματα εμπιστοσύνης του αποστολέα και και οι δύο δίνουν έμφαση στην αντιστοίχιση με τον ορατό τομέα αποστολέα.

Συνηθισμένα μοτίβα αποτυχίας:

  • ο ορατός τομέας Από δεν είναι ο τομέας που πιστοποιήσατε πραγματικά
  • η υπογραφή DKIM λείπει ή έχει επισυναφθεί σε λάθος domain
  • το DMARC υπάρχει, αλλά η αντιστοιχία με τον ορατό αποστολέα δεν ελέγχθηκε ποτέ σωστά
  • έγιναν αλλαγές στο DNS, αλλά δεν διαδόθηκαν πλήρως ή δεν επικυρώθηκαν πριν από την έναρξη της καμπάνιας

2) Η προσομοίωση χρησιμοποιεί το κύριο εταιρικό domain

Η χρήση του κύριου εταιρικού domain μπορεί να φαίνεται ρεαλιστική, αλλά συχνά δημιουργεί περιττές συγκρούσεις.

Καταλήγετε να δοκιμάζετε τα ίδια μέτρα ελέγχου κατά της πλαστογράφησης, της υποκρισίας και της κατάχρησης που υπάρχουν για την προστασία αυτού του τομέα στην παραγωγή. Αυτό μπορεί να είναι κατάλληλο σε ορισμένα ώριμα προγράμματα, αλλά σπάνια αποτελεί την καλύτερη αφετηρία.

Για τις περισσότερες ομάδες, ένας αποκλειστικός υποτομέας προσομοίωσης είναι η ασφαλέστερη προεπιλογή.

3) Χρησιμοποιήθηκε λάθος είδος λίστας επιτρεπόμενων

Η λίστα επιτρεπόμενων μπορεί να αποτελέσει πρόβλημα ασφάλειας, ειδικά όταν οι ομάδες κάνουν πράγματα όπως:

  • παρακάμπτουν την προστασία από phishing σε παγκόσμιο επίπεδο
  • προσθέτουν στη λίστα επιτρεπόμενων τεράστιες σειρές IP παρόχων cloud
  • εξαιρούν ολόκληρες υποδομές αποστολέων που δεν ελέγχουν
  • παραλείπουν τη σάρωση για ευρείες κατηγορίες αλληλογραφίας

Αλλά αυτό δεν είναι το μόνο μοντέλο.

Υπάρχει μεγάλη διαφορά μεταξύ ευρέων παρακάμψεων και εξειδικευμένων κανόνων παράδοσης. Εάν ο πάροχός σας στέλνει από μια αποκλειστική IP και ένα μικρό, γνωστό σύνολο διευθύνσεων ή τομέων αποστολέων, η λίστα επιτρεπόμενων με στενό πεδίο εφαρμογής μπορεί να είναι αποδεκτή και μπορεί ακόμη και να παραμείνει σε ισχύ ως μέρος της τυπικής ρύθμισης. Τα έγγραφα οδηγιών ρύθμισης της AutoPhish ακριβώς αυτό το μοντέλο: οι καμπάνιες αποστέλλονται από έναν αποκλειστικό διακομιστή SMTP/IP και ένα καθορισμένο σύνολο διευθύνσεων αποστολέα, γεγονός που καθιστά εφικτές τις ακριβείς εξαιρέσεις φιλτραρίσματος χωρίς να καταφεύγουμε σε υπερβολικές παρακάμψεις που δημιουργούν πραγματική έκθεση.

4) Το περιεχόμενο και οι σύνδεσμοι ενεργοποιούν τους ίδιους ελέγχους που αναμένετε να εμπιστεύονται οι χρήστες

Τα email προσομοίωσης συχνά περιέχουν:

  • συνδέσμους παρακολούθησης
  • ανακατευθύνσεις
  • γλώσσα που υποδηλώνει επείγοντα χαρακτήρα
  • φράσεις που μοιάζουν με αυτές της μάρκας
  • κλήσεις προς δράση τύπου σύνδεσης

Αυτό δεν είναι αυτομάτως λάθος. Ωστόσο, σημαίνει ότι το email θα ελεγχθεί ως ύποπτο. Εάν η προσομοίωση βασίζεται στο να φαίνεται αρκετά αμφίβολη ώστε να ξεγελάσει τους δικούς σας ελέγχους, τότε δεν δοκιμάζετε πλέον πραγματικά τους χρήστες. Δοκιμάζετε αν το σύστημα ασφαλείας σας εντοπίζει περιεχόμενο που είναι προφανώς επικίνδυνο.

5) Τα δεδομένα παράδοσης και τα δεδομένα συμπεριφοράς αναμιγνύονται

Εάν δεν μπορείτε να διαχωρίσετε σαφώς:

  • αποσταλμένα
  • παραδοθέντα
  • ανοιχτά
  • κλικ
  • αναφερόμενα

τότε η αναφορά σας θα σας παραπλανήσει. Μια αδύναμη μέτρηση καμπάνιας μπορεί να αντανακλά ένα πρόβλημα χρήστη. Ή ένα πρόβλημα δρομολόγησης. Ή μια πολιτική καραντίνας. Ή ένα ζήτημα φιλτραρίσματος συγκεκριμένου παρόχου ηλεκτρονικού ταχυδρομείου. Αυτές είναι πολύ διαφορετικές διαδρομές αποκατάστασης.

Ένας ασφαλέστερος τρόπος για τη βελτίωση της δυνατότητας παράδοσης της προσομοίωσης phishing

Βήμα 1: Διαχωρίστε την αποστολή προσομοίωσης από τα κανονικά επαγγελματικά email

Για τους περισσότερους οργανισμούς, το καλύτερο σημείο εκκίνησης είναι:

  • ένας αποκλειστικός τομέας ή υποτομέας προσομοίωσης
  • αποκλειστικά αρχεία πιστοποίησης
  • μια καθαρή διαδρομή αποστολής που είναι εύκολο να εξηγηθεί και να ελεγχθεί
  • καμία πλαστοπροσωπία πραγματικών εσωτερικών ατόμων, εκτός αν υπάρχει ισχυρός, ελεγμένος λόγος

Αυτό μειώνει την έκταση της επίδρασης, μειώνει τη σύγχυση και καθιστά την αντιμετώπιση προβλημάτων πολύ πιο εύκολη.

Βήμα 2: Επαληθεύστε την πιστοποίηση πριν από την πρώτη καμπάνια

Πριν καταλήξετε στο συμπέρασμα ότι «η Microsoft μας μπλοκάρει» ή «η Google είναι υπερβολικά επιθετική», επαληθεύστε τα βασικά:

  • Το SPF περιλαμβάνει μόνο την υποδομή που πρέπει να στέλνει τα email προσομοίωσης
  • Το DKIM είναι ενεργοποιημένο και υπογράφει αξιόπιστα
  • Το DMARC έχει δημοσιευτεί και είναι ευθυγραμμισμένο με τον ορατό τομέα αποστολέα
  • τα δοκιμαστικά μηνύματα εμφανίζουν πράγματι τα αποτελέσματα πιστοποίησης που περιμένατε

Για μια ανανέωση γνώσεων ανεξάρτητη από προμηθευτές, η επισκόπηση της Microsoft για την πιστοποίηση email αποτελεί μια χρήσιμη βάση αναφοράς, ενώ οι οδηγίες της Google για τους αποστολείς επισημαίνει το ίδιο βασικό σημείο: η αξιόπιστη παράδοση ξεκινά με καθαρή πιστοποίηση και ευθυγράμμιση τομέα.

Εάν χρησιμοποιείτε το AutoPhish, το άρθρο βοήθειας σχετικά με την παράδοση email καμπάνιας και ο έλεγχος DNS αποτελούν καλά σημεία εκκίνησης κατά τη ρύθμιση.

Βήμα 3: Χρησιμοποιήστε επιλεκτική λίστα επιτρεπόμενων διευθύνσεων όταν χρειάζεται, όχι γενικές παρακάμψεις

Αυτό είναι το μέρος που πολλές ομάδες πραγματικά χρειάζονται.

Μια καλή εξαίρεση είναι:

  • συγκεκριμένη
  • τεκμηριωμένη
  • ελέγξιμη
  • εύκολη να εξηγηθεί στους ελεγκτές
  • συνδεδεμένη με γνωστή ταυτότητα αποστολέα ή αποκλειστική IP αποστολής
  • αρκετά περιορισμένη ώστε να μην εμπιστεύεται κατά λάθος άσχετη κίνηση

Μια κακή εξαίρεση είναι «οτιδήποτε από αυτόν τον πάροχο είναι εντάξει». Μια καλύτερη εξαίρεση είναι «τα μηνύματα προσομοίωσης από αυτή την αποκλειστική IP και αυτό το καθορισμένο σύνολο αποστολέων πρέπει να παραδίδονται με συνέπεια για αυτό το πρόγραμμα ευαισθητοποίησης». Αυτή η διάκριση έχει σημασία.

Στην πράξη, η πιο υπερασπίσιμη στάση είναι συχνά:

  • διατηρήστε την κανονική σάρωση όπου είναι δυνατόν
  • αποφύγετε τους γενικούς κανόνες «παράκαμψης φιλτραρίσματος»
  • προτιμήστε στενούς κανόνες βασισμένους στον αποστολέα/IP αντί για εμπιστοσύνη σε ολόκληρη την υποδομή
  • τεκμηριώστε ακριβώς γιατί υπάρχει ο κανόνας και τι καλύπτει
  • να τον επανεξετάζετε περιοδικά, αλλά μην υποθέτετε ότι πρέπει να είναι προσωρινός αν παραμένει στενά καθορισμένος και εξακολουθεί να ταιριάζει στο μοντέλο ελέγχου σας

Με το AutoPhish, αυτό το μοντέλο είναι εφικτό επειδή οι καμπάνιες αποστέλλονται από μια αποκλειστική IP και ένα γνωστό αποτύπωμα αποστολέα και όχι από μια τεράστια κοινόχρηστη ομάδα αλληλογραφίας.

Βήμα 4: Σχεδιάστε προσομοιώσεις για να διδάξετε την αναγνώριση, όχι για να πολεμήσετε την πύλη

Οι καλύτερες προσομοιώσεις phishing δεν χρειάζεται να «νικήσουν» κάθε έλεγχο ασφαλείας.

Πρέπει να σας βοηθήσουν να μετρήσετε αν οι άνθρωποι:

  • παρατηρούν ύποπτα σημάδια
  • αποφεύγουν επικίνδυνες ενέργειες
  • αναφέρουν γρήγορα ύποπτα μηνύματα
  • βελτιώνονται με την πάροδο του χρόνου

Αυτός είναι ένας πιο υγιής σχεδιαστικός στόχος από το να προσπαθείτε να κάνετε κάθε email να μοιάζει αδιακρίτως με μια πραγματική επίθεση στο επίπεδο του φιλτραρίσματος.

Βήμα 5: Δημιουργήστε αναφορές που μπορούν να διακρίνουν τα προβλήματα αλληλογραφίας από τα προβλήματα των ανθρώπων

Ένα ώριμο πρόγραμμα θα πρέπει να είναι σε θέση να απαντήσει:

  • Πόσα μηνύματα παραδόθηκαν πραγματικά;
  • Ποιος πάροχος ή ποια πολιτική τα φιλτράρισε;
  • Ποια τμήματα είχαν χαμηλότερη ορατότητα;
  • Οι χρήστες ανέφεραν το μήνυμα;
  • Οι ίδιοι χρήστες βελτιώθηκαν με την πάροδο του χρόνου;

Αυτό είναι που μετατρέπει τις προσομοιώσεις από «ένα σωρό ψεύτικα email» σε κάτι λειτουργικά χρήσιμο.

Αν θέλετε αυτό το είδος δομής, οι αναφορές έχουν την ίδια σημασία με το περιεχόμενο. Δείτε: Αναφορές προσομοίωσης phishing: 12 χαρακτηριστικά που πρέπει να συγκρίνουν οι ομάδες ασφαλείας.

Πώς μοιάζει μια «καλή» λίστα επιτρεπόμενων

Ένας καλός κανόνας πρέπει να είναι αρκετά περιοριστικός, ώστε η ομάδα ασφαλείας σας να μπορεί να τον εφαρμόσει και οι ελεγκτές σας να μπορούν να τον κατανοήσουν.

Αυτό συνήθως σημαίνει:

  • περιορίζεται στην υποδομή αποστολής προσομοίωσης
  • συνδέεται με γνωστούς τομείς, ταυτότητες αποστολέων ή μια αποκλειστική IP
  • δεν εμπιστεύεται άσχετα μηνύματα από τον ίδιο ευρύτερο πάροχο
  • δεν δημιουργεί μια γενική συνθήκη «πάντα παράδοση, ποτέ σάρωση», εκτός αν υπάρχει πολύ ισχυρός λόγος
  • παρακολουθείται ως μέρος του σχεδιασμού του προγράμματος ευαισθητοποίησης, όχι ως κρυφή λύση

Εδώ είναι επίσης που έχει σημασία η αρχιτεκτονική του παρόχου. Εάν μια πλατφόρμα στέλνει από μια κοινόχρηστη ομάδα που χρησιμοποιείται από πολλούς πελάτες, η μακροπρόθεσμη εγγραφή σε λίστα επιτρεπόμενων γίνεται πιο δύσκολο να δικαιολογηθεί. Εάν στέλνει από μια αποκλειστική IP με μια μικρή, τεκμηριωμένη επιφάνεια αποστολέα, η περιορισμένη εγγραφή σε λίστα επιτρεπόμενων γίνεται πολύ πιο εύκολο να υπερασπιστεί.

Μια γρήγορη λίστα ελέγχου όταν τα email προσομοίωσης phishing καταλήγουν στο spam

Χρησιμοποιήστε αυτή τη λίστα ελέγχου όταν τα αποτελέσματά σας φαίνονται ύποπτα.

Πιστοποίηση και ταυτότητα αποστολέα

  • Είναι ο ορατός τομέας «Από» αυτός που σκοπεύατε να χρησιμοποιήσετε;
  • Είναι τα SPF, DKIM και DMARC ευθυγραμμισμένα με αυτόν τον τομέα;
  • Έχει αλλάξει κάτι πρόσφατα στο DNS ή στη διαμόρφωση αποστολής;
  • Οι κεφαλίδες δοκιμής εμφανίζουν τα αποτελέσματα που περιμένατε;

Αρχιτεκτονική αποστολής

  • Χρησιμοποιείτε έναν αποκλειστικό υποτομέα προσομοίωσης;
  • Είναι η υποδομή αποστολής απομονωμένη από την παραγωγική αλληλογραφία;
  • Είναι σταθερό το ιστορικό φήμης του αποστολέα;
  • Βασίζεστε σε μια κοινόχρηστη ομάδα αποστολέων ή σε μια αποκλειστική IP;

Κανόνες και εξαιρέσεις

  • Δημιούργησε κάποιος μια ευρεία παράκαμψη για να «το κάνει απλά να λειτουργεί»;
  • Θα μπορούσε ο κανόνας να περιοριστεί σε συγκεκριμένες ταυτότητες αποστολέων ή σε μια αποκλειστική IP;
  • Είναι η εξαίρεση τεκμηριωμένη και ελέγξιμη;
  • Συνεχίζετε να σαρώνετε όπου είναι πρακτικό;

Περιεχόμενο και μέτρηση

  • Είναι οι URL καθαρές και προβλέψιμες;
  • Υπάρχουν περιττές αλυσίδες ανακατεύθυνσης;
  • Μετράτε την παράδοση ξεχωριστά από την αλληλεπίδραση;
  • Παρακολουθείτε το ποσοστό αναφορών και το χρόνο μέχρι την αναφορά, όχι μόνο τα κλικ;

Συχνές ερωτήσεις

Πρέπει να βάζουμε στη λίστα επιτρεπόμενων τα email προσομοίωσης phishing;

Μερικές φορές ναι.

Αυτό που θέλετε να αποφύγετε είναι η ευρεία εμπιστοσύνη. Αυτό που είναι συχνά αποδεκτό είναι η περιορισμένη εμπιστοσύνη: μια αποκλειστική IP αποστολής, γνωστές ταυτότητες αποστολέων, ένας σαφώς τεκμηριωμένος σκοπός και καμία υπερβολική παράκαμψη που αποδυναμώνει την υπόλοιπη ασφάλεια του ηλεκτρονικού σας ταχυδρομείου.

Πρέπει αυτοί οι κανόνες να είναι προσωρινοί;

Όχι απαραίτητα.

Οι ευρείες εξαιρέσεις έκτακτης ανάγκης πρέπει να είναι προσωρινές. Ωστόσο, οι στοχευμένοι κανόνες με σαφή πεδίο εφαρμογής μπορούν να παραμείνουν σε ισχύ εάν αποτελούν μέρος του εγκεκριμένου μοντέλου λειτουργίας, εξακολουθούν να είναι κατάλληλα περιορισμένοι και αναθεωρούνται περιοδικά.

Μπορούμε να εκτελούμε προσομοιώσεις από τον κύριο εταιρικό μας τομέα;

Μπορείτε, αλλά συνήθως αυτό συνεπάγεται μεγαλύτερη τριβή και υψηλότερο κίνδυνο.

Ένας ειδικός υποτομέας προσομοίωσης είναι ευκολότερος στην πιστοποίηση, ευκολότερος στην εξήγηση και λιγότερο πιθανό να έρθει σε σύγκρουση με τους ελέγχους σας κατά της πλαστογράφησης και της υποκρισίας στην παραγωγή.

Μειώνει ο καλύτερος ρυθμός παράδοσης τον ρεαλισμό;

Όχι.

Οι καλές προσομοιώσεις μετρούν τη συμπεριφορά αναγνώρισης και αναφοράς. Δεν χρειάζονται ατημέλητη υποδομή ή ανασφαλείς παρακάμψεις για να είναι χρήσιμες.

Πώς αποδεικνύουμε ότι τα αποτελέσματα είναι αξιόπιστα;

Τεκμηριώστε και τις δύο πλευρές του συστήματος:

  1. τι έπρεπε να παραδοθεί
  2. τι έκαναν πραγματικά οι χρήστες μετά την παράδοση

Αυτό είναι πολύ πιο υπερασπίσιμο από το να παρουσιάζετε ένα γράφημα ποσοστού κλικ χωρίς το πλαίσιο της παράδοσης.

Είστε έτοιμοι να εκτελέσετε προσομοιώσεις που μετρούν την ανθεκτικότητα αντί για ατυχήματα στη ροή αλληλογραφίας;

Το AutoPhish έχει σχεδιαστεί για ομάδες που επιθυμούν ασφαλείς προσομοιώσεις, αναφορές με σεβασμό στην ιδιωτικότητα και αποδεικτικά στοιχεία φιλικά προς τον έλεγχο χωρίς βαρύ λειτουργικό κόστος.

Αν χρειάζεστε ακριβείς οδηγίες εγκατάστασης, δείτε το άρθρο βοήθειας σχετικά με το πώς να βεβαιωθείτε ότι τα email της καμπάνιας παραλαμβάνονται σωστά.

Εγγραφείτε

Πηγή εικόνας: Φωτογραφία του Krsto Jevtic στο Unsplash.


Είστε έτοιμοι να ενισχύσετε τις άμυνές σας;

Εγγραφείτε σήμερα και ξεκινήστε την πρώτη σας προσομοίωση phishing μέσα σε λίγα λεπτά.