Live Direct Marketing
ГлавнаяБлогДоставляемость

Почему холодное письмо путают с фишингом и как убрать эти сигналы

7 июля 2026 · 8 мин чтения · Гайд: Доставляемость

Письмо от незнакомого отправителя с ссылкой и просьбой ответить — формально это описание и легитимного холодного письма, и классического фишинга, и разница между ними для получателя и для спам-фильтра не всегда очевидна. Если адресный B2B-аутрич случайно повторяет технические и текстовые паттерны фишинговых писем, доверие к нему падает независимо от реальных намерений отправителя.

Коротко
  • Несовпадение имени отправителя и домена email-адреса — один из самых сильных сигналов фишинга для получателя и фильтров
  • Ссылки с доменом, отличным от домена отправителя, автоматически повышают подозрительность письма
  • Срочность и давление («ответьте сегодня», «предложение истекает через час») — классический приём фишинга, который вредит и легитимному аутричу
  • Несоответствие SPF/DKIM/DMARC домену отправителя технически сближает письмо с подделкой
  • Чистка письма от этих сигналов не снижает эффективность аутрича — наоборот, повышает доверие и открываемость

Почему холодное письмо и фишинг выглядят похоже на старте

И холодное письмо, и фишинговое письмо объединяет одна структурная черта: получатель не ожидал письма и не знает отправителя лично. Дальше решает не сам факт незнакомства, а набор дополнительных сигналов — насколько письмо технически и текстово похоже на легитимную деловую переписку или, наоборот, на попытку обмана.

Спам-фильтры обучены именно на этих сигналах, а не на факте «знаком ли получатель с отправителем» — это невозможно проверить автоматически. Поэтому задача составителя холодного письма — убрать из него всё, что технически или по формулировкам совпадает с паттернами фишинга, оставив только то, что делает письмо похожим на обычную деловую инициативу.

Получатель проходит похожую, но менее формализованную проверку интуитивно: за доли секунды он оценивает, выглядит ли письмо как обычная деловая переписка или как что-то подозрительное, и это решение принимается на уровне общего впечатления, а не осознанного анализа каждого элемента. Поэтому мелкие несоответствия — странное форматирование, нетипичная структура подписи, избыточная настойчивость — считываются как тревожный сигнал ещё до того, как получатель успевает сформулировать, что именно его смутило.

Технические сигналы: несовпадение имени, адреса и доменов

Первый и самый заметный сигнал — расхождение между отображаемым именем отправителя и реальным email-адресом. Если в поле «От кого» стоит «Служба поддержки Банка», а адрес — noreply@random-domain.ru, это классический паттерн фишинга, и получатель или фильтр читает это мгновенно, даже не открывая письмо.

В холодном B2B-аутриче эта ошибка встречается в мягкой форме: имя отправителя указано как «Отдел продаж», а не реальное имя человека, при этом email-домен не совпадает с доменом компании, о которой идёт речь в письме. Решение простое — реальное имя конкретного человека в поле «От кого» и адрес на домене той компании, от лица которой идёт коммуникация.

Второй технический сигнал — ссылки в письме, ведущие на домен, отличный от домена отправителя, особенно если это сокращённые ссылки (bit.ly и аналоги) без явного указания, куда они ведут. Фишинг маскирует реальный адрес назначения именно так, и спам-фильтры, и внимательные получатели реагируют на это настороженно.

Третий сигнал, менее заметный, но тоже считываемый фильтрами — использование адреса отправки, который явно не предназначен для ответа (noreply@, do-not-reply@ и подобные). Такие адреса типичны для автоматических системных уведомлений, но не для деловой инициативы от живого человека, и их использование в холодном письме противоречит самой цели кампании — получить ответ, а заодно добавляет ещё один штрих к общему ощущению неаутентичности отправителя.

SPF, DKIM, DMARC: техническая аутентификация отправителя

Помимо визуальных сигналов, есть технический уровень: спам-фильтры проверяют, авторизован ли конкретный сервер отправлять почту от имени указанного домена (SPF), подписано ли письмо криптографически доменом отправителя (DKIM), и что делать, если проверки не прошли (DMARC-политика). Фишинговые письма часто подделывают домен отправителя (spoofing) именно потому, что раньше это было легко сделать без DMARC.

Если у домена, с которого идёт холодная рассылка, не настроены SPF и DKIM, письмо технически неотличимо от спуфинга для многих современных почтовых систем — оно может пройти, но с пониженным доверием, или сразу попасть в спам независимо от содержания. Это одна из причин, почему техническая настройка домена важнее любых текстовых ухищрений.

DMARC добавляет ещё один уровень: политика домена сообщает принимающему серверу, что делать, если проверки SPF и DKIM не прошли — игнорировать, помечать как подозрительное или отклонять полностью. Домен без DMARC оставляет решение целиком на усмотрение принимающей стороны, что менее предсказуемо и менее выгодно для легитимного отправителя, заинтересованного в стабильной доставляемости.

Текстовые сигналы: срочность, давление, эмоциональные триггеры

Фишинг эксплуатирует эмоции — страх («ваш аккаунт будет заблокирован»), срочность («ответьте в течение часа»), выгоду («вы выиграли»). Эти же приёмы иногда случайно проникают в холодные продающие письма через формулировки вроде «предложение действует только сегодня» или «ответьте срочно, чтобы не упустить возможность» — и получатель реагирует на них тем же настороженным паттерном, что и на явный фишинг.

Для адресного B2B-аутрича давление и искусственная срочность не только повторяют сигналы обмана, но и противоречат самой логике деловой коммуникации между юрлицами: решения о закупке или сотрудничестве не принимаются под давлением за час, и попытка создать такое давление сама по себе выглядит нерелевантно для делового контекста получателя.

Похожий эффект даёт избыточная персонализация не по делу — например, упоминание личных данных получателя, которые не относятся напрямую к деловому контексту письма (личные интересы, найденные в соцсетях, семейное положение). Фишинг часто использует такие детали, чтобы создать ложное ощущение близкого знакомства, и легитимное деловое письмо, копирующее этот приём, рискует вызвать ту же настороженность, а не доверие, на которое рассчитывал автор.

Чек-лист: как проверить письмо перед отправкой кампании

Перед запуском кампании полезно пройтись по письму глазами человека, который никогда не слышал о вашей компании, и спросить: похоже ли это на попытку обмана? Формальный чек-лист снижает субъективность такой проверки и позволяет выявить проблемы до того, как их найдёт спам-фильтр получателя.

Как этот подход применяется в LDM

В LDM кампании изначально строятся с учётом этих сигналов: отправка идёт с реальных имён конкретных сотрудников на доменах с настроенными SPF/DKIM/DMARC, а трекинг-ссылки размещаются на доменах, логично связанных с отправителем, а не на сторонних сокращателях. Это не отдельный этап «проверки на фишинг», а часть стандартной настройки любой адресной кампании.

Такой подход одновременно решает две задачи: снижает вероятность попадания в спам по техническим причинам и повышает доверие живого получателя, который видит письмо от конкретного человека с понятного домена, а не анонимную рассылку с признаками подделки.

Дополнительно команда, ведущая кампании, регулярно проверяет обратную связь от получателей — жалобы, вопросы о легитимности письма, отписки с формулировкой «не понимаю, кто вы» — как отдельный сигнал для доработки текста или технических настроек, а не как разовую неприятность. Такая обратная связь часто точнее любого чек-листа указывает, какой именно элемент письма создаёт подозрение у конкретной аудитории.

Вопросы и ответы

Может ли настроенный DKIM гарантировать, что письмо не попадёт в спам?

Нет, это необходимое, но не достаточное условие. DKIM подтверждает, что письмо действительно отправлено с заявленного домена и не изменено в пути, но спам-фильтры дальше оценивают ещё репутацию отправителя, содержание и поведенческие сигналы получателей.

Стоит ли вообще использовать ссылки в холодном B2B-письме?

Можно, если ссылка ведёт на понятный домен, логично связанный с отправителем (например, страница компании, а не сокращённая ссылка через сторонний сервис), и не является единственной целью письма. В первом письме цепочки часто лучше вообще обойтись без ссылок.

Как получатель может проверить, что письмо не фишинг, если отправитель ему незнаком?

Обычно проверяют домен отправителя (совпадает ли с реальным сайтом упомянутой компании), наличие конкретных деталей вместо общих фраз, отсутствие давления и срочности, и то, ведут ли ссылки на ожидаемый домен. Все эти сигналы совпадают с чек-листом, по которому стоит проверять письмо перед отправкой.

Что делать, если получатели всё равно жалуются на письмо как на подозрительное?

Проверить техническую аутентификацию домена (SPF/DKIM/DMARC), пересмотреть формулировки на предмет срочности и давления, и убедиться, что имя отправителя и домен email логично связаны между собой. Часто проблема в одном конкретном сигнале, который легко устранить точечно.

Влияет ли количество ссылок в письме на восприятие как спама или фишинга?

Да, много ссылок в одном письме — дополнительный красный флаг и для получателя, и для спам-фильтров. В холодном письме обычно достаточно одной ссылки максимум, а часто её вообще не нужно на первом касании.

Важно: это не массовая рассылка и не спам. Мы работаем адресно: каждое сообщение отправляется конкретному представителю конкретной компании (юридического лица) по деловому поводу, небольшими дневными объёмами и с персонализацией под получателя. Соблюдаем требования ФЗ-38 «О рекламе» и ФЗ-152 «О персональных данных»: в каждом письме указан отправитель и работает отказ от коммуникации в один клик; отписки и стоп-листы применяются ко всем последующим кампаниям без исключений. Компании, попросившие их не беспокоить, исключаются навсегда.

Хотите применить это в своём аутриче?

Расскажем, как это работает на вашем сегменте и продукте — до старта работ.

Обсудить задачу