Почему холодное письмо путают с фишингом и как убрать эти сигналы
Письмо от незнакомого отправителя с ссылкой и просьбой ответить — формально это описание и легитимного холодного письма, и классического фишинга, и разница между ними для получателя и для спам-фильтра не всегда очевидна. Если адресный B2B-аутрич случайно повторяет технические и текстовые паттерны фишинговых писем, доверие к нему падает независимо от реальных намерений отправителя.
- Несовпадение имени отправителя и домена email-адреса — один из самых сильных сигналов фишинга для получателя и фильтров
- Ссылки с доменом, отличным от домена отправителя, автоматически повышают подозрительность письма
- Срочность и давление («ответьте сегодня», «предложение истекает через час») — классический приём фишинга, который вредит и легитимному аутричу
- Несоответствие SPF/DKIM/DMARC домену отправителя технически сближает письмо с подделкой
- Чистка письма от этих сигналов не снижает эффективность аутрича — наоборот, повышает доверие и открываемость
Почему холодное письмо и фишинг выглядят похоже на старте
И холодное письмо, и фишинговое письмо объединяет одна структурная черта: получатель не ожидал письма и не знает отправителя лично. Дальше решает не сам факт незнакомства, а набор дополнительных сигналов — насколько письмо технически и текстово похоже на легитимную деловую переписку или, наоборот, на попытку обмана.
Спам-фильтры обучены именно на этих сигналах, а не на факте «знаком ли получатель с отправителем» — это невозможно проверить автоматически. Поэтому задача составителя холодного письма — убрать из него всё, что технически или по формулировкам совпадает с паттернами фишинга, оставив только то, что делает письмо похожим на обычную деловую инициативу.
Получатель проходит похожую, но менее формализованную проверку интуитивно: за доли секунды он оценивает, выглядит ли письмо как обычная деловая переписка или как что-то подозрительное, и это решение принимается на уровне общего впечатления, а не осознанного анализа каждого элемента. Поэтому мелкие несоответствия — странное форматирование, нетипичная структура подписи, избыточная настойчивость — считываются как тревожный сигнал ещё до того, как получатель успевает сформулировать, что именно его смутило.
Технические сигналы: несовпадение имени, адреса и доменов
Первый и самый заметный сигнал — расхождение между отображаемым именем отправителя и реальным email-адресом. Если в поле «От кого» стоит «Служба поддержки Банка», а адрес — noreply@random-domain.ru, это классический паттерн фишинга, и получатель или фильтр читает это мгновенно, даже не открывая письмо.
В холодном B2B-аутриче эта ошибка встречается в мягкой форме: имя отправителя указано как «Отдел продаж», а не реальное имя человека, при этом email-домен не совпадает с доменом компании, о которой идёт речь в письме. Решение простое — реальное имя конкретного человека в поле «От кого» и адрес на домене той компании, от лица которой идёт коммуникация.
Второй технический сигнал — ссылки в письме, ведущие на домен, отличный от домена отправителя, особенно если это сокращённые ссылки (bit.ly и аналоги) без явного указания, куда они ведут. Фишинг маскирует реальный адрес назначения именно так, и спам-фильтры, и внимательные получатели реагируют на это настороженно.
Третий сигнал, менее заметный, но тоже считываемый фильтрами — использование адреса отправки, который явно не предназначен для ответа (noreply@, do-not-reply@ и подобные). Такие адреса типичны для автоматических системных уведомлений, но не для деловой инициативы от живого человека, и их использование в холодном письме противоречит самой цели кампании — получить ответ, а заодно добавляет ещё один штрих к общему ощущению неаутентичности отправителя.
SPF, DKIM, DMARC: техническая аутентификация отправителя
Помимо визуальных сигналов, есть технический уровень: спам-фильтры проверяют, авторизован ли конкретный сервер отправлять почту от имени указанного домена (SPF), подписано ли письмо криптографически доменом отправителя (DKIM), и что делать, если проверки не прошли (DMARC-политика). Фишинговые письма часто подделывают домен отправителя (spoofing) именно потому, что раньше это было легко сделать без DMARC.
Если у домена, с которого идёт холодная рассылка, не настроены SPF и DKIM, письмо технически неотличимо от спуфинга для многих современных почтовых систем — оно может пройти, но с пониженным доверием, или сразу попасть в спам независимо от содержания. Это одна из причин, почему техническая настройка домена важнее любых текстовых ухищрений.
DMARC добавляет ещё один уровень: политика домена сообщает принимающему серверу, что делать, если проверки SPF и DKIM не прошли — игнорировать, помечать как подозрительное или отклонять полностью. Домен без DMARC оставляет решение целиком на усмотрение принимающей стороны, что менее предсказуемо и менее выгодно для легитимного отправителя, заинтересованного в стабильной доставляемости.
Текстовые сигналы: срочность, давление, эмоциональные триггеры
Фишинг эксплуатирует эмоции — страх («ваш аккаунт будет заблокирован»), срочность («ответьте в течение часа»), выгоду («вы выиграли»). Эти же приёмы иногда случайно проникают в холодные продающие письма через формулировки вроде «предложение действует только сегодня» или «ответьте срочно, чтобы не упустить возможность» — и получатель реагирует на них тем же настороженным паттерном, что и на явный фишинг.
Для адресного B2B-аутрича давление и искусственная срочность не только повторяют сигналы обмана, но и противоречат самой логике деловой коммуникации между юрлицами: решения о закупке или сотрудничестве не принимаются под давлением за час, и попытка создать такое давление сама по себе выглядит нерелевантно для делового контекста получателя.
Похожий эффект даёт избыточная персонализация не по делу — например, упоминание личных данных получателя, которые не относятся напрямую к деловому контексту письма (личные интересы, найденные в соцсетях, семейное положение). Фишинг часто использует такие детали, чтобы создать ложное ощущение близкого знакомства, и легитимное деловое письмо, копирующее этот приём, рискует вызвать ту же настороженность, а не доверие, на которое рассчитывал автор.
- Избегать формулировок «ответьте срочно», «предложение истекает сегодня», «только для вас»
- Не использовать искусственные дедлайны без реального обоснования
- Не давить на страх упустить возможность — B2B-решения требуют времени на оценку
- Не использовать капслок и избыточные восклицательные знаки в теме и теле письма
Чек-лист: как проверить письмо перед отправкой кампании
Перед запуском кампании полезно пройтись по письму глазами человека, который никогда не слышал о вашей компании, и спросить: похоже ли это на попытку обмана? Формальный чек-лист снижает субъективность такой проверки и позволяет выявить проблемы до того, как их найдёт спам-фильтр получателя.
- Имя отправителя — реальное имя человека, совпадающее по смыслу с доменом email
- Email-домен совпадает с доменом компании, от лица которой идёт письмо
- Все ссылки ведут на домен, который логично связан с отправителем, без сокращателей
- SPF, DKIM и DMARC настроены и проходят проверку для домена отправки
- В тексте нет искусственной срочности, угроз или эмоционального давления
- Подпись содержит реальные контакты — имя, должность, телефон или мессенджер
Как этот подход применяется в LDM
В LDM кампании изначально строятся с учётом этих сигналов: отправка идёт с реальных имён конкретных сотрудников на доменах с настроенными SPF/DKIM/DMARC, а трекинг-ссылки размещаются на доменах, логично связанных с отправителем, а не на сторонних сокращателях. Это не отдельный этап «проверки на фишинг», а часть стандартной настройки любой адресной кампании.
Такой подход одновременно решает две задачи: снижает вероятность попадания в спам по техническим причинам и повышает доверие живого получателя, который видит письмо от конкретного человека с понятного домена, а не анонимную рассылку с признаками подделки.
Дополнительно команда, ведущая кампании, регулярно проверяет обратную связь от получателей — жалобы, вопросы о легитимности письма, отписки с формулировкой «не понимаю, кто вы» — как отдельный сигнал для доработки текста или технических настроек, а не как разовую неприятность. Такая обратная связь часто точнее любого чек-листа указывает, какой именно элемент письма создаёт подозрение у конкретной аудитории.
Вопросы и ответы
Может ли настроенный DKIM гарантировать, что письмо не попадёт в спам?
Нет, это необходимое, но не достаточное условие. DKIM подтверждает, что письмо действительно отправлено с заявленного домена и не изменено в пути, но спам-фильтры дальше оценивают ещё репутацию отправителя, содержание и поведенческие сигналы получателей.
Стоит ли вообще использовать ссылки в холодном B2B-письме?
Можно, если ссылка ведёт на понятный домен, логично связанный с отправителем (например, страница компании, а не сокращённая ссылка через сторонний сервис), и не является единственной целью письма. В первом письме цепочки часто лучше вообще обойтись без ссылок.
Как получатель может проверить, что письмо не фишинг, если отправитель ему незнаком?
Обычно проверяют домен отправителя (совпадает ли с реальным сайтом упомянутой компании), наличие конкретных деталей вместо общих фраз, отсутствие давления и срочности, и то, ведут ли ссылки на ожидаемый домен. Все эти сигналы совпадают с чек-листом, по которому стоит проверять письмо перед отправкой.
Что делать, если получатели всё равно жалуются на письмо как на подозрительное?
Проверить техническую аутентификацию домена (SPF/DKIM/DMARC), пересмотреть формулировки на предмет срочности и давления, и убедиться, что имя отправителя и домен email логично связаны между собой. Часто проблема в одном конкретном сигнале, который легко устранить точечно.
Влияет ли количество ссылок в письме на восприятие как спама или фишинга?
Да, много ссылок в одном письме — дополнительный красный флаг и для получателя, и для спам-фильтров. В холодном письме обычно достаточно одной ссылки максимум, а часто её вообще не нужно на первом касании.
Хотите применить это в своём аутриче?
Расскажем, как это работает на вашем сегменте и продукте — до старта работ.
Обсудить задачу