Обнаружение одноразовой почты: больше, чем списки провайдеров

Почему списков провайдеров недостаточно

Статический список провайдеров одноразовой почты — хорошее начало, но он ломается в тот же момент, когда противник меняет тактику. Сервисы одноразовой почты быстро регистрируют новые домены, переключают домены при блокировке или одновременно используют множество похожих доменов. К моменту, когда домен попадёт в список, он может уже быть закрыт и заменён.

Это важно, потому что регистрации происходят в реальном времени. Если ваша единственная защита — список провайдеров, вы пропустите свежие одноразовые домены и примете аккаунты, которые изначально не предназначались оставаться.

Цена ошибки редко ограничивается «несколькими плохими email». Это обычно проявляется в виде фейковых аккаунтов, искажающих статистику, злоупотреблений пробными периодами и купонами, увеличении показателя отскока (что вредит доставляемости) и низкокачественных лидов, которые отнимают время у поддержки и продаж.

Цель не в том, чтобы любой ценой блокировать каждый рискованный адрес. Цель — снизить риск, не мешая легитимным пользователям. Реальные люди пользуются малоизвестными провайдерами. Новые домены тоже могут быть нормой: стартап только что запустился, личный домен или ребрендинг. Поэтому хорошая детекция одноразовой почты — это скорее про вероятность, чем про уверенность.

Подходите к задаче как к фильтрации спама: комбинируете сигналы и решаете, что делать дальше. Новый домен плюс случайный почтовый ящик вроде “freegift2026@…” — гораздо более весомый сигнал, чем просто новый домен.

Инструменты вроде Verimail помогают выходить за рамки простого списка провайдеров. Вместо одной жесткой проверки можно выполнить несколько проверок в одном API-вызове и принять решение при регистрации: разрешить, предупредить, потребовать верификацию или блокировать.

Что на практике считается одноразовой почтой

Одноразовый email — это адрес, созданный главным образом для кратковременного получения сообщений и затем заброшенный. Намерение обычно — обойти правила регистрации, получить купон, начать пробный период или избежать дальнейшего контакта. На практике «одноразовый» столько же про поведение, сколько про внешний вид адреса.

Три общих случая стоит различать:

• Временные почтовые сервисы: почтовый ящик создаётся мгновенно, часто без пароля, и может быстро истечь.
• Доменные throwaway-провайдеры: провайдер постоянно крутит новые домены, но пользовательский опыт остаётся одинаковым.
• Алиасы на обычных провайдерах: plus-адреса (name+tag@...) и алиасы часто легитимны и используются долго.

Полезно думать, где именно происходит «временность». Доменные сервисы легче обнаружить, потому что многие пользователи пользуются одними и теми же доменами. Сервисы на уровне ящика могут использовать домены, которые выглядят нормально, но временность происходит на уровне почтового ящика (например, уникальные идентификаторы инбоксов). Именно поэтому детекция одноразовой почты не может сводиться к одному списку доменов.

Ложно-положительные срабатывания — главный риск. Новый домен небольшой компании может выглядеть подозрительно: малая история, низкий объём почты, мало страниц в сети. Некоторые легитимные пользователи регистрируются с собственными доменами, купленными для побочного проекта. Блокировка таких адресов может стоить реальных клиентов.

Слойный подход находит баланс: блокировать очевидные одноразовые адреса и пропускать реальных пользователей. Вместо одной жёсткой правила комбинируйте сигналы (проверки DNS, шаблоны, репутация, скоринг риска) и добавляйте трение только когда общий риск высок. Инструменты вроде Verimail покрывают быстрые проверки (синтаксис, домен, MX и сопоставление с известными провайдерами одноразовой почты), а вы настраиваете пороги, подходящие вашему продукту.

Эвристики по шаблонам доменов, которые ловят новые throwaway-домены

Списки провайдеров полезны, но новые throwaway-домены появляются каждый день. Эвристики по шаблонам доменов помогают заметить подозрительные «формы», даже если конкретного домена нет в списке.

Многие одноразовые домены имеют типичные признаки. Их делают дешевыми в регистрации, легкими для массовой генерации и трудными для ручного обзора. Это часто даёт домены, которые выглядят случайно, перегруженно или странно построены.

Формы доменов, вызывающие подозрение (не автоматическая блокировка):

• Строки, похожие на случайные («xkq7p», «m9z2»)
• Слишком много цифр или дефисов вместе («mail-4821-fast»)
• Нетипичные TLD для вашей аудитории, особенно если регистрации в основном локальные
• Общие слова, склеенные вместе («free», «temp», «inbox», «mail», «now») в неуклюжих комбинациях
• Семейство похожих доменов с малыми вариациями (динамичная смена доменов)

Ещё один трюк — домены-имитаторы. Они подражают доверенным провайдерам или вашему бренду, чтобы пройти быстрые проверки. Следите за опечатками («gmial»), добавочными словами («gmail-support») или заменой похожих символов («outIook», где использована заглавная i). Один подозрительный домен — не доказательство, но повторяющиеся шаблоны — сильный сигнал.

Практический способ использовать эвристики — это начисление очков. Вместо блокировки по одному правилу, добавляйте баллы за каждый признак риска и выбирайте действие по сумме. Низкий счёт — пропустить. Средний — пропустить, но добавить трение (верификация email, ограничение скорости, CAPTCHA). Высокий — блокировать или требовать более сильную проверку (верификация телефона, ручная проверка).

Пример: «[email protected]» выглядит нормально. «[email protected]» может пройти по синтаксису и быть доставляемым, но форма домена говорит о низкой заинтересованности, поэтому его можно рассматривать как более рискованный без наказания реальных пользователей.

Новозарегистрированные домены как ранний сигнал

Многие throwaway-провайдеры целенаправленно крутят домены. Когда один домен блокируют, они регистрируют новый, копируют тот же интерфейс ящика и продолжают работу. Эта текучка — причина, по которой списки известных доменов отстают.

Возраст домена — полезный дополнительный сигнал. Новые домены не всегда плохи, но они чаще связаны с краткосрочными ящиками, мошенничеством или спамом. Разделение «зарегистрирован вчера» и «активен годами» ловит многие новые одноразовые домены до того, как они попадут в чьи-то списки.

Что проверки возраста домена могут (и не могут) сказать

Метаданные регистрации помогают, но их стоит рассматривать как подсказку, а не вердикт. Если у вас есть дата создания, регистратор и шаблоны серверов имён, вы можете оценить риск по тому, насколько домен «новый» и насколько его настройка похожа на одноразовую.

Ожидайте ограничений: данные WHOIS могут отсутствовать, быть скрыты приватностью или отличаться по TLD.

Простой подход — разнести домены по возрастным корзинам:

• 0–7 дней: высокий риск — добавьте трение (OTP, CAPTCHA, ручная проверка)
• 8–30 дней: средний риск — требуйте подтверждение email перед выдачей ценности
• 30+ дней: более низкий риск — больше полагайтесь на другие сигналы (MX, блок-листы, поведение)

Как не блокировать реальных пользователей с новыми доменами

Много легитимных адресов приходят с новых доменов: стартап только что вышел на рынок, личный домен, небольшой бизнес. Вместо жёсткой блокировки комбинируйте возраст домена с другими проверками: качество синтаксиса, проверка домена и MX, совпадение с известными disposable-провайдерами.

Например, если кто-то регистрируется с двухдневным доменом и ваши проверки показывают «существование почтового ящика не подтверждено» плюс шаблон, похожий на сгенерированные имена пользователей, ограничьте доступ к действиям с высоким риском (пробные периоды, массовые приглашения) до тех пор, пока адрес не подтвердят. Verimail может выполнить быстрые проверки на уровне API (синтаксис, домен, MX, сопоставление с disposable), а вы применяете политику, основанную на возрасте домена и поведении аккаунта.

DNS и MX-проверки: полезно, но не всё

DNS и MX-проверки отвечают на простой вопрос: может ли этот домен сейчас получать почту? Если домен отсутствует в DNS или у него нет почтовой настройки, вы не сможете доставить туда сообщение. Эти проверки — отличный первый фильтр для очевидных опечаток и фейковых доменов.

Что можно узнать из DNS:

• NXDOMAIN (домен не существует): сильный признак недействительности.
• Отсутствие MX-записей: часто означает недоставляемость, если только домен не принимает почту на A/AAAA.
• Отсутствие A/AAAA (и MX): обычно недоставляемо.
• Неправильная конфигурация DNS (сломанные записи, тайм-ауты): высокий риск и часто не стоит принимать при регистрации.
• Временные сбои DNS: не доказательство мошенничества, но повод запросить подтверждение.

Проблема в том, что многие одноразовые домены полностью доставляемы. Сервису одноразовой почты выгодно, чтобы инбокс работал, поэтому у него обычно корректные MX-записи и рабочий почтовый сервер. Поэтому DNS и MX-проверки сами по себе не равны детекции одноразовой почты.

Реалистичный пример: кто-то регистрируется с [email protected]. DNS быстро разрешается, MX есть, и всё выглядит доставляемым. Если на этом остановиться, вы примете регистрацию, даже если домен совпадает с disposable-шаблоном или появляется при множественных регистрациях за короткое время.

Рассматривайте DNS и MX как сигналы доставляемости, а затем добавляйте отдельные признаки риска для одноразового поведения: совпадение с блок-листами известных throwaway-доменов, эвристики по шаблонам доменов и другие индикаторы краткосрочного использования.

Verimail сочетает проверки, соответствующие RFC, проверку домена и MX, а также реальное сопоставление с большими списками disposable-провайдеров. Это помогает сокращать отказы и низкокачественные регистрации, не путая доставляемый домен с надёжным.

Мониторинг провайдеров одноразовой почты, которые быстро меняются

Сервисы одноразовой почты меняются быстрее, чем ваши правила. Провайдер может еженедельно менять домены, переключаться на новые поддомены или полностью ребрендиться после блокировок. Если вы полагаетесь только на статические списки, вы всегда будете опережать ситуацию с опозданием.

Самый надёжный ранний сигнал — ваш собственный трафик. Следите за доменами, которые появляются вместе со всплесками злоупотреблений: массовые регистрации, кража купонов, петли с рефералами, боты. Вам не нужна идеальная атрибуция — нужен короткий список доменов, которые внезапно появились и коррелируют с плохим поведением.

Простейшая система мониторинга включает:

• Отслеживание объёма регистраций по доменам (ежедневно и почасово)
• Флагирование резких всплесков от одного домена или плотного кластера похожих доменов
• Сравнение сигналов качества (успех верификации, уровень отскока, возвраты платежей, обращения в поддержку)
• Сохранение небольшой выборки адресов для ручного разбора (без хранения лишних персональных данных)
• Поддержание небольшого allowlist для партнёров и корпоративных доменов, которые не должны блокироваться

Когда вы находите подозрительную семью доменов, смотрите, как она меняется. Многие провайдеры быстрой смены доменов используют одни и те же шаблоны: случайные строки, короткоживущие поддомены, почти identical-имена, отличающиеся одним символом. Если блокировать только один домен, они вернутся завтра с близкой вариацией.

Лёгкий цикл обзора

Еженедельного (или дважды в неделю) обзора обычно хватает. Исследуйте всплески, корректируйте правила и измеряйте результаты. Делайте это практично: снизилось ли число плохих регистраций, и не блокируете ли вы реальных пользователей? Если число ложно-положительных растёт, сузьте правило, чтобы оно срабатывало только при согласии нескольких сигналов (например, новый домен плюс всплеск).

Сопоставление с блок-листами всё ещё полезно, особенно если проверка идёт по тысячам известных disposable-провайдеров, но рассматривайте это как один слой. API валидации email, как Verimail, может комбинировать совпадение с блок-листом, DNS и MX-проверки, а ваш мониторинг поймает новые домены, ещё не попавшие ни в один список.

Пошагово: многоуровневая логика детекции при регистрации

Хорошая проверка при регистрации не пытается «доказать», что email идеален. Она снижает риск шаг за шагом, чтобы быстро остановить очевидный мусор и применять более тяжёлые проверки там, где это нужно.

Практичный 5-ступенчатый поток

Начинайте с дешёвых проверок и двигайтесь к более тяжёлым:

1. Нормализуйте ввод: обрежьте пробелы, удалите невидимые символы, сделайте доменную часть строчными буквами. Локальную часть оставляйте как есть, если у вас нет строгого правила.
2. Выполните строгую синтаксическую проверку и поймайте простые опечатки. Отклоняйте явные ошибки вроде отсутствия @, двойных точек или распространённых доменных опечаток, которые никогда не доставят почту.
3. Проверьте, что домен существует и может принимать почту. DNS-запрос и проверка MX отфильтруют многие «мертвые» домены, но помните, что у throwaway-сервисов часто корректные MX.
4. Оцените риск одноразовости вместо простого да/нет. Комбинируйте известные одноразовые домены с эвристиками по шаблонам (случайные строки, подозрительные TLD, имитаторы брендов) и сигналами вроде недавно зарегистрированного домена.
5. Выберите результат, соответствующий риску. Большинству команд нужно больше, чем просто «разрешить» и «заблокировать».

После шага 4 трактуйте результат как светофор. Очень новый домен с рандомным именем и историей одноразового поведения не должен получать такое же обращение, как обычный почтовый провайдер.

Принимайте решения так, чтобы не навредить реальным пользователям

Действия должны быть простыми, чтобы их могли объяснить служба поддержки и продуктовая команда:

• Allow: низкий риск, продолжить регистрацию.
• Block: высокий риск, показать понятное сообщение и предложить использовать другой адрес.
• Allow with friction: средний риск, потребовать подтверждение email (или другую лёгкую проверку) перед выдачей пробного доступа или кредитов.

Если вы используете API валидации email вроде Verimail, вы можете выполнить все проверки в одном вызове и хранить собственную политику о том, что считать «блоком» и что — «верификацией», исходя из вашей толерантности к мошенничеству и целей UX.

Пример: остановка злоупотреблений пробными периодами без блокировки реальных пользователей

SaaS-продукт даёт 14-дневный триал. Однажды утром команда видит всплеск: 2000 новых аккаунтов за час, но почти никто не доходит до «создать первый проект». Поддержка получает сообщения о том, что приветственные письма отскакивают.

При ближайшем рассмотрении паттерн очевиден. Многие регистрации используют случайные домены, которые меняются каждые несколько минут (короткие строки с дефисами и цифрами). Имена пользователей выглядят сгенерированными. Логи показывают повторяющиеся IP-диапазоны и одинаковые отпечатки устройств, создающие десятки аккаунтов.

Многоуровневая детекция одноразовой почты помогает здесь, потому что ни одна проверка не ловит всё.

Начните со строгих синтаксических проверок, чтобы убрать явный мусор. Добавьте DNS и MX-проверки, чтобы отфильтровать домены, которые вообще не принимают почту. Затем оцените риск одноразовости с помощью известных throwaway-доменов и эвристик по шаблонам, которые отмечают имена, «сделанные для регистраций». Наконец, добавьте возраст домена как раннее предупреждение. Если домен зарегистрирован вчера и уже появляется в сотнях регистраций, это почти никогда не хорошая ситуация.

Практическая модель принятия решений может выглядеть так:

• High risk: блок регистрации (очевидные disposable-сигналы, очень новый домен, автоматизация).
• Medium risk: разрешить создание аккаунта, но потребовать вызов (подтверждение email перед доступом к триалу, лимиты или CAPTCHA).
• Low risk: обычное разрешение.
• Unknown but suspicious: разрешить, но мониторить (следить за активностью и отскоками для этого домена).

API валидации email вроде Verimail может быстро дать синтаксис, статус домена, MX и disposable-проверки для этого потока, а ваше приложение добавляет сигналы по IP и устройствам, чтобы не блокировать реальных пользователей.

Частые ошибки и ловушки

Команды застревают, когда рассматривают детекцию одноразовой почты как одно бинарное правило. Реальные регистрации разнообразны, а провайдеры одноразовой почты адаптируются. Если поставить всё на одну проверку, вы либо пропустите злоупотребления, либо начнёте блокировать добросовестных пользователей.

Самая частая ловушка — опираться только на одну проверку, например список одноразовых доменов или только MX-проверку. Списки устаревают, а MX может выглядеть валидным у disposable-сервисов. Комбинируйте сигналы и скорьте риск вместо того, чтобы делать каждое решение бинарным.

Ещё одна ошибка — блокировать все недавно зарегистрированные домены. Это кажется безопасным, пока вы не отклоните реальный стартап, который запустился неделю назад. Обращайтесь с новыми доменами как с более рискованными, но просите дополнительные доказательства только когда другие сигналы тоже вызывают вопросы.

Не называйте обычные функции почты одноразовыми. Plus-адреса и алиасы в Gmail и корпоративных почтовых системах часто указывают на внимательного пользователя, а не на фейкового.

Команды портят результаты, жёстко блокируя сомнительные случаи вместо мягких шагов (верификация, CAPTCHA, отложенные рискованные действия), задавая правила без тестирования на реальных регистрациях, игнорируя региональные и нишевые провайдеры, считая каждый бесплатный ящик низкокачественным и не проверяя ложные срабатывания, чтобы правила не улучшались.

Если вы не измеряете результаты, вы действуете наугад. Отслеживайте уровень отскока, жалоб, конверсию триал→оплата и частоту блокировок. Небольшое снижение злоупотреблений не стоит серьёзного падения регистраций.

Быстрая чек-лист для лучшей детекции одноразовой почты

Хорошая детекция одноразовой почты — не про одно магическое правило, а про сложение мелких, но работающих вместе сигналов. Если вы блокируете только известные домены, вы пропустите новые, которые появляются каждый день.

Проверьте вашу защиту по короткому чек-листу:

• Комбинируйте сигналы доставляемости (синтаксис, домен, MX) с сигналами риска одноразовости (интеллект по провайдерам, шаблоны, репутация). Любой из них отдельно оставляет дыры.
• Предпочитайте скор риска вместо простого allow/deny. Низкий риск: принять. Средний риск: принять, но ограничить триал. Высокий риск: потребовать верификацию или другой шаг.
• Следите за всплесками новых доменов. Всплеск регистраций с «рандомными» доменами за короткое время часто информативнее любого отдельного адреса.
• Периодически проверяйте ложные срабатывания. Используйте небольшую выборку заблокированных регистраций, обращений в поддержку и успешных верификаций, чтобы подгонять правила, не наказывая легитимных пользователей.
• Стандартизируйте проверки во всех продуктах и командах. API-валидатор помогает синхронизировать веб, мобильные приложение и внутренние инструменты.

Если кто-то регистрируется с новым доменом, который совпадает с распространённым disposable-шаблоном (много цифр, странный TLD, короткий срок жизни), не ставьте по умолчанию хард-блок. Повышайте счёт риска и требуйте подтверждение email перед выдачей бесплатного триала.

Если хотите одно место для применения всех этих слоёв, сервис вроде Verimail может объединить проверки, соответствующие RFC, проверку домена и MX, и сопоставление с disposable-провайдерами в одном быстром вызове, после чего ваше приложение принимает финальное решение на основе результатов.

Следующие шаги: внедрить это через ясные правила и инструменты

Детекция одноразовой почты работает только если она применяется везде, где пользователь вводит email. Пройдитесь по точкам входа: регистрация, приглашения, формы подписки, пробные версии, оформление заказа. Многие команды блокируют при регистрации, но забывают про приглашения или «добавить пользователя», и там тихо возникает лазейка.

Опишите три простых результата и держите их понятными: allow, block и challenge. «Challenge» — это подтверждение email перед активацией, CAPTCHA или задержка доступа к триалу до подтверждения адреса. Документируйте правила простым языком, чтобы поддержка могла объяснить пользователю, что произошло и как восстановить доступ.

Внедряйте изменения без сюрпризов. Начните в режиме мониторинга (логируйте решения, не блокируйте), чтобы увидеть ложные срабатывания по странам, доменам компаний или конкретным потокам. Затем применяйте только самые уверенные блоки: очевидные disposable-домены, сильные совпадения по шаблонам, повторные попытки с одного устройства.

Лёгкий способ превратить политику в рабочий процесс для команды:

• Решите, в каких местах применять (регистрация, приглашения, чек-аут) и соблюдайте консистентность.
• Опишите правила allow, block и challenge с 2–3 примерами для каждой.
• Добавьте логирование: домен email, правило, поток и финальное решение.
• Мониторьте неделю, затем включайте принудительные блокировки для высококонфиденциальных случаев.
• Пересматривайте еженедельно и корректируйте правила по обращениям в поддержку и показателям конверсии.

Если вы хотите переложить технические проверки на сторонний сервис, Verimail (verimail.co) может выполнять проверки, соответствующие RFC, проверять домены, выполнять поиск MX и сопоставление с disposable-провайдерами в одном вызове. Для небольших тестов бесплатный тариф на 100 валидаций в месяц (без привязки карты) обычно достаточен, чтобы проверить поток в режиме мониторинга против режима принудительного применения и настроить правила перед повсеместным развёртыванием.