Узнайте практические сигналы мошенничества в доменах email — возраст домена, кластеризация TLD, поведение disposable — с быстрыми проверками и дальнейшими шагами.
Начинайте с сортировки, а не с окончательного вердикта. Используйте сигналы домена, чтобы выбрать следующий шаг: пропустить, потребовать подтверждение email, добавить небольшую ступень проверки или удержать на ревью, когда несколько сигналов указывают на риск.
Потому что злоумышленники могут мгновенно менять часть до @, а с доменами приходится работать дольше: их регистрируют, настраивают и переключают партиями. Даже при смене доменов атакующие часто действуют всплесками, что порождает узнаваемые шаблоны.
Рассматривайте новый домен как входной сигнал риска, а не как правило блокировки. Новый домен может быть мошенническим, но это также может быть стартап, ребрендинг или локальный бизнес. Самое безопасное — добавить валидацию или ограничения вместо отказа в регистрации.
Это «новый для вашего продукта», а не новый в интернете. Часто более полезно смотреть на «первое появление» в вашей платформе: если домен раньше не встречался, а внезапно генерирует много регистраций — это сильный сигнал, даже если домен технически не очень молодой.
Внезапная концентрация регистраций с одного необычного TLD может сигнализировать о массовой регистрации и скриптовых попытках. Не баньте TLD по умолчанию: сравните долю по сравнению с вашей недавней базой и проверьте, падают ли показатели подтверждения и удержания для этой группы.
Часто это выглядит как короткие всплески с незнакомых доменов, высокая сменяемость (domаins появляются один раз и исчезают) и случайные имена почтовых ящиков. Самый надежный ответ — требовать подтверждение email перед выдачей ценностей (промо, триалы, кредиты), а не пытаться блокировать каждый новый домен.
MX-запись показывает, куда домен принимает почту, поэтому отсутствие или неудачные DNS/MX-проверки часто предсказывают отскоки и низкокачественные регистрации. Используйте это как мягкий сигнал — некоторые легитимные домены могут быть временно неверно настроены.
Не всегда. Некоторые домены принимают почту через A/AAAA без явных MX-записей, а некоторые настройки DNS могут вызывать таймауты в зависимости от точки запроса. Лучше считать неудачи поводом для дополнительной валидации, а не автоматическим отказом.
Адреса вида admin@ распространены и не обязательно плохи, но повышают риск в сочетании с другими факторами: очень новый домен, всплеск регистраций и т.д. Catch-all усложняет валидацию: многие случайные mailbox-имена будут выглядеть доставляемыми, поэтому массовые паттерны на одном catch-all- домене стоит оценивать осторожнее.
Соберите несколько сигналов в простой скор и сопоставьте его с действиями: allow, allow с фрикцией, или block/hold. Логируйте сами сигналы и результаты (успех подтверждения, отскоки, жалобы), чтобы на практике настраивать пороги и снижать ложные срабатывания.
Множество злоупотреблений при регистрации проявляются в части домена адреса электронной почты. Мошенники могут быстро менять имена пользователей, но домены сложнее массово сменить. Даже когда они переключаются на новые домены, часто делают это партиями — и именно такие паттерны вы можете заметить.
Сигнал домена — это любой признак, который можно получить из самого домена (и его DNS-настроек), чтобы оценить риск. Это подсказка, а не вердикт. Новосозданный домен, скопление редких доменных окончаний или совпадение с известным disposable-провайдером — всё это поднимает подозрение, но ни один из этих фактов по отдельности не доказывает мошенничество.
Самый безопасный способ использовать сигналы домена — это триаж. Применяйте их, чтобы решить, что делать дальше: принять регистрацию, добавить небольшую ступень проверки или провести углублённые проверки.
На практике сигналы домена помогают вам:
Цель проста: сокращать фейковые регистрации, не блокируя реальных людей. Это значит аккуратно настраивать пороги и сочетать доменные подсказки с контекстом: лимитами по скорости, репутацией IP, сигналами устройства и поведением на странице.
Большинство злоупотреблений при регистрации не случайны. Если посмотреть на домены в массовых регистрациях, повторяющиеся паттерны становятся заметны, особенно при волнах ботов. Эти сигналы редко являются «доказательством», но дают сильные ранние предупреждения.
Один частый паттерн — использование disposable-ящиков. Домены выглядят непривычно, появляются короткими всплесками (20 регистраций за 5 минут, затем тишина) и быстро сменяются. Атакующие используют их для одноразового доступа, злоупотребления купонами и ухода от проверок восстановления аккаунта.
Другой паттерн — похожие на бренд домены. Вы увидите небольшие перестановки букв, пропуски символов или добавленные слова. Такие домены применяют, чтобы обмануть саппорт, пройти allowlist или сделать фейковые аккаунты более правдоподобными.
Тактика ротации тоже встречается часто. Можно увидеть много уникальных поддоменов у одного родительского домена, множество похожих адресов, которые делят один домен, или недолговечные «кампейн-домены», которые появляются, используются и исчезают.
Полезно логировать метрики на уровне домена, а не только полных адресов: количество регистраций на домен, всплески в минуту и сколько регистраций делят один домен. Эти простые представления часто выявляют атаки раньше, чем просмотр аккаунт за аккаунтом.
Возраст домена может означать два разных понятия, и путаница между ними приводит к ошибкам.
Ново зарегистрированные домены часто встречаются в мошенничестве, потому что их дешево регистрировать, их легко ротировать, и системам репутации требуется время, чтобы их заметить. Атакующие могут зарегистрировать партию, использовать их день и перейти дальше. Но новые домены не всегда плохи. Стартапы, ребрендинги и локальные бизнесы регистрируют домены ежедневно.
Избегайте жестких блокировок. Используйте возраст как один из входов в риск-скор:
Поведение «первого появления» часто полезнее, чем сырой возраст регистрации. Если домен новый для вас и внезапно генерирует 50 регистраций за час, этот всплеск важнее, чем разница между 12 и 40 днями.
Чтобы не наказывать легитимные новые компании, отделяйте «неизвестно» от «плохо». Позвольте им продолжить с мерами предосторожности: подтвердите email, ограничьте повторные попытки по скорости и отложите рискованные действия до верификации.
Пример: новая консалтинговая фирма зарегистрировала домен на этой неделе, зарегистрировалась один раз с обычного IP и подтвердила. Сравните это с новым доменом, который пытается сотни регистраций с похожими именами и без подтверждений. Один и тот же возраст — совершенно разный риск.
Кластеризация TLD — это когда значительная доля новых регистраций внезапно приходится на один топ‑левел домен (например, .xyz, .top или другое редкое окончание). Это не доказательство злоупотребления, но явное раннее предупреждение: реальные пользователи обычно приходят с смешением провайдеров и окончаний.
Атакующие часто выбирают TLD, которые дешевы, легко регистрируются пакетом или слабо модерируются. Это упрощает быструю смену доменов.
Кластеризация также может быть нормальной: региональный запуск может дать всплеск доменов с кодом страны. Локальная кампания может ненадолго исказить распределение.
Чтобы оценивать ситуацию без тотальных запретов, смотрите на концентрацию и контекст:
Как правило, работает многоуровневый подход: обычно пропускайте, добавляйте верификацию во время всплесков и ограничивайте скорость только когда несколько сигналов сходятся.
Поведение disposable часто проявляется скоростью и объёмом. Вы видите много регистраций за короткий интервал, часто с доменов, которых вы никогда не видели, и с именами ящиков, которые выглядят случайными (короткие строки букв и цифр). Цель проста: создать аккаунт, забрать выгоду и исчезнуть.
Большой индикатор — сменяемость доменов. Провайдеры disposable ротируют домены, чтобы обходить фильтры и поддерживать доставляемость. Когда один домен блокируют, трафик переходит на свежий «сестринский» домен, новый TLD или похожее написание. Поэтому «мы заблокировали этот домен в прошлом месяце» редко решает проблему окончательно.
Не все «неперсональные» почтовые сервисы одинаковы. Относитесь к категориям по-разному:
Правило практичное: не наказывайте приватность по умолчанию. Если вы блокируете всё кроме Gmail или Outlook, вы потеряете хороших пользователей. Сочетайте доменные подсказки с поведением (лимиты скорости, сигналы устройства, неудачные платежи) и эскалируйте только когда несколько сигналов сходятся.
Блоклисты помогают, но только если они актуальны. Disposable-домены меняются быстро, статические списки устаревают.
MX-записи — это часть DNS, которая указывает, куда домен принимает почту. Когда вы посылаете письмо на [email protected], отправитель смотрит MX-записи, чтобы найти почтовый сервер.
Для предотвращения злоупотреблений это полезная проверка реальности. Многие низкоусердные попытки регистрации используют домены, которые на вид выглядят реальными, но не имеют рабочей почтовой настройки. Отсутствие MX-записи, NXDOMAIN (домен не существует) или частые DNS-таймауты обычно указывают на низкокачественные адреса, которые отскочат.
Рассматривайте результаты MX и DNS как мягкие сигналы, а не автоматические блокировки. У легитимных пользователей тоже бывают временные сбои:
Дружественный пользователю способ применять проверки — через скоринг:
Пример: вы видите 200 регистраций за 10 минут с десятков случайных доменов, и у половины нет MX или DNS падает. Вместо тотальной блокировки замедлите эти регистрации, требуйте верификации перед активацией и логируйте домены для расследования.
Некоторые полезные подсказки живут частично в части ящика (слева от @), но становятся значимее в сочетании с доменом.
Role-based ящики вроде admin@, support@, sales@ или info@ не обязательно плохи. Они обычны для малого бизнеса и команд. Они становятся рискованнее в сочетании с другими паттернами: очень новый домен, подозрительная кластеризация TLD или много регистраций с одного диапазона IP.
Catch-all домены (когда любой mailbox принимает почту) усложняют валидацию. Они могут сделать многие адреса доставляемыми, даже если пользователи вводят случайные имена. Если вы видите большой объём уникальных имён ящиков на одном catch-all домене, оцените такие регистрации более осторожно.
Трюки с ящиками, такие как plus-addressing ([email protected]) и варианты с точками ([email protected]), часто принадлежат реальным пользователям, организующим почту. Не относитесь к ним как к disposable по умолчанию.
Несколько напоминаний, которые помогают сохранять баланс:
Главная ошибка — принимать сигнал домена как вердикт. Доменные подсказки полезны, но шумны. Новый домен, необычный TLD или незнакомый провайдер могут быть полностью легитимными.
Часто встречается переусердствование с блокировками. Команды видят всплеск от свежих доменов и блокируют их всех, потом в саппорте рождается шквал обращений. Малые бизнесы запускают новые домены при ребрендинге или при подключении кастомной почты. Если вы блокируете агрессивно, вы наказываете тех пользователей, которых хотите привлечь.
Ещё одна ошибка — опираться на один сигнал в изоляции, например «новый домен = мошенничество» или «бесплатная почта = низкое качество». Лучше — простой риск-скор, объединяющий несколько входов.
Жёсткие баны целых TLD — это упрощение, которое обычно возвращается бумерангом. Абьюзеры действительно группируются в некоторых TLD, но там живут и реальные клиенты. Результат — ложные срабатывания и масса ручной проверки.
Полезно отделять «риск» от «действия»:
Наконец, не пропускайте обратные связи. Если вы не связываете паттерны с исходами (чарджбеки, жалобы на спам, отскоки и дальнейший абьюз), ваши правила не будут улучшаться.
Рассматривайте доменные подсказки как входы и принимайте последовательное решение. Простая скор-карта зачастую достаточна.
Сделайте быструю проверку для каждой регистрации: возраст домена (регистрация и первое появление), совпадения с disposable, статус MX, базовая валидация (синтаксис и домен) и внезапная концентрация TLD.
Суммируйте очки и выберите одно из трёх действий: разрешить, разрешить с фрикцией или заблокировать. Держите пороги простыми, чтобы команда действительно пользовалась ими.
Для среднего риска применяйте фрикции, которые замедляют ботов, но редко мешают реальным людям. Подтверждение email перед активацией обычно даёт наибольшую ценность. Можно также добавить лимиты по IP/устройству, показывать CAPTCHA только при подозрительных паттернах или задерживать выдачу преимуществ (триалы, кредиты, приглашения) до доказательства достижимости почты.
Что бы вы ни решили — логируйте это: скор, сигналы и принятое действие. Эта запись упростит настройку позже и поможет саппорту объяснить, почему легитимного пользователя проверили.
Вы запускаете уикенд‑промо, и регистрации выросли в 4 раза за ночь. С виду — успех, но при более детальном просмотре видно странность: большая доля аккаунтов использует email с одного TLD, и многие домены совсем новые.
Первое, что нужно сделать — отделить «странно, но возможно» от «вероятный абьюз». Новые домены не автоматически плохи, но кластеры (тот же TLD, похожие имена, случайные строки в mailbox) часто указывают на скриптовые регистрации.
Обычно видно:
Самый безопасный ответ — сначала фрикция, потом блок. Потребуйте подтверждение email перед выдачей промо, добавьте кулдаун после повторных попыток и отправляйте самые рискованные регистрации на ревью. Если те же паттерны продолжаются часами, эскалируйте до временных блокировок для худших сочетаний сигналов.
Чтобы измерять эффект, следите за двумя показателями в следующие 24–72 часа: оценочный уровень фейковых регистраций (аккаунты, которые никогда не подтвердили, отскочили или были заблокированы) и обращения в саппорт (пользователи, которые жалуются, что не могут зарегистрироваться или не получили промо). Если фейковые регистрации упали существенно при минимальном росте обращений — фрикция настроена правильно.
Простая рутина помогает ловить доменно‑обусловленный абьюз рано, без поспешных изменений правил, которые блокируют реальных пользователей.
Когда видите всплеск, быстро просканируйте:
Для постоянного мониторинга фокусируйтесь на изменениях, а не на абсолютных числах: топ‑TLD с движением день к дню, топ «первых появлений» доменов, попадания в disposable и уровень отскоков по домену/TLD (если у вас есть эти данные).
Прежде чем ужесточать правила, вручную отберите 10–20 регистраций из всплеска. Посмотрите шаблоны доменов, согласованность IP, и похожи ли профили на реальные (имена, время заполнения, повторяющиеся username).
Быстро откатывайте правило, если оно слишком жёсткое. Признаки проблем: всплеск тикетов в поддержку, падение конверсии в одной стране/канале или блокировки известных клиентов и легитимных бизнес-доменов.
Начните с малого и делайте всё измеримо. Цель не в том, чтобы блокировать «странные» домены, а в том, чтобы использовать доменные сигналы, чтобы определить, когда нужна дополнительная проверка, что за реальный человек регистрируется.
Во‑первых, добавьте лёгкое логирование в поток регистрации. Фиксируйте домен, TLD, bucket по возрасту домена (если есть), совпадение с disposable и статус MX. Привяжите эти поля к исходам: успех подтверждения email, уровень отскоков, возвраты платежей и отчёты об абьюзе.
Далее — валидируйте email на этапе ввода, чтобы очевидно невалидные адреса и известные disposable-провайдеры не засоряли систему. Если нужен готовый вариант, Verimail (verimail.co) предоставляет API для валидации email: проверяет синтаксис, домен и MX‑записи и сверяется с большими списками disposable‑провайдеров.
Когда превращаете сигналы в действия, предпочитайте пошаговые фрикции вместо жёстких блокировок. Держите принудительные меры простыми, тестируйте на небольшой части трафика и следите за несколькими честными метриками: уровень подтверждения, уровень отскоков, обращения в поддержку и внутренний показатель фейковых регистраций. Если конверсия хороших пользователей падает — ослабьте меры и оставьте логирование, чтобы следующий шаг основывался на результатах, а не на догадках.
