Сигналы мошенничества при регистрации, связанные с доменами email

Что действительно говорят сигналы на уровне домена

Множество злоупотреблений при регистрации проявляются в части домена адреса электронной почты. Мошенники могут быстро менять имена пользователей, но домены сложнее массово сменить. Даже когда они переключаются на новые домены, часто делают это партиями — и именно такие паттерны вы можете заметить.

Сигнал домена — это любой признак, который можно получить из самого домена (и его DNS-настроек), чтобы оценить риск. Это подсказка, а не вердикт. Новосозданный домен, скопление редких доменных окончаний или совпадение с известным disposable-провайдером — всё это поднимает подозрение, но ни один из этих фактов по отдельности не доказывает мошенничество.

Самый безопасный способ использовать сигналы домена — это триаж. Применяйте их, чтобы решить, что делать дальше: принять регистрацию, добавить небольшую ступень проверки или провести углублённые проверки.

На практике сигналы домена помогают вам:

• Замечать резкие изменения качества трафика (например, всплеск одноразовых доменов)
• Решать, какие регистрации требуют более строгой валидации
• Не допускать попадания отскоков и плохих данных в CRM и рассылки
• Защищать репутацию отправителя, фильтруя рискованные адреса раньше

Цель проста: сокращать фейковые регистрации, не блокируя реальных людей. Это значит аккуратно настраивать пороги и сочетать доменные подсказки с контекстом: лимитами по скорости, репутацией IP, сигналами устройства и поведением на странице.

Частые паттерны доменов при злоупотреблениях

Большинство злоупотреблений при регистрации не случайны. Если посмотреть на домены в массовых регистрациях, повторяющиеся паттерны становятся заметны, особенно при волнах ботов. Эти сигналы редко являются «доказательством», но дают сильные ранние предупреждения.

Один частый паттерн — использование disposable-ящиков. Домены выглядят непривычно, появляются короткими всплесками (20 регистраций за 5 минут, затем тишина) и быстро сменяются. Атакующие используют их для одноразового доступа, злоупотребления купонами и ухода от проверок восстановления аккаунта.

Другой паттерн — похожие на бренд домены. Вы увидите небольшие перестановки букв, пропуски символов или добавленные слова. Такие домены применяют, чтобы обмануть саппорт, пройти allowlist или сделать фейковые аккаунты более правдоподобными.

Тактика ротации тоже встречается часто. Можно увидеть много уникальных поддоменов у одного родительского домена, множество похожих адресов, которые делят один домен, или недолговечные «кампейн-домены», которые появляются, используются и исчезают.

Полезно логировать метрики на уровне домена, а не только полных адресов: количество регистраций на домен, всплески в минуту и сколько регистраций делят один домен. Эти простые представления часто выявляют атаки раньше, чем просмотр аккаунт за аккаунтом.

Возраст домена: почему новые домены — сигнал риска

Возраст домена может означать два разных понятия, и путаница между ними приводит к ошибкам.

• Возраст регистрации: как долго домен существует публично.
• Первое появление: когда ваш продукт впервые увидел этот домен.

Ново зарегистрированные домены часто встречаются в мошенничестве, потому что их дешево регистрировать, их легко ротировать, и системам репутации требуется время, чтобы их заметить. Атакующие могут зарегистрировать партию, использовать их день и перейти дальше. Но новые домены не всегда плохи. Стартапы, ребрендинги и локальные бизнесы регистрируют домены ежедневно.

Избегайте жестких блокировок. Используйте возраст как один из входов в риск-скор:

• Менее 7 дней: добавляйте фрикцию (доп. верификация), а не отказывайте
• 7–30 дней: наблюдайте за дополнительными сигналами перед действием
• Более 30 дней: возраст сам по себе редко объясняет злоупотребление

Поведение «первого появления» часто полезнее, чем сырой возраст регистрации. Если домен новый для вас и внезапно генерирует 50 регистраций за час, этот всплеск важнее, чем разница между 12 и 40 днями.

Чтобы не наказывать легитимные новые компании, отделяйте «неизвестно» от «плохо». Позвольте им продолжить с мерами предосторожности: подтвердите email, ограничьте повторные попытки по скорости и отложите рискованные действия до верификации.

Пример: новая консалтинговая фирма зарегистрировала домен на этой неделе, зарегистрировалась один раз с обычного IP и подтвердила. Сравните это с новым доменом, который пытается сотни регистраций с похожими именами и без подтверждений. Один и тот же возраст — совершенно разный риск.

Кластеризация TLD: как заметить подозрительную концентрацию

Кластеризация TLD — это когда значительная доля новых регистраций внезапно приходится на один топ‑левел домен (например, .xyz, .top или другое редкое окончание). Это не доказательство злоупотребления, но явное раннее предупреждение: реальные пользователи обычно приходят с смешением провайдеров и окончаний.

Атакующие часто выбирают TLD, которые дешевы, легко регистрируются пакетом или слабо модерируются. Это упрощает быструю смену доменов.

Кластеризация также может быть нормальной: региональный запуск может дать всплеск доменов с кодом страны. Локальная кампания может ненадолго исказить распределение.

Чтобы оценивать ситуацию без тотальных запретов, смотрите на концентрацию и контекст:

• Сравните долю TLD сегодня с последними 7–30 днями
• Проверьте пересечение с доменами «новыми для вас»
• Посмотрите на показатели подтверждения и раннего удержания (подтверждают ли они email и возвращаются ли?)
• Отслеживайте уровень отскоков и жалоб по TLD после первых отправок

Как правило, работает многоуровневый подход: обычно пропускайте, добавляйте верификацию во время всплесков и ограничивайте скорость только когда несколько сигналов сходятся.

Поведение disposable: как оно проявляется в доменах

Поведение disposable часто проявляется скоростью и объёмом. Вы видите много регистраций за короткий интервал, часто с доменов, которых вы никогда не видели, и с именами ящиков, которые выглядят случайными (короткие строки букв и цифр). Цель проста: создать аккаунт, забрать выгоду и исчезнуть.

Большой индикатор — сменяемость доменов. Провайдеры disposable ротируют домены, чтобы обходить фильтры и поддерживать доставляемость. Когда один домен блокируют, трафик переходит на свежий «сестринский» домен, новый TLD или похожее написание. Поэтому «мы заблокировали этот домен в прошлом месяце» редко решает проблему окончательно.

Не все «неперсональные» почтовые сервисы одинаковы. Относитесь к категориям по-разному:

• Временные почтовые ящики: предназначены для быстрой экспирации, высокий риск злоупотреблений
• Форвардинг-сервисы: постоянный адрес с пересылкой на реальный почтовый ящик, часто легитимны
• Алиасы: контролируемые пользователем маскированные адреса (часто для приватности), обычно легитимны

Правило практичное: не наказывайте приватность по умолчанию. Если вы блокируете всё кроме Gmail или Outlook, вы потеряете хороших пользователей. Сочетайте доменные подсказки с поведением (лимиты скорости, сигналы устройства, неудачные платежи) и эскалируйте только когда несколько сигналов сходятся.

Блоклисты помогают, но только если они актуальны. Disposable-домены меняются быстро, статические списки устаревают.

Подсказки MX и DNS: быстрые проверки здоровья домена

MX-записи — это часть DNS, которая указывает, куда домен принимает почту. Когда вы посылаете письмо на [email protected], отправитель смотрит MX-записи, чтобы найти почтовый сервер.

Для предотвращения злоупотреблений это полезная проверка реальности. Многие низкоусердные попытки регистрации используют домены, которые на вид выглядят реальными, но не имеют рабочей почтовой настройки. Отсутствие MX-записи, NXDOMAIN (домен не существует) или частые DNS-таймауты обычно указывают на низкокачественные адреса, которые отскочат.

Рассматривайте результаты MX и DNS как мягкие сигналы, а не автоматические блокировки. У легитимных пользователей тоже бывают временные сбои:

• Небольшой бизнес может быть в миграции (DNS ещё не обновлён)
• Некоторые домены принимают почту через A/AAAA без явных MX-записей
• Корпоративные DNS-настройки могут быть строгими и вызывать таймауты с некоторых сетей
• Новые проекты иногда ставят почту после запуска сайта

Дружественный пользователю способ применять проверки — через скоринг:

• Если домен не резолвится или явно сломан, требуйте более сильного доказательства (подтверждение email, CAPTCHA или лимиты)
• Если MX есть, но ведёт себя странно (таймауты, минимальная конфигурация), снижайте доверие, но разрешайте регистрацию
• Если MX выглядит здоровым, это небольшой положительный сигнал

Пример: вы видите 200 регистраций за 10 минут с десятков случайных доменов, и у половины нет MX или DNS падает. Вместо тотальной блокировки замедлите эти регистрации, требуйте верификации перед активацией и логируйте домены для расследования.

Другие сигналы, которые стоит отслеживать

Некоторые полезные подсказки живут частично в части ящика (слева от @), но становятся значимее в сочетании с доменом.

Role-based ящики вроде admin@, support@, sales@ или info@ не обязательно плохи. Они обычны для малого бизнеса и команд. Они становятся рискованнее в сочетании с другими паттернами: очень новый домен, подозрительная кластеризация TLD или много регистраций с одного диапазона IP.

Catch-all домены (когда любой mailbox принимает почту) усложняют валидацию. Они могут сделать многие адреса доставляемыми, даже если пользователи вводят случайные имена. Если вы видите большой объём уникальных имён ящиков на одном catch-all домене, оцените такие регистрации более осторожно.

Трюки с ящиками, такие как plus-addressing ([email protected]) и варианты с точками ([email protected]), часто принадлежат реальным пользователям, организующим почту. Не относитесь к ним как к disposable по умолчанию.

Несколько напоминаний, которые помогают сохранять баланс:

• Корректный синтаксис лишь означает правильный формат email
• Рабочий домен и MX всё ещё не гарантируют, что пользователь настоящий
• Catch-all может скрыть опечатки и фейковые имена ящиков
• Role-based адреса представляют больший риск только если другие сигналы подтверждают это

Частые ошибки команд при работе с доменными сигналами

Главная ошибка — принимать сигнал домена как вердикт. Доменные подсказки полезны, но шумны. Новый домен, необычный TLD или незнакомый провайдер могут быть полностью легитимными.

Часто встречается переусердствование с блокировками. Команды видят всплеск от свежих доменов и блокируют их всех, потом в саппорте рождается шквал обращений. Малые бизнесы запускают новые домены при ребрендинге или при подключении кастомной почты. Если вы блокируете агрессивно, вы наказываете тех пользователей, которых хотите привлечь.

Ещё одна ошибка — опираться на один сигнал в изоляции, например «новый домен = мошенничество» или «бесплатная почта = низкое качество». Лучше — простой риск-скор, объединяющий несколько входов.

Жёсткие баны целых TLD — это упрощение, которое обычно возвращается бумерангом. Абьюзеры действительно группируются в некоторых TLD, но там живут и реальные клиенты. Результат — ложные срабатывания и масса ручной проверки.

Полезно отделять «риск» от «действия»:

• Низкий риск: разрешать
• Средний риск: разрешать, но добавить фрикцию (верификация, CAPTCHA, лимиты)
• Высокий риск: блокировать или удерживать на ревью

Наконец, не пропускайте обратные связи. Если вы не связываете паттерны с исходами (чарджбеки, жалобы на спам, отскоки и дальнейший абьюз), ваши правила не будут улучшаться.

Пошагово: как превратить сигналы в решение об абьюзе

Рассматривайте доменные подсказки как входы и принимайте последовательное решение. Простая скор-карта зачастую достаточна.

Сделайте быструю проверку для каждой регистрации: возраст домена (регистрация и первое появление), совпадения с disposable, статус MX, базовая валидация (синтаксис и домен) и внезапная концентрация TLD.

Суммируйте очки и выберите одно из трёх действий: разрешить, разрешить с фрикцией или заблокировать. Держите пороги простыми, чтобы команда действительно пользовалась ими.

Для среднего риска применяйте фрикции, которые замедляют ботов, но редко мешают реальным людям. Подтверждение email перед активацией обычно даёт наибольшую ценность. Можно также добавить лимиты по IP/устройству, показывать CAPTCHA только при подозрительных паттернах или задерживать выдачу преимуществ (триалы, кредиты, приглашения) до доказательства достижимости почты.

Что бы вы ни решили — логируйте это: скор, сигналы и принятое действие. Эта запись упростит настройку позже и поможет саппорту объяснить, почему легитимного пользователя проверили.

Пример сценария: внезапный всплеск с одного TLD и новых доменов

Вы запускаете уикенд‑промо, и регистрации выросли в 4 раза за ночь. С виду — успех, но при более детальном просмотре видно странность: большая доля аккаунтов использует email с одного TLD, и многие домены совсем новые.

Первое, что нужно сделать — отделить «странно, но возможно» от «вероятный абьюз». Новые домены не автоматически плохи, но кластеры (тот же TLD, похожие имена, случайные строки в mailbox) часто указывают на скриптовые регистрации.

Обычно видно:

• Возраст доменов очень маленький у многих регистраций
• DNS и MX есть, но они минимальны, непоследовательны или флакливые
• Появляются индикаторы disposable (совпадения с известными провайдерами, сильная сменяемость)
• Скорость: много регистраций за минуты с повторяющимися паттернами

Самый безопасный ответ — сначала фрикция, потом блок. Потребуйте подтверждение email перед выдачей промо, добавьте кулдаун после повторных попыток и отправляйте самые рискованные регистрации на ревью. Если те же паттерны продолжаются часами, эскалируйте до временных блокировок для худших сочетаний сигналов.

Чтобы измерять эффект, следите за двумя показателями в следующие 24–72 часа: оценочный уровень фейковых регистраций (аккаунты, которые никогда не подтвердили, отскочили или были заблокированы) и обращения в саппорт (пользователи, которые жалуются, что не могут зарегистрироваться или не получили промо). Если фейковые регистрации упали существенно при минимальном росте обращений — фрикция настроена правильно.

Короткий чек‑лист для ежедневного мониторинга

Простая рутина помогает ловить доменно‑обусловленный абьюз рано, без поспешных изменений правил, которые блокируют реальных пользователей.

Когда видите всплеск, быстро просканируйте:

• Несколько ли TLD внезапно переотображены по сравнению с базой?
• Выглядят ли топовые домены как случайные строки или как lookalike брендов?
• Сколько доменов сегодня впервые для вашей платформы?
• Наблюдается ли disposable‑чёрновая сменяемость (домены, которые появляются один раз и исчезают)?
• Многие ли регистрации приходят с доменов, которые не проходят базовые DNS/MX‑проверки?

Для постоянного мониторинга фокусируйтесь на изменениях, а не на абсолютных числах: топ‑TLD с движением день к дню, топ «первых появлений» доменов, попадания в disposable и уровень отскоков по домену/TLD (если у вас есть эти данные).

Прежде чем ужесточать правила, вручную отберите 10–20 регистраций из всплеска. Посмотрите шаблоны доменов, согласованность IP, и похожи ли профили на реальные (имена, время заполнения, повторяющиеся username).

Быстро откатывайте правило, если оно слишком жёсткое. Признаки проблем: всплеск тикетов в поддержку, падение конверсии в одной стране/канале или блокировки известных клиентов и легитимных бизнес-доменов.

Следующие шаги: ужесточайте защиту регистрации, не мешая хорошим пользователям

Начните с малого и делайте всё измеримо. Цель не в том, чтобы блокировать «странные» домены, а в том, чтобы использовать доменные сигналы, чтобы определить, когда нужна дополнительная проверка, что за реальный человек регистрируется.

Во‑первых, добавьте лёгкое логирование в поток регистрации. Фиксируйте домен, TLD, bucket по возрасту домена (если есть), совпадение с disposable и статус MX. Привяжите эти поля к исходам: успех подтверждения email, уровень отскоков, возвраты платежей и отчёты об абьюзе.

Далее — валидируйте email на этапе ввода, чтобы очевидно невалидные адреса и известные disposable-провайдеры не засоряли систему. Если нужен готовый вариант, Verimail (verimail.co) предоставляет API для валидации email: проверяет синтаксис, домен и MX‑записи и сверяется с большими списками disposable‑провайдеров.

Когда превращаете сигналы в действия, предпочитайте пошаговые фрикции вместо жёстких блокировок. Держите принудительные меры простыми, тестируйте на небольшой части трафика и следите за несколькими честными метриками: уровень подтверждения, уровень отскоков, обращения в поддержку и внутренний показатель фейковых регистраций. Если конверсия хороших пользователей падает — ослабьте меры и оставьте логирование, чтобы следующий шаг основывался на результатах, а не на догадках.