Анализ почтового трафика сотрудников: контроль исходящих писем и вложений — Контур.Эгида

В этой статье

Анализ почтового трафика сотрудников: контроль исходящих писем и вложений

26 марта 2026

Электронная почта — главный рабочий инструмент и одновременно один из основных каналов утечки данных. По некоторым исследованиям 60% инцидентов с утечками в компаниях связаны именно с использованием email. Сотрудники отправляют контрагентам коммерческие предложения, бухгалтерию, договоры. В этом потоке легко потерять конфиденциальный файл или письмо с персональными данными. Разберем, как настроить контроль так, чтобы не мешать работе, но при этом предотвратить утечки.

Фотография Максим Чеплиев Максим Чеплиев Менеджер продукта

Зачем контролировать корпоративную почту

Корпоративная почта — основной канал деловой коммуникации. Через нее проходят договоры, финансовые документы, базы клиентов, персональные данные. Именно с корпоративных ящиков сотрудники общаются с контрагентами, партнерами и госорганами — это регламентированный канал, за который компания отвечает и который обязана защищать. Личную почту для рабочих задач тоже используют, но это уже зона ответственности самих сотрудников.

Утечка или компрометация информации из корпоративной почты несет прямые убытки: потерю клиентов, штрафы, репутационный ущерб. Поэтому важно знать, что именно покидает периметр сети, и контролировать, как сотрудники ведут служебную переписку. Дело не в экономии ресурсов компании, а в защите бизнеса.

Основные риски: что утекает через почту

С помощью корпоративной переписки по компании и за ее пределы могут передавать:

Коммерческую тайну. Базы клиентов, условия сделок, маркетинговые стратегии, цены для конкретных заказчиков. Часто такая информация уходит не злоумышленникам, а обычным партнерам — в составе коммерческого предложения или отчета. Когда она оказывается у конкурента, компания теряет выручку и проигрывает тендеры.

Персональные данные. Копии паспортов, СНИЛС, зарплатные ведомости, телефоны сотрудников и клиентов. Утечка персональных данных ведет к штрафам по ст. 13.11 КоАП РФ — до нескольких миллионов рублей. Роскомнадзор фиксирует такие инциденты и проводит проверки.

Интеллектуальную собственность. Исходный код программ, дизайн-макеты, техническая документация, ноу-хау. Если эта информация попадает к конкурентам, компания теряет свое рыночное преимущество, иногда навсегда.

Юридические тонкости контроля

Можно ли просматривать переписку сотрудников? Да, если соблюсти требования закона. Постановление Конституционного суда № 25-П от 26.10.2017 подтверждает: информация в корпоративной почте принадлежит работодателю. Но чтобы не нарушить тайну переписки, нужно выполнить два условия: 

  • Во-первых, закрепить в локальном акте правило, что корпоративные средства связи используются только для работы, и ознакомить сотрудников с этим документом под подпись. 
  • Во-вторых, система контроля не должна вторгаться в личную переписку — но если работник использует рабочий ящик для личных целей, он нарушает внутренние правила, и это снимает претензии.

С бизнес-стороны контроль дает прозрачность. Руководитель видит, кто с кем договаривается, на каких условиях, не пытаются ли менеджеры увести клиентов к конкурентам. Это не слежка, а защита активов компании.

Основная часть утечек происходят по вине самих сотрудников, а не из-за действий хакеров. Самый частый сценарий выглядит буднично: менеджер отправляет договор с паспортом контрагента на личную почту, чтобы поработать вечером из дома. Или пересылает коллеге файл с зарплатами «просто глянуть».

Однако наличие факта утечки еще не гарантирует, что компания сможет наказать виновного.  Судебная практика последних лет показывает: суды чаще встают на сторону работников, если работодатель нарушил процедуру привлечения к дисциплинарной ответственности (ст. 192–193 ТК РФ) или не смог доказать, что информация действительно была конфиденциальной.

Что такое коммерческая тайна и как ее защитить в компании

В одном деле сотрудница переслала информацию, которую в компании считали конфиденциальной, на личный ящик. Работодатель объявил выговор, но в приказе не указал, какие именно сведения разглашены и на каком основании они отнесены к секретным. Также сотрудник не был ознакомлен под подпись с политикой. Суд отменил взыскание (определение Шестого кассационного суда общей юрисдикции от 01.02.2024 № 88-2596/2024).

Но и это еще не всё. Даже с идеально оформленными документами компания не узнает об утечке, если не ведет мониторинг почты. Обнаружить, что конфиденциальное письмо ушло за периметр, без специальных инструментов почти невозможно — вручную трафик не пересмотришь. Здесь и нужны системы мониторинга.

DLP для почты: как система мониторинга предотвращает утечки данных

DLP (Data Loss Prevention) — класс решений, которые не дают конфиденциальным данным покинуть компанию. Они следят за всеми каналами передачи информации, и почта — один из главных.  DLP не просто фиксирует отправку конфиденциальных данных, а может предотвратить их передачу по почте. Разберем, как это работает и как настроить защиту, чтобы она не мешала рабочим процессам.

Принцип работы: перехват, анализ, реакция

Классическая DLP для почты встраивается в поток SMTP-трафика — то есть в канал, через который почтовый сервер отправляет письма внешним адресатам. Когда сотрудник нажимает «Отправить», письмо не уходит сразу к получателю, а сначала попадает в систему защиты. Дальше происходит следующее:

  1. Прохождение через систему. Письмо не уходит напрямую получателю, а сначала поступает в DLP-шлюз. Система получает полный доступ к содержимому — тексту, заголовкам, вложениям — и только после проверки отправляет письмо адресату.
  2. Анализ. Проверяется содержимое — текст, заголовки, прикрепленные файлы, метаданные.
  3. Реакция. В зависимости от настроенных правил, письмо или пропускается, или задерживается, или блокируется, или отправляется на дополнительную проверку.

Важно, что DLP может работать в трех режимах: мониторинг, карантин и блокировка. В режиме мониторинга она только собирает статистику и показывает, какие письма потенциально опасны. В активном режиме — блокирует отправку. Начинать настройку всегда лучше с пассивного режима, чтобы понять реальную картину и не остановить важную переписку.

Технологии анализа: как DLP ищет утечки

Чтобы отличить опасное письмо от безопасного, система использует несколько методов. Чем их больше и чем они точнее, тем меньше ложных срабатываний.

Контентные фильтры. Система проверяет текст и вложения на признаки конфиденциальной информации, комбинируя несколько методов:

  • Поиск ключевых слов («коммерческая тайна», «секретно») — простой, но ненадежный способ: сотрудники редко маркируют утечки такими словами.
  • Морфологический анализ — находит разные формы слов, например, «увольнение», «уволен», что повышает точность.
  • Регулярные выражения — ловят структурированные данные: номера телефонов, паспортов, ИНН, СНИЛС, банковских карт.

Атрибутный анализ. Здесь DLP оценивает не содержимое, а служебную информацию и характеристики передаваемых данных:

  • Имя и расширение файла. Например, можно запретить пересылку файлов с названиями, содержащими «зарплата», «секретно», или файлов с расширениями.key,.dwg,.sql.
  • Формат и размер. Политики могут ограничивать отправку архивов (zip, rar) на личные ящики или, наоборот, требовать, чтобы конфиденциальные данные пересылались только в зашифрованных архивах с паролем.
  • Метаданные документа. Система извлекает информацию об авторе, дате создания, пути к исходному файлу на диске сотрудника. Если чертеж создан в отделе разработки, а отправляет его маркетолог — это повод для проверки.

Атрибутный анализ помогает выявлять аномалии еще до глубокой проверки содержимого.

Цифровая идентификация документов. Для защиты конкретных ценных файлов DLP использует два дополняющих друг друга метода:

  • Цифровые отпечатки. Система вычисляет уникальную контрольную сумму каждого конфиденциального документа и сохраняет в базе эталонов. Отпечаток остается неизменным, даже если файл переименуют, отредактируют или упакуют в архив. Это позволяет находить утечки, которые не видны по ключевым словам.
  • Цифровые метки. В документ (текст, метаданные, служебные поля) невидимо встраивается идентификатор: код сотрудника, дата, проект. Метка сохраняется при редактировании и смене формата. Если помеченный файл утекает, DLP точно определяет источник — кто, когда и откуда его отправил.

Современные DLP комбинируют все эти методы. Например, письмо может быть признано опасным, если в нем есть регулярное выражение для паспорта И вложение совпадает с цифровым отпечатком кадрового документа.

Возможности настроек зарубежных DLP часто не учитывают российскую специфику и требования регуляторов, а значит, не защитят компанию от штрафов. Отечественные системы созданы под наши реалии: находят персональные данные по российским шаблонам и хранят информацию по закону. Для компаний с госзаказом или чувствительными данными выбор в пользу российского ПО — вопрос соблюдения законодательства.

Как настроить систему мониторинга почты: пошаговый алгоритм

Чтобы контроль не мешал работе, но надежно закрывал утечки, внедрение DLP проводят поэтапно. Вот последовательность действий, которая позволяет избежать ошибок и ложных срабатываний.

Шаг 1. Анализ информационных потоков 

Прежде чем настраивать DLP, нужно понять, что защищать и какие процессы уже сложились. Изучите, какая информация реально передается по почте: с кем общаются отделы, какие документы (коммерческие предложения, договоры, персданные, чертежи, код) уходят вовне.

Определите, что критично — коммерческая тайна, персональные данные, интеллектуальная собственность и т.д. Оцените риски: передача каких сведений принесет прямые убытки? 

Составьте списки доверенных получателей (банки, партнеры, госорганы), чтобы потом не блокировать легитимные письма. 

Шаг 2. Юридическая база и маркировка документов

До включения любой системы нужно оформить отношения с сотрудниками. Как уже говорили, без этого даже зафиксированная утечка не позволит привлечь виновного к ответственности:

  • Примите локальный акт, что корпоративная почта используется только для работы, и ознакомьте с ним сотрудников под подпись.
  • Определите, какие документы считаются коммерческой тайной, проставьте соответствующие грифы.
  • Пропишите в положении, что компания вправе контролировать служебную переписку.

Шаг 3. Первичная настройка политик на основе анализа

Когда вы понимаете, какие данные защищаете и с кем обычно общается компания, можно настроить базовые правила в DLP. На этом этапе политики делают намеренно широкими, чтобы система обращала внимание на все потенциально опасные действия. Например:

  • проверка всех писем на наличие персональных данных по регулярным выражениям;
  • отслеживание отправок на личные почтовые домены;
  • контроль вложений с расширениями, типичными для чертежей, баз данных или исходного кода.

Важно сразу добавить исключения для заведомо легитимных получателей — банков, госорганов, ключевых партнеров, — чтобы они не создавали шум с первого дня.

Шаг 4. Запуск в режиме обучения 

Когда базовые правила заданы, систему переводят в пассивный режим. Блокировка еще не включена, но DLP уже анализирует трафик по настроенным политикам и показывает, какие письма попали бы под ограничения, будь активный режим.

Этот этап обычно занимает 2–4 недели. За это время:

  • Система накапливает статистику срабатываний по каждому правилу.
  • Становятся видны типичные ложные срабатывания: например, бухгалтерские письма в банк, которые система ошибочно приняла за утечку персданных.
  • Формируется понимание, какие политики работают точно, а какие требуют донастройки или исключений.

Режим обучения позволяет увидеть реальную картину, не рискуя заблокировать важные письма.

Шаг 5. Анализ результатов обучения и корректировка политик

На основе собранных данных политики уточняют:

  • добавляют исключения по адресатам, отделам, типам документов;
  • калибруют чувствительность регулярных выражений, чтобы отсечь частые ложные срабатывания;
  • настраивают уровни критичности для разных типов инцидентов.

Только после этой тонкой настройки систему можно переводить в активный режим с реальной блокировкой или карантином.

Шаг 6. Настройка процессов реагирования: карантин, уведомления, эскалация

Блокировка — крайняя мера. Для большинства ситуаций достаточно отправить письмо на согласование.

Как устроен карантин:

  • Подозрительные письма попадают в изолированную зону, доступную только уполномоченным сотрудникам.
  • В интерфейсе зачастую отображают полное содержание: текст, вложения, заголовки и причину задержки («обнаружены персональные данные», «получатель в черном списке»).

Уровни критичности и способ реагирования может отличаться от компании к компании. Например, цепочки уведомлений можно настроить так:

  • письмо на личный ящик без критичных данных → уведомление только отправителю;
  • письмо с персональными данными → запрос руководителю;
  • цифровой отпечаток секретного документа → немедленное оповещение службы безопасности.

Важно разграничить оповещения об инцидентах и регулярную отчетность для анализа. Для событий с высоким уровнем риска — например, отправка документов с цифровыми отпечатками, массовая рассылка в нерабочее время, пересылка файлов с грифами секретности — настраивают мгновенные уведомления ответственному сотруднику.

Письма, которые просто содержат признаки потенциальных нарушений (например, единичные отправки на личные ящики), не требуют срочного вмешательства. Информация о них накапливается в системе и отражается в регулярных отчетах — ежедневных, еженедельных или ежемесячных. Рассылать такие уведомления в моменте бессмысленно: они создадут информационный шум и помешают отслеживать реальные угрозы.

Письма в карантине хранятся ограниченное время, например, 7 дней, затем автоматически удаляются или возвращаются отправителю — это защищает от поломки процесса коммуникаций и заставляет реагировать своевременно.

Шаг 7. Включение активной блокировки и переход к динамическим политикам

Когда правила откалиброваны и инциденты ранжированы, систему переводят в проактивный режим. Теперь она не только показывает, но и реально задерживает опасные письма, предотвращая утечки.

DLP с UEBA-функциями поддерживают динамические политики, которые учитывают не только содержание письма, но и контекст коммуникаций: историю переписки сотрудника, его должность, отдел, типовые объемы отправляемых данных. Например:

  • Если документы, обычно циркулирующие внутри отдела разработки, отправляются сотруднику из другого подразделения или на внешний адрес, система повышает приоритет инцидента.
  • Если сотрудник всегда отправлял письма без вложений, а сейчас пытается отправить архив с десятью файлами — даже если файлы не нарушают политик, такое отклонение от обычного поведения помечается для проверки.
  • Если после 20:00 кто-то массово рассылает чертежи на внешние адреса, система автоматически повышает приоритет инцидента и дублирует уведомление руководителю.

Все действия логируются. Если возникает спор с регулятором или судебный иск, у компании есть доказательства: политика сработала, письмо не ушло бесконтрольно.

Шаг 8. Регулярная актуализация правил

Бизнес меняется: появляются новые партнеры, запускаются проекты, сотрудники переходят между отделами. Раз в квартал стоит анализировать статистику срабатываний, убирать устаревшие исключения и добавлять новые правила под актуальные процессы.

Отчеты о мониторинге почты

Система контроля почты собирает огромные массивы информации: кто, кому, когда, с какими вложениями. Сами по себе эти данные бесполезны, пока их не превратят в понятные отчеты, на основе которых можно принимать решения.

Какие отчеты нужны и кому

Руководитель службы безопасности видит дашборд с основными метриками: количество инцидентов за день/ неделю, динамика по отделам, топ сотрудников-нарушителей, эффективность политик, например сколько писем заблокировано, сколько пропущено после проверки. 

IT-отдел получает технические отчеты: нагрузка на почтовые серверы, время задержки писем при проверке, ошибки доставки, сбои в работе DLP. Им важно, чтобы защита не создавала проблем для инфраструктуры.

HR и линейные руководители могут отслеживать нарушения трудовой дисциплины: массовые рассылки в личных целях, отправку резюме с корпоративного ящика, использование рабочей почты для регистрации в сомнительных сервисах. Это повод для профилактических бесед, а не для увольнения.

Бизнес-заказчику (коммерческому директору, владельцу продукта) полезно знать, какие документы чаще всего уходят партнерам, нет ли аномалий в активности отделов. Например, если отдел продаж обычно отправляет 50 писем в день, а сегодня 200 — возможно, кто-то готовит базу клиентов к выгрузке.

Настройка отчетов: периодичность и триггеры

Автоматические отчеты настраивают под конкретные задачи:

Регулярные дайджесты. Ежедневные, еженедельные или ежемесячные сводки для каждой роли. Руководитель ИБ получает статистику инцидентов за неделю, IT — отчет о производительности, HR — выборку по нарушениям.

Событийные уведомления. Мгновенные оповещения при наступлении определенных событий: попытка отправки документа с грифом «секретно», массовая рассылка в нерабочее время, отправка на домен конкурента.

Отчеты по требованию. Возможность за пару минут сформировать детальную выписку за любой период — например, при запросе от Роскомнадзора или в рамках внутреннего расследования. Какие персональные данные, кому и когда отправлялись — все это должно собираться в один файл без ручного копания в логах.

Коротко о самом важном о мониторинге почтового трафика

Контроль почты законен, но только при соблюдении процедур. Без локального акта, подписанного сотрудниками, и четкого определения, что считать коммерческой тайной, суд отменит любое взыскание. Документы должны быть маркированы, сотрудники — ознакомлены под подпись.

DLP — это не слежка, а фильтр, который не мешает работе. Системы предотвращения утечек анализируют коммуникации и реагируют на нарушения без вреда бизнесу. 

Политики нужно настраивать с умом, начиная с режима обучения. Жесткие правила заблокируют половину коммерческих предложений. Исключения по адресатам, типам документов и отделам — обязательны. 

Импортные DLP не заточены под российские требования. Они хуже распознают СНИЛС, паспорт РФ, ИНН и не учитывают 152-ФЗ. Отечественные системы созданы под наши реалии. Для государственных компаний это вопрос соблюдения закона.

Автоматизация отчетов и реагирования экономит дни работы. Готовые дашборды для ИБ, IT, HR и бизнес-заказчиков позволяют не копаться в логах. Карантин с настраиваемыми уведомлениями и интеграция с SIEM дают возможность не просто блокировать письма, а расследовать цепочки инцидентов.

Начните с аудита: посмотрите, что реально уходит с вашей почты. Часто результаты удивляют и помогают быстро закрыть самые опасные дыры.

Фотография Максим Чеплиев Максим Чеплиев Менеджер продукта
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться