Отправка подписанного ЭЦП документа по почте

Q: Сколько файлов нужно прикладывать к письму - один или два?

При присоединённой подписи файл один. При отсоединённой два: документ и sig-файл. Без sig-файла при отсоединённой подписи проверка невозможна. Лучше упаковать оба в один архив.

Q: Почему распечатка со штампом подписи не имеет юридической силы?

Штамп на распечатке - нарисованная картинка, проверить под ней подпись нельзя. Значим только электронный оригинал с файлом подписи. Распечатка годится для ознакомления с содержанием.

Q: Как получатель узнает, кто подписал документ?

Информация о подписавшем в сертификате внутри подписи: ФИО, СНИЛС, организация, срок. При проверке эти данные отображаются. Отдельной онлайн-базы владельцев ключей нет.

Q: Что делать, если у получателя нет программы для проверки подписи?

Проверить онлайн на портале Госуслуг, установки не нужно. Без интернета проверить подпись нельзя. При пересылке стоит заранее уточнить, чем получатель будет проверять.

Q: Примет ли госорган документ, отправленный по обычной почте?

Документ с УКЭП органы власти обязаны принять по закону. Но отдельные ведомства требуют направлять документы только через свои системы обмена. Канал уточняют у ведомства.

Q: Нужно ли соглашение для обмена подписанными документами по почте?

Для УКЭП не требуется. Для УНЭП по соглашению и ПЭП нужно соглашение или регламент. УНЭП через Госуслуги соглашения не требует - она доверенная по умолчанию.

Q: Что такое sig-файл и можно ли его не отправлять?

Sig-файл - файл отсоединённой подписи рядом с документом. Не отправлять нельзя: без него подпись не проверить. К письму прикладывают и документ, и sig-файл.

Q: Можно ли отправить подписанный документ через мессенджер?

Технически да, но рискованно: мессенджеры пересжимают вложения, и хэш не совпадает. Отправлять только как файл без сжатия с sig-файлом, надёжнее архивом или через оператора ЭДО.

Отправка по почте подписанного ЭЦП документа выглядит просто — прикрепил файл, нажал отправить, — но за этим скрывается несколько вещей, о которых отправители обычно не думают. Что именно прилетит получателю: один файл или два? Сохранится ли подпись при пересылке? Сможет ли адресат её проверить, если у него нет КриптоПро? И главное — распечатка со штампиком, которую вам прислали в ответ, юридически не значит ничего. Дальше разберём, что физически происходит с подписью при отправке по email, чем отличается присоединённая подпись от отсоединённого sig-файла в письме, почему файл нельзя пересылать через тело письма и как получателю убедиться, что документ не подменили. Это часть большого материала про подписание документов электронной подписью, где собраны инструкции под разные форматы файлов и способы передачи.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Содержание

Автор статьи

Мария Ж.

Кофаундер сервиса электронного документооборота Добыто

Кофаундер сервиса электронного документооборота Добыто. Юрист с 20 летней практикой. В 2008 году получала красный диплом юриста по корпоративной практике. Руководитель HR-отдела. Спикер на конференциях по КЭДО и юриспруденции.

Что физически происходит при отправке подписанного документа по почте

Когда вы подписываете файл ЭЦП, система вычисляет хэш документа — длинное число, которое однозначно соответствует тексту. Этот хэш шифруется закрытым ключом, и получается подпись. Дальше начинается развилка, от которой зависит вообще всё в почтовой пересылке. Подпись бывает присоединённая — когда она вшита внутрь файла, всё едет одним документом. И отсоединённая — когда рядом с документом формируется отдельный файл подписи, обычно сиг-файл.

Для почты это критично. Если подпись отсоединённая, в письмо нужно вложить два файла: сам документ и его sig-файл. Забыли приложить подпись — получатель получил голый документ без доказательства подписания. Приложили только подпись без документа — проверять нечего. Поэтому отсоединённую подпись всегда отправляют комплектом, а лучше — одним архивом, чтобы файлы не разбрелись по пути.

Сама почта при этом ничего с подписью не делает — она просто переносит файлы как вложение. И вот тут вылезает первая засада: пересылать подписанный документ нужно именно вложением, а не вставкой в тело письма. Текст письма не подписан, он не часть документа, и любая почтовая система может его переформатировать. Подпись же привязана к байтам конкретного файла — изменился файл хоть на байт, проверка ломается.

Мария Ж, специалист по цифровой подписи и КЭДО:
«Самая частая ошибка — человек копирует текст договора в тело письма и думает, что отправил подписанный документ. Нет. Подпись живёт в файле, а не в письме. Отправляйте оригинал вложением, а если подпись отсоединённая — не забудьте приложить сиг-файл. Иначе на той стороне получат бумажку, которую нечем проверить.»

Присоединённая и отсоединённая подпись в письме: что выбрать

Присоединённая подпись удобна именно для почты: всё в одном файле, ничего не потеряется, получателю не нужно складывать пазл из двух вложений. Минус — открыть такой документ можно только специальной программой. У PDF есть плагин, который показывает встроенную подпись как плашечку, а вот контейнер формата CMS (он же PKCS#7) без крипто-программы не откроешь — первичный документ внутри него не виден обычному получателю.

Отсоединённая подпись наоборот: документ остаётся читаемым у всех, открывается чем угодно, а проверка идёт по отдельному sig-файлу. Минус — файлов два, и оба должны доехать. Для внешней переписки по email чаще берут именно отсоединённую, потому что не угадаешь, какой софт стоит у получателя. Форматы тут — тот самый CMS либо усовершенствованные CAdES-контейнеры, которые умеют хранить ещё и метку времени.

Что выбрать под почту? Если шлёте контрагенту, у которого точно есть КриптоПро и оператор ЭДО — присоединённая нормальна. Если получатель неизвестен или это физлицо — отсоединённая безопаснее, но тогда упакуйте документ и подпись в один zip-архив, чтобы они не разъехались. В практике Добыто мы вообще уводим клиентов от почты на нормальный канал: документ и все его подписи лежат в одном контейнере и выгружаются единым юридически значимым архивом, без риска потерять sig-файл в чьём-то спаме.

Почему распечатка со штампом подписи ничего не значит

Это разрушает иллюзию, но придётся. Когда вам в ответ присылают PDF с нарисованным штампиком «документ подписан электронной подписью, сертификат такой-то», — это не подпись. Это картинка. Штамп нарисован, проверить под ним подпись невозможно. Юридическую значимость несёт только электронный оригинал, сопровождаемый файлом подписи, который можно прогнать через проверку.

Отсюда практическое следствие для всех, кто гоняет документы по почте. Если госорган или контрагент прислал вам распечатку со штампиком вместо электронного оригинала с подписью — у вас на руках нет доказательства. Просите электронный оригинал. И сами, отправляя документ, шлите именно оригинал с подписью, а не его распечатанную и заново отсканированную версию — после печати и скана подпись умирает, потому что меняются байты файла.

Ещё момент про госорганы. Документ, подписанный УКЭП, вы вправе направлять в органы власти, и они обязаны его принять по закону — дополнительных соглашений не требуется. Но на практике отдельные ведомства требуют слать документы только через свои системы межведомственного обмена, а не на обычную почту, и отказывают в приёме файлов на email. Логику в этом искать бессмысленно, такие требования просто выполняют, уточняя у конкретного ведомства допустимый канал.

Мария Ж, судебный эксперт по трудовому праву:
«В суде смотрят не на штампик в присланном файле, а на то, можно ли проверить подпись и был ли документ неизменным. Распечатка с плашкой — это ноль. Поэтому если вам важна юридическая значимость присланного по почте документа, храните электронный оригинал и сиг-файл, а не их распечатку. Бумага со штампиком годится только чтобы ознакомиться с содержанием.»

Образцы документов и инструкции по электронной подписи

Открыть список документов

Документ	Скачать
Инструкция по установке ЭЦП на компьютер	Скачать
Ответы на вопросы об установке ЭЦП	Скачать
Памятка по настройке КЭП для налоговой инспекции	Скачать
Руководство пользователя по сервису Добыто.КЭДО	Скачать
Шаблон соглашения об ЭДО с работником	Скачать
Примерная форма трудового договора по основному месту работы	Скачать
Приказ о введении КЭДО	Скачать
Приказ о переходе на КЭДО (docx)	Скачать
Образец приказа о приёме на работу	Скачать
Образец приказа о направлении на курсы повышения квалификации	Скачать
Правила обработки персональных данных	Скачать

Как получателю проверить подпись на присланном документе

Получили письмо с документом и подписью — не верьте на слово, проверяйте. Проверка отвечает на три вопроса: кто подписал, не менялся ли документ после подписания, был ли сертификат действителен в тот момент. Информация о том, кто подписал, лежит в самом сертификате внутри подписи — там ФИО, СНИЛС, организация, срок действия. Никакой онлайн-базы владельцев ключей не существует, всё берётся из приложенного к документу сертификата.

Как проверить подпись на полученном по почте документе: пошаговая инструкция

Показать пошаговую инструкцию

Шаг 1. Сохраните из письма оба вложения в одну папку — сам документ и файл подписи (sig). Если подпись присоединённая, файл будет один.
Шаг 2. Откройте сервис проверки — онлайн на портале Госуслуг либо крипто-программу вроде КриптоАРМ.
Шаг 3. Загрузите документ. Для отсоединённой подписи загрузите вместе с ним и sig-файл — без него проверка невозможна.
Шаг 4. Запустите проверку. Сервис покажет, валидна ли подпись, кому выдан сертификат и не изменялся ли документ после подписания.
Шаг 5. Проверьте срок действия и статус сертификата. Если стоит зелёная галочка — подпись действительна, документ не подменён.

Отдельная головная боль — когда у получателя нет интернета или нет крипто-программы. Тогда проверить сертификат он не может и начинает распечатывать документ, подписывать от руки и слать обратно бумажный экземпляр — то есть весь смысл электронной подписи рассыпается. Поэтому при пересылке по почте здраво заранее уточнить, чем получатель будет проверять. Проверить чужую подпись и сертификат бесплатно можно на портале Госуслуг: сервис проверки электронной подписи на Госуслугах — туда загружают документ и файл подписи.

Мария Ж, юрист со стажем более 20 лет:
«Был кейс с грузчиком, который через суд оспорил увольнение — думал, что подписывает заявление на больничный, а подмахнул увольнение. Суд проверял, что именно за документ ушёл в удостоверяющий центр и был ли он неизменным. Когда документы летают по почте россыпью, доказать эту цепочку тяжелее. Поэтому читайте, что подписываете, и храните оригинал с подписью, а не пересланную копию.»

Стоимость передачи и хранения подписанных документов в сервисе Добыто

Стоимость зависит от численности штата, выбранного тарифа и набора подключаемых модулей. Отправка, получение и хранение подписанных документов входят в общий функционал КЭДО — отдельной платы за пересылку нет. Цена считается за рабочее место в месяц.

Тариф	Стоимость	Условия
Старт — для небольших компаний, начинающих переход на КЭДО (ПЭП и УНЭП, базовые шаблоны, email-поддержка)	от 30 ₽ за сотрудника / мес	до 25 сотрудников
Бизнес — средний бизнес, полный набор функций (ПЭП, УНЭП и УКЭП, кастомные шаблоны, интеграция с 1С, электронный архив)	от 50 ₽ за сотрудника / мес	минимальная оплата 50 сотрудников — 30 000 ₽ в год
Корпорация — крупный бизнес с расширенными требованиями и SLA (выделенный сервер, SLA 99.9%, персональный менеджер, API)	по запросу	неограниченно сотрудников

Итоговая сумма зависит от численности персонала, выбранного тарифа и набора подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее.

Типичные ошибки при отправке подписанного документа по почте

Первая — отправка только sig-файла без документа или документа без подписи. Делают по невнимательности: в письме одно вложение вместо двух. Цена ошибки: получатель не может проверить подпись, всё подписание насмарку, отправляем заново. При отсоединённой подписи всегда вкладывайте оба файла, лучше в одном архиве.

Вторая — пересылка документа в теле письма или через мессенджер с пересжатием. Текст вставили в письмо, файл прогнали через сервис, который его переупаковал, — и хэш больше не совпадает. Цена ошибки: подпись не проходит проверку, документ де-факто не подписан. Шлите оригинал вложением, не трогая байты файла.

Третья — подмена электронного оригинала распечаткой со штампом. Распечатали подписанный документ, отсканировали, отправили скан. Цена ошибки: юридической значимости у скана ноль, подпись не проверить. Пересылайте именно электронный оригинал с файлом подписи.

Четвёртая — отправка без метки времени, когда документ нужен надолго. Сертификат действует год, а спор может всплыть через пять лет. Без штампа времени доказать, что подпись была действительна в момент подписания, нельзя. Поэтому для значимых документов подписывают усовершенствованной подписью — с меткой времени и подтверждением статуса сертификата.

Потерянный sig-файл, распечатка вместо оригинала, получатель без крипто-программы, подпись без метки времени — почта плодит эти проблемы пачками. Когда документов не пара, а поток договоров и приказов на десятки людей, ручная пересылка вложений и проверка каждого письма превращается в головняк. В сервисе Добыто эта рутина закрыта: документ и все его подписи лежат в одном контейнере, метки времени проставляются автоматически, а архив выгружается одной кнопкой — без риска что-то потерять в почте.

Попробуйте ДОБЫТО КЭДО

Когда почта не подходит и что использовать вместо неё

Почта — канал передачи, но не система юридически значимого документооборота. Письмо могут не доставить, вложение может срезать антиспам, sig-файл может потеряться, а сам факт отправки и доставки доказать почти нечем. Для разовой пересылки контрагенту это терпимо. Для постоянного потока документов — нет.

Альтернатива — оператор ЭДО или система КЭДО, где документ не пересылается файлом, а живёт в системе вместе со всеми подписями, метками времени и историей действий. Получатель видит документ в своём кабинете, подписывает в пару кликов, а отправитель видит статус: доставлено, прочитано, подписано. Если интересно сравнить, мы делали отдельный разбор, какими программами подписывают документы ЭЦП — там и про десктопные крипто-программы, и про онлайн-сервисы.

За время работы сервиса Добыто мы подключили более 500 компаний — и почти в каждом проекте всплывал один и тот же сюжет: половину документов пытались гонять по почте, теряли подписи, а потом не могли собрать архив к проверке ГИТ. Поэтому документы и их подписи мы держим в одном месте, с фиксацией времени каждого действия.

Подписать документ электронной подписью онлайн

1 Загрузите необходимые файлы:

Перетащите или выберите файл

2 Выберите электронную подпись:

Нажимая кнопку «Подписать», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных.

Выводы: отправка подписанного ЭЦП документа по почте

При отправке по почте подпись не пересылается отдельно от файла — она привязана к байтам документа. Присоединённая подпись едет одним файлом, но требует крипто-программы для открытия; отсоединённая оставляет документ читаемым, но к нему обязательно прикладывают sig-файл, лучше в одном архиве. Документ отправляют вложением, не вставкой в тело письма: иначе байты меняются и проверка ломается. Распечатка со штампом подписи юридической значимости не имеет — значим только электронный оригинал с проверяемым файлом подписи.

Получателю стоит проверять каждый присланный документ: кто подписал (данные в сертификате внутри подписи), не менялся ли файл, был ли сертификат действителен. Бесплатно это делают на портале Госуслуг или в крипто-программах, загрузив документ вместе с sig-файлом. Главные риски почтовой пересылки — потеря файла подписи, подмена оригинала распечаткой, отсутствие у получателя средств проверки и подпись без метки времени для долгого хранения.

Почта остаётся приемлемой для разовой передачи, но для потока документов надёжнее оператор ЭДО или система КЭДО, где документ хранится со всеми подписями и метками времени, а статус доставки и подписания виден отправителю. В ближайшие годы доля почтовой пересылки подписанных документов будет падать — бизнес уходит в системы, где ничего нельзя потерять по дороге.

Часто задаваемые вопросы

Сохраняется ли электронная подпись при пересылке файла по почте?

Да, если файл пересылается вложением без изменений. Подпись привязана к байтам документа, и почта при пересылке вложения их не трогает. Подпись ломается, только если файл переупаковали, пересжали или вставили текст в тело письма. Поэтому подписанный документ всегда отправляют вложением, а не копированием содержимого в письмо.

Сколько файлов нужно прикладывать к письму — один или два?

Зависит от типа подписи. При присоединённой подписи файл один — документ и подпись в одном контейнере. При отсоединённой два: сам документ и отдельный sig-файл подписи. Если приложить только один из них при отсоединённой подписи, получатель не сможет проверить документ. Лучше упаковать оба файла в один zip-архив.

Почему распечатка со штампом подписи не имеет юридической силы?

Штамп на распечатке или в PDF — это нарисованная картинка, проверить под ней подпись невозможно. Юридическую значимость несёт только электронный оригинал с файлом подписи, который можно прогнать через проверку и убедиться, что документ не менялся. Распечатка годится лишь для ознакомления с содержанием.

Как получатель узнает, кто подписал документ?

Информация о подписавшем хранится в сертификате внутри подписи: ФИО, СНИЛС, организация, срок действия. При проверке подписи эти данные отображаются. Отдельной онлайн-базы владельцев ключей не существует — всё берётся из сертификата, приложенного к подписанному документу.

Что делать, если у получателя нет программы для проверки подписи?

Самый простой путь — проверка онлайн на портале Госуслуг, там не нужно ничего устанавливать, загружают документ и файл подписи. Если интернета нет совсем, проверить подпись не получится, и распечатывать с подписанием от руки бессмысленно. Поэтому при пересылке стоит заранее уточнить, чем получатель будет проверять подпись.

Примет ли госорган документ, отправленный по обычной почте?

Документ с УКЭП органы власти обязаны принять по закону без дополнительных соглашений. Но отдельные ведомства на практике требуют направлять документы только через свои системы межведомственного обмена и отказывают в приёме файлов на email. Допустимый канал стоит уточнять у конкретного ведомства.

Нужно ли соглашение для обмена подписанными документами по почте?

Для УКЭП соглашение не требуется — она равнозначна собственноручной подписи по 63-ФЗ. Для УНЭП по соглашению сторон и ПЭП нужно соглашение об их признании либо присоединение к регламенту информационной системы. УНЭП через Госуслуги (госключ) соглашения не требует, так как она доверенная по умолчанию.

Что такое sig-файл и можно ли его не отправлять?

Sig-файл — это файл отсоединённой подписи, который формируется рядом с документом. Не отправлять его нельзя: без него получатель не сможет проверить, что документ подписан и не изменён. При отсоединённой подписи к письму прикладывают и документ, и sig-файл, иначе подписание теряет смысл.

Можно ли проверить подпись через несколько лет после отправки?

Если документ подписан обычной подписью, через год после истечения сертификата доказать его действительность сложно. Для долгого хранения используют усовершенствованную подпись со штампом времени от доверенной службы и подтверждением статуса сертификата. Штамп времени фиксирует точный момент и хэш документа, что позволяет проверить подпись и спустя 5-10 лет.

Можно ли отправить подписанный документ через мессенджер?

Технически да, но рискованно. Многие мессенджеры пересжимают вложения или меняют их формат, после чего хэш не совпадает и подпись не проходит проверку. Если отправлять, то только как файл-документ без сжатия, вместе с sig-файлом. Надёжнее переслать архивом или использовать оператора ЭДО, где целостность файла гарантирована.

Чем подтвердить факт отправки и получения документа по почте?

Обычная почта сам факт доставки и прочтения подтверждает слабо — в споре это уязвимое место. В системе ЭДО или КЭДО фиксируется история: когда документ отправлен, доставлен, прочитан и подписан, с отметками времени каждого действия. Поэтому для значимого документооборота почту заменяют на систему с прослеживаемой цепочкой.

Что происходит с подписью, если документ распечатать и отсканировать?

Подпись теряется полностью. Скан — это новый файл с другими байтами, криптографическая связь с оригинальной подписью разрывается, проверить такую подпись невозможно. Скан подписанного документа юридической значимости электронного оригинала не имеет. Пересылать нужно именно исходный электронный файл с подписью.

Отправка подписанного документа по почте — частный случай большой задачи: сделать так, чтобы документ доехал до получателя без потери подписи, проверялся в пару кликов и хранился со всеми отметками времени. Добыто закрывает этот процесс целиком: от подписания и пересылки до архивного хранения с прослеживаемой историей каждого действия.

За время работы сервиса мы подключили более 500 компаний к КЭДО — от небольших команд до ритейла на тысячи человек. Документы и их подписи живут в одном месте, без россыпи вложений по почтовым ящикам.

Документ и все его подписи хранятся в одном контейнере — sig-файл невозможно потерять при пересылке
Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — с выбором типа на каждом этапе маршрута
Получатель видит статус документа: доставлено, прочитано, подписано — в отличие от обычной почты
Мобильное приложение для подписания с телефона — в командировке, в отпуске, без похода в отдел кадров
Хранение документов до 50 лет с выгрузкой юридически значимого архива одной кнопкой
Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному

Запросить демо-доступ