
Outlook почти 20 лет мог слать почту открытым текстом — и это выяснилось случайно
Cloud4Y 4 минуты назад Outlook почти 20 лет мог слать почту открытым текстом — и это выяснилось случайно 2 мин 3 Блог компании Cloud4Y Информационная безопасность * Системное администрирование * IT-инфраструктура *...
<5 — 2026'da uzaya kaç SpaceX Starship fırlatması ulaşacak?
В сфере искусственного интеллекта произошло заметное событие. Cloud4Y 4 минуты назад Outlook почти 20 лет мог слать почту открытым текстом — и это выяснилось случайно 2 мин 3 Блог компании Cloud4Y Информационная безопасность * Системное администрирование * IT-инфраструктура * Серверное администрирование * Перевод Автор оригинала: Bruno Ferreira Всё описанное ниже — это находка и выводы IT-блогера Marius, изложенные в его посте, а не официально подтверждённая Microsoft уязвимость с присвоенным CVE. Статуса официального заявления у этого нет. История началась буднично: IT-специалист, ведущий блог Marius World, обновил свои почтовые серверы с Fedora 42 на Fedora Server 43 — и внезапно на него посыпались жалобы.
Клиенты перестали получать письма, и все они сталкивались с одной и той же ошибкой сервера: «Cleartext authentication disallowed on non-secure (SSL/TLS) connections». Проще говоря — сервер отказался принимать незашифрованное соединение, которое почтовый клиент пользователя пытался открыть. Что оказалось не такРазобравшись, Мариус обнаружил закономерность: все пострадавшие пользовались Outlook — версий примерно с 2007 по 2016.
Технические детали
И вот тут начинается самое неприятное. У всех этих людей галочка «Использовать TLS/SSL» была включена — то есть защита протокола всё это время отключалась без ведома пользователя. Человек был уверен, что его почта зашифрована, а на деле она много лет ходила открытым текстом.
Технически баг срабатывал так: если в настройках выбран порт 110 и протокол POP3, включённый TLS должен был заставить клиент либо автоматически перейти на порт 995, либо хотя бы попытаться поднять TLS на 110-м. Вместо этого Outlook просто продолжал работу вообще без шифрования. Как формулирует сам блогер, клиенты, скорее всего, больше десяти лет забирали почту открытым текстом, будучи уверенными, что шифрование работает.
Почему это заметили только сейчасПроблема существовала годами, но всплыла именно сейчас по стечению обстоятельств. В Fedora 43 обновился почтовый сервер Dovecot — до версии 2. 3, где появился бэкенд, полностью запрещающий незашифрованную аутентификацию.
Отраслевые последствия
Раньше сервер просто пропускал такие соединения, а теперь начал их жёстко отклонять — и проблема стала видимой. Были и две причины, по которым баг так долго не замечали: сегодня почтовые аккаунты по умолчанию создаются через IMAP, а сам Outlook по умолчанию ставит для POP3 порт 995. Так что под удар попадали в основном нестандартные конфигурации — например, среды хостинг-провайдеров, где приходится поддерживать множество разных настроек.
Масштаб уязвимости точно не определён: затронуты как минимум версии Outlook с 2007 по 2016, возможно и более поздние, но касается ли это Outlook 2019 и новее — пока не подтверждено. Чем это грозит и что делатьПоследствия ровно те же, что и при любой передаче данных открытым текстом: любой, кто находится в вашей сети или на пути к серверу, может читать вашу переписку — а заодно и переписку ваших собеседников.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.





