IT-блогер утверждает, что обнаружил критическую уязвимость безопасности в Microsoft Outlook, который, по сообщениям, тайно понижал уровень защищенных соединений SSL/TLS до незашифрованного открытого текста, не уведомляя об этом пользователей. Похоже, это затрагивает как минимум версии Outlook с 2007 по 2016 год, а возможно, и более поздние, хотя пока не подтверждено, присутствует ли такое поведение начиная с Outlook 2019.
Сообщение появилось в блоге Marius World, где автор описывает, как он столкнулся с проблемой после обновления своих почтовых серверов с Fedora 42 до Fedora Server 43 (выпущенной в октябре 2025 года). Мариус начал получать жалобы от клиентов, которые не могли получать электронную почту. Все получали одно и то же сообщение об ошибке от почтового сервера: “Аутентификация открытым текстом запрещена на незащищенных (SSL/TLS) соединениях”. Это означало, что почтовый клиент пользователя пытался использовать незашифрованное соединение, что администраторы систем считали устаревшим десятилетия назад.
Мариус понял, что все пострадавшие использовали Outlook, как минимум версий с 2007 по 2016 год. Что еще хуже, казалось, что у всех была включена галочка “Использовать TLS/SSL”, что означает, что безопасность протокола все это время понижалась незаметно. Ошибку можно вызвать, выбрав порт 110 и используя протокол POP3. Принудительное использование TLS должно было автоматически перевести клиент на порт 995 или, по крайней мере, попытаться установить TLS-соединение по порту 110. Однако Outlook просто продолжал работу без шифрования. “Вероятно, клиенты извлекали свою почту в открытом виде более десяти лет, ошибочно полагая, что шифрование включено”, — заявляет Мариус.
Причина, по которой администраторы серверов Fedora начали видеть это поведение только недавно, заключается в том, что версия 43 обновила почтовый сервер Dovecot SMTP/IMAP до версии 2.4.3, в которой на бэкенде было полностью отключена незашифрованная аутентификация. Вероятные причины, по которым проблема не была обнаружена раньше, заключаются в том, что в наши дни типом почтового ящика по умолчанию является IMAP, а стандартная конфигурация Outlook устанавливает порт 995 для POP3 по умолчанию. Тем не менее, есть основания полагать, что затронуто значительное число пользователей, особенно в средах, которым необходимо поддерживать множество конфигураций, например, веб-хостинг.
Меры по смягчению последствий довольно просты: проверьте настройки учетной записи Outlook и, если вы используете POP3, убедитесь, что порт соединения установлен как 995. Если ваша почта передается по незашифрованному соединению, любой в вашей сети или на пути к вашему серверу может спокойно ее прочитать, раскрывая не только ваши сообщения, но и сообщения других людей. Мариус также отмечает, что эта ситуация технически является нарушением GDPR ЕС, поскольку закон неявно предписывает, чтобы любые данные клиентов передавались по зашифрованным соединениям.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bruno Ferreira
