company_banner

Как не отключать картинки и скрипты в письмах, и при этом быть безопасными. История от Яндекс.Почты

    Сегодня я хочу рассказать про то, как мы сделали так, чтобы в Яндекс.Почте не нужно было включать отображение картинок в каждом письме, как это приходится делать много где, и вообще — как мы обеспечиваем защиту при показе текста письма. Что не такое очевидное дело, как может показаться.

    В сутки наши пользователи получают около ста миллионов писем и около тридцати миллионов прочитывают через веб-интерфейс. Это огромное поле деятельности для злоумышленников, поэтому мы выстроили многоуровневую защиту.



    Письма проверяются на спам, фишинг, вирусы, вредоносное содержимое и ссылки. Под катом мы расскажем вам, о том, через какие защитные механизмы проходят письма, прежде чем отобразиться в пользовательском веб-интерфейсе.

    Спамооборона


    Более 90% всех электронных писем в современном интернете являются рекламным или зловредным спамом. Спамооборона эффективно пресекает попытки передачи нежелательной почты, в том числе несанкционированные рассылки, которые не просто предлагают вам что-то купить, но пытаются активно атаковать вас лично или ваш компьютер. Векторов атаки тут несколько. Самые распространённые – фишинг и рассылка вредоносного ПО: вирусов, троянов, ботов.

    Ежедневно Спамооборона останавливает 50-70 тысяч писем с фишингом в сутки. Фишеры пытаются атаковать как непосредственно Яндекс-аккаунты, так и используют адреса на Яндексе для попыток кражи аккаунтов на других сервисах. Интересно, что очень часты атаки на аккаунты в онлайновых играх и магазинах игр, таких как World of Tanks или Steam.

    Мы анализируем тексты писем, а также используем такие технологии как DMARC для выявления и борьбы с фишинговыми письмами.

    Антивирус


    Следующий уровень защиты – старый добрый антивирус. В 2014 году настоящие живые компьютерные вирусы в виде исполняемых файлов пересылаются по электронной почте довольно редко. Мы видим не больше нескольких тысяч таких писем в сутки. Тем не менее, каждый такой файл потенциально очень опасен, поэтому для нас жизненно важно не допустить заражения компьютеров наших пользователей. В этом нам много лет помогает компания Dr. Web, чей серверный антивирус мы запускаем на довольно большом кластере из тридцати машин в режиме полной проверки всех входящих писем.

    Второй этап антифишинга


    Спамооборона фильтрует письма в момент, когда они прилетают к нам на сервера приёма входящей почты (MX-ы). Важный и понятный недостаток такого режима состоит в том, что иногда угроза становится массовой, а хорошие признаки для ее выявления у нас появляются уже после того, как некоторое количество таких зловредных писем было принято в ящики пользователей. Для таких ситуаций у нас существует ещё один уровень проверок, который выполняется в момент отображения каждого конкретного письма в веб-интерфейсе Яндекс.Почты.

    Непосредственно перед отправкой письма на экран пользователю, его текст сканируется на совпадение с коротким списком строк и регулярных выражений. Важное свойство этого списка состоит в том, что он может быть отредактирован мгновенно, что очень важно в случае обнаружения атаки, которая происходит прямо сейчас. Каждую секунду Яндекс.Почта принимает до нескольких десятков тысяч писем и задержки, неизбежно связанные с обновлением больших баз, здесь очень вредны.

    Санитайзер


    Современная электронная почта – это HTML. Как бы мы, поборники и блюстители чистоты стандартов, не сопротивлялись прогрессу, пользователи сделали свой выбор. Увы, это также означает, что всё то богатство выразительных средств, которое доступно сейчас в HTML, оборачивается необходимостью очень тщательно сканировать разметку и предотвращать попытки использовать «активные» элементы для атак на пользователей веб-почты. HTML разрабатывался без учёта ситуаций, когда один документ безопасно вкладывается внутрь другого, а именно это и нужно сделать при показе HTML-письма в веб-интерфейсе (то есть, фактически, внутри другой HTML-странички). Этот компонент мы незамысловато назвали санитайзером. Он парсит HTML на уровне символов, а не элементов-объектов, так как многие атаки на веб-интерфейсы используют невалидную с точки зрения стандартов языка разметку для обхода простейших проверок. Сейчас HTML это уже не один язык, а целое семейство, и санитайзер отдельно умеет парсить язык описания CSS внутри определённых элементов и атрибутов. Результатом работы санитайзера является упрощённый текст письма, который можно безопасно вставить в другую HTML-страницу и не бояться, что вдруг выполнится какой-нибудь скрипт, которому будет доступен весь DOM веб-интерфейса или что стили из этого внутреннего блока вдруг повлияют на элементы за его пределами.

    Отображение письма


    Уже довольно давно веб-интерфейс Яндекс.Почты работает только с использованием безопасного протокола HTTPS. Помимо полного шифрования трафика между нашими серверами и браузером пользователя мы также используем для аутентификации запросов дополнительную безопасную куку, которая недоступна без шифрования. Благодаря ей даже если ваш провайдер украл вашу авторизацию, пока вы без шифрования, но в залогиненом состоянии смотрели Афишу Яндекса или просто посещали любой сайт, использующий счётчик Яндекс.Метрики, он не сможет попасть в ваш почтовый ящик. Для этого ему потребуется дополнительная кука, которую можно получить только расшифровав HTTPS-трафик.

    Проверка на вирусные ссылки с раскручиванием укороченных ссылок


    Мы не останавливаемся на этом и продолжаем защищать наших пользователей даже после того, как письмо уже выведено на экран и может быть прочитано. Самые опасные письма стараются увести пользователя из защищённого интерфейса Яндекс.Почты наружу и уже там сделать с ним что-нибудь плохое. Поэтому в момент клика в любую внешнюю ссылку в письме срабатывает ещё один этап – проверка ссылки в базе зловредных ссылок большого Яндексового веб-антивируса. Мы уже немножко писали об этом раньше, но будет уместно повторить, что наш веб-антивирус постоянно «индексирует» (совсем как робот-паук Яндекс.Поиска) миллионы страниц в интернете в поисках вирусов и других зловредных программ и составляет самую полную и актуальную в мире карту заражённого интернета. Даже если вы читаете старое письмо, содержащее ссылку, которая была абсолютно безопасной вчера, но сегодня уже ведёт на заражённую страницу, мы предупредим вас об этом и приложим усилия, чтобы вы избежали заражения.

    Яндекс

    753,00

    Как мы делаем Яндекс

    Поделиться публикацией
    Комментарии 71
      –16
      То есть вы читаете все наши письма и просматриваете все вложения, ну теперь я точно спокоен…
        –11
        Вы говорите об этом так, словно это ненормально.
        Пользуясь бесплатным сервисом, будьте готовы к тому, что ваша почта доступна «третьим лицам».
          –7
          Сейчас это конечно в порядке вещей, но все идет к тому что уже проделала гугл — " мы читаем все ваши письма, все файлы в облаке, все поисковые запросы просто что бы знать о вас все и продавать эту инфу" на фоне этого госконтроль интернета уже не так страшен, и говорю как обычный пользователь — нет это даже не мешает, но осадок остается…
            +8
            Никто не мешает вам установить почтовый сервер дома. И файлы хранить там же. А поиском пользоваться анонимно.
              0
              Только недавно понял, почему идея установить сервер дома может оказаться хуже, чем арендовать сервер где-нибудь в Германии, или в любой другой стране, отличной от страны проживания. Надеюсь на этой неделе руки таки дойдут написать статью по этому поводу.
                +2
                Под «установить сервер дома» я имел ввиду не географическое расположение
              +5
              Хоспади, что за троли на хабре… Ясно же написано что и с какой целью просматривается машинами. Никто вашу почту не читает. Грош цена тому платному сервису почты, который не будет заботиться о безопасности своих пользователей.
                –9
                Почему сразу троль? Это естественная реакция на информацию о том что 100% твоих писем анализируется — и в случае смены политики компании или утечки — тебя заденет. Опять повторяю — что как пользователю мне это не мешает, но все же эта информация не утешает.
                  +8
                  А что вы понимаете под анализом? Ваша почта и так находится на серверах Яндекса.

                  Если я напишу
                  $message_body = GetMessageBody($message)

                  то это еще не анализ, а если напишу
                  $message_body = GetMessageBody($message);
                  if (IsSpam($message_body))
                    return;
                  

                  то это уже анализ? Какая в данном случае разница, анализируются письма или нет? Они вообще анализируются еще на этапе приема самим почтовым сервером. Например, почтовый сервер не желает принимать письма с вложениями более 20 МБ. Таки это анализ или еще нет?
                    +1
                    Мы анализируем тексты писем — я это понимаю как смысловой анализ и поиск по словам и фразам.
                      +2
                      И? В чем принципиальная разница между проверкой на размер вложения и смысловым анализом текста? И то, и то работает с содержимым письма, и результат примерно одинаковый — спам отбраковывается, письма с большими вложениями не доходят.
                        –4
                        Не стоит вопрос о разнице, вопрос в том как это можно использовать.
                          +2
                          Использовать можно и так, не находите? Когда письмо попало на сервер — с ним уже могут сделать совершенно все что угодно, никому не говоря. Тут только два варианта — либо полностью доверять публичным сервисам, либо завести свой уютный почтовый сервер.
                            +4
                            Письмо в любом случае нужно проанализировать, чтобы разбить на биты и байты и правильно записать в память, т.е. произвести нелегальное копирование. Мужайтесь.
                      +2
                      Троль, потому что вы совершенно бесплатно пользуетесь услугами третьей стороны для хранения вашей почты. Было совершенно глупо и наивно полагать, что сдавая чувствительную информацию третьей стороне на хранение, можно спать спокойно.
                      Поэтому тут ровно два выхода: либо настроить собственный сервер с блэ dkim и pgp, либо смириться, что ваша информация может быть в любой момент быть внезапно вывешена в интернеты или тихо слита фсб/цру/моссад. Ни один из этих вариантов не включает стенания на форумах и хабрах про злые гуглояндексы, которые нарушают тайну вашей переписки своими грязными скриптами.
                      Ну и да, правило «всё что попало в сеть, остаётся там навсегда» тоже всё ещё работает. Это интернет, детка.
                        –4
                        Троль, потому что вы совершенно бесплатно пользуетесь услугами третьей стороны для хранения вашей почты.
                        Я этой стороне деньги зарабатываю пользуясь их сервисами.
                    0
                    Gmail действительно анализирует содержимое писем для показа контекстной рекламы. Яндекс так не делает, и таких планов нет.
                      0
                      Контекстной рекламы нет, и это очень хорошо. Но даже уведомление 'В тексте Вашего письма найдено событие «встреча»', честно говоря, выглядит пугающе.
                  +3
                  Если это поможет в борьбе со спамом, то я только за. Сам пользуюсь на 95% яндекс почтой.
                    0
                    del
                      +2
                      Люди не читают письма (ни сотрудники Яндекса, ни тем более кто-то ещё). Письма проходят через машины точно так же, как и раньше. Робот принимает решение о том, спам это или нет. Для того чтобы сделать такое решение, недостаточно посмотреть только на отправителя письма, который может быть легко подделан. Письмо анализируется машиной. Эта информация остаётся внутри машины и не выдаётся третьим лицам в точности с Политикой конфиденциальности Яндекса legal.yandex.ru/confidential. Стоит также отметить, что информация остаётся в машине только на то время, пока нужно принять решение «спам или нет». Дальше информация хранится только внутри Вашего почтового ящика.
                        +3
                        А как же сбор корпуса «хама» и спама? Или вы не берете, допустим, каждое тысячное письмо в базу «хороших писем»? Если так, то как вы боретесь с ложными срабатываниями?
                          0
                          Такую выборку мы не делаем. У Спамообороны есть множество своих технологий, позволяющих определять ложные срабатывания, но пока что мы не готовы их раскрывать. Возможно, в будущем мы сделаем какой-то общий обзор Спамообороны так, чтобы не выдать секретов :)
                        +3
                        Конечно, они читают вслух все ваши письма. И смотрят вложения.
                        +7
                        Так и не поняла, а где про картинки и какие сложности с картинками?
                          –3
                          См. «Санитайзер»
                            +3
                            Ну это HTML, но Gmail верстку оставляет (а значит и фильтрует), а картинки выключает. Судя по заголовку поста я подумала, что есть проблемы именно с картинками и стало интересно какие.
                              0
                              Гугл с декабря прошлого года показывает все картинки по-умолчанию
                                0
                                Gmail фильтрует очень тупо. Так, я столкнулся с тем, что он вырезает все стили, если встречает незнакомое правило. Только незнакомым ему показалось довольно известное «box-shadow».
                                  0
                                  Вот здесь про это www.google.ru/search?q=уязвимость+jpg
                                +6
                                Немного темы с содержимым письма коснулись в разделах «Санитайзер» и «Отображение письма». Какие проблемы безопасности информации и вообще отображения писем касаются именно картинок в письмах?
                                1. Яндекс.Почта для защиты пользовательской информации работает по шифрованному протоколу HTTPS. К сожалению, не все прочие сайты поддерживают протокол https, поэтому картинки с сайтов без шифрования могут не показываться.
                                2. Вместе с картинками может передаваться вредоносный код, который может навредить компьютеру или украсть какую-то персональную информацию.
                                3. Многие рассыльщики, вставляя в html-тело письма картинку с какого-то своего хостинга (по прямому url’у) затем собирают статистику по просмотрам этой картинки: они могут получить IP адреса просматривающих картинку пользователей, а также количество пользователей, просмотревших картинку. Возможно, ещё какую-то информацию, благодаря возможности принять cookies для того хоста, на котором расположена картинка.

                                Чтобы решить все обозначенные проблемы Яндекс.Почта использует специальный кешер, который выкачивает со сторонних хостов все изображения и показывает пользователям картинки с серверов Яндекса, а не со сторонних хостингов.
                                  +2
                                  Чтобы решить все обозначенные проблемы Яндекс.Почта использует специальный кешер, который выкачивает со сторонних хостов все изображения и показывает пользователям картинки с серверов Яндекса, а не со сторонних хостингов.

                                  Собственно, очевидное решение, поэтому и странно было увидеть такой заголовок )
                                  Яндекс.Почта для защиты пользовательской информации работает по шифрованному протоколу HTTPS. К сожалению, не все прочие сайты поддерживают протокол https, поэтому картинки с сайтов без шифрования могут не показываться.

                                  Это да.
                                  Вместе с картинками может передаваться вредоносный код, который может навредить компьютеру или украсть какую-то персональную информацию.

                                  Вот об этом и хотелось узнать поподробнее!
                                  Многие рассыльщики, вставляя в html-тело письма картинку с какого-то своего хостинга (по прямому url’у) затем собирают статистику по просмотрам этой картинки: они могут получить IP адреса просматривающих картинку пользователей, а также количество пользователей, просмотревших картинку. Возможно, ещё какую-то информацию, благодаря возможности принять cookies для того хоста, на котором расположена картинка.

                                  Хм, вроде Unisender до последнего времени давал такую возможность, а давно вы стали выкачивать фотки? Я так понимаю это тоже не в целях безопасности, а в целях продвижения своего сервиса «Яндекс.Почтовый офис»? Или были какие-то прецеденты именно с безопасностью связанные?
                                    0
                                    Кэширование картинок мы внедрили вместе с принудительным переводом пользователей на шифрованный протокол, то есть в 2011 году. Поэтому что за информацию предоставлял unisender, не могу сказать. Конечно, информацию о количестве просмотров на 100% именно кэшированием не спрятать, но вот получить данные об IP адресах пользователей и послать браузеру пользователя cookies на хост, где лежит картинка, уже невозможно. Кроме того, простые спамеры использовали именно данные о количестве просмотров картинок, эти данные собирались простыми методами, которые как раз удаётся отсечь кэшированием. Нам бы не хотелось, чтобы спамеры имели дополнительный способ узнать, прочитан ли их спам или нет, существует пользователь «на том конце» или нет. Кэширование картинок в письмах началось задолго до запуска сервиса Почтовый Офис и не связано с ним. Почтовый Офис — сервис для честных рассыльщиков, а не для тех, с кем мы боролись, отсекая сбор информации по просмотрам картинок.

                                    Вместе с картинками может передаваться вредоносный код, который может навредить компьютеру или украсть какую-то персональную информацию.
                                    Вот об этом и хотелось узнать поподробнее!
                                    Файл с картинкой может нести в себе не только «код» самой картинки, но и дополнительную информацию (самое распространённое — EXIF-данные о снимке). Точно так же в файл можно добавить и вирус.
                                      0
                                      Нам бы не хотелось, чтобы спамеры имели дополнительный способ узнать, прочитан ли их спам или нет, существует пользователь «на том конце» или нет. Кэширование картинок в письмах началось задолго до запуска сервиса Почтовый Офис и не связано с ним. Почтовый Офис — сервис для честных рассыльщиков, а не для тех, с кем мы боролись, отсекая сбор информации по просмотрам картинок.


                                      Спасибо за ответ, но про не давать возможность узнать прочитал человек письмо или нет — спорный вопрос.
                                      Во-первых, не все рассыльшики спамеры и точно так же, как вы улучшаете свой сервис на основе данных из писем, компании могут улучшать свою рассылку и сервисы на основе данных о прочтении.
                                      Во-вторых, очень многие популярные мессенджеры дают возможность увидеть — прочел ли собеседник сообщение (хотя там спам тоже есть).

                                      Т.е. по сути, вы улучшили свой сервис в том числе за счет нормальных компаний.
                                        0
                                        Честным рассыльщикам мы предоставили возможность смотреть эту информацию через почтовый офис. В том числе у Почтового офиса есть открытое API api.yandex.ru/postoffice, которое могут подключать к себе сервисы сбора статистики. К сожалению, как мы уже неоднократно писали, недобросовестных рассыльщиков — большинство, от них всех пользователей нужно защищать.
                                          0
                                          Да, я пользуюсь этим сервисом, но ведь я правильно понимаю, что там нельзя посмотреть данные относительно конкретного письма конкретному клиенту? Там ведь только статистика или я чего-то не нашла?
                                            +1
                                            Информацию о том, прочитал ли письмо какой-то один определённый пользователь, мы действительно не предоставляем, так как считаем это личной, приватной информацией.
                                              0
                                              Не очень логично тогда получается.
                                              PostOffice позволяет узнать эту информацию о пакете писем, следовательно если я пошлю одно письмо — я гарантированно узнаю о письме конкретному человеку. Уже не личная информация.
                                              Если я посылаю письма с абсолютно разными темами письма — я опять же могу следить за конкретным человеком.
                                              Самое главное, Яндекс.Директ не считает личной информацией действия человека, показывая ему таргетированную рекламу, а вот все остальные права следить не имеют — получается так.
                                                +2
                                                Почтовый офис не показывает статистику по рассылкам менее 100 писем. Яндекс.Директ не рассказывает Вам, что пользователь с логином vasiliy.pupkin зашёл на сайт gay-porno.xxx :) Вот и Яндекс.Почта не хочет говорить, что конкретный пользователь открыл какое-то письмо. Содержимое почтового ящика охраняется законами о тайне переписки.
                                                  –1
                                                  Я о том, что метрика и поиск Яндекса рассказывают Директу информацию о пользователе, хотя это разные сервисы. Получается, с точки зрения Яндекса, все компании недостойны личной информации о пользователе, кроме Директа.
                                                    +2
                                                    Потому что она персональная. Разглашать персональную информацию, которую пользователь доверил только Яндексу, мы не намерены. Кажется, тут всё понятно и логично. Соглашение у пользователя с Яндексом, а не с другими сайтами.
                                                      0
                                                      Разглашать персональную информацию, которую пользователь доверил только Яндексу, мы не намерены.

                                                      Как вы правильно написали — это всего лишь вопрос лицензионного соглашения, а не какой то высшей правды (или закона) о личной информации. Точно так же можно прописать в соглашении Яндекс Почте, что информация о прочтении вами письма будет доставлена отправителю.
                                                      Это просто политика Яндекса — не давать эту информацию другим компаниям, а вот о мотивах вы не говорите. Наверное, дело в желании монополизировать рынки, не знаю.
                                                        0
                                                        Мотив — доверие пользователей :) Без этого доверия мы далеко не уедем.
                                                0
                                                Пользуясь случаем, хочу сказать что подписка на FBL не работает, не приходят письма на валидацию, и вообще сам интерфейс сторонний и ужасно странный, нет удобного списка доменов и текущих адресов, как в mail.ru
                                                Информация о прочтении не может считаться приватной, потому что мы сами инициируем отправки письма, и бизнес-интересы требуют знать, какой именно наш пользователь прочитал письмо и какой именно перешёл, чтобы в дальнейшем например слать более персонализированные рассылки, или формировать правильную очерёдность списка рассылки, рассылая в первую очередь максимально заинтересованным, тот кто чаще открывал письма, ставя в конец очереди или вообще временно исключая (для снижения вашей же нагрузки!) из рассылки тех, кто давно не открывал письма.
                                  +1
                                  В сутки наши пользователи получают около ста миллионов писем и около тридцати миллионов прочитывают через веб-интерфейс

                                  А остальные 70 миллионов писем просто удаляют без прочтения, или пользуются какими-то устаревшими подходами, вроде Аутлука, когда почта складывается где-то на компьютере?
                                  Любопытно было бы узнать!
                                    +2
                                    Складывать на компьютере не обязательно, для этого есть протокол IMAP, который по сути просто удаленный доступ к письмам, и который поддерживается всеми современными почтовыми клиентами (Mozilla Thunderbird, The Bat!, MS Outlook итд). Складывание почты на компьютере это скорее POP3, который уже практически deprecated.
                                    +3
                                    Поясните, зачем меняете все ссылки в письме на свои, которые не открываются в других местах.
                                    Пример:
                                    Мне пришло письмо со ссылкой глубоко на сайт, которым я пользуюсь в другом браузере.
                                    Я копирую эту ссылку и открываю в том браузере, где я не залогинен в я-почту, как результат ссылка не работает.
                                    Если я всё же кликаю по ней в том же браузре, сайт пересылает меня на главную страницу для логина, а я не успеваю увидеть урл, на который меня посылали.
                                    Вопрос:
                                    Как узнать адрес ссылки, которую мне присылали?
                                    (С урлами картинок понятно, они открываются автоматом, а вот ссылки хотелось бы сохранять оригинальными)
                                      +1
                                      Уточните, пожалуйста, каким интерфейсом Яндекс.Почты Вы пользуетесь: полной версией или лёгкой (lite)? В полной версии клик по ссылке копирует оригинал ссылки. Хотя при переходе по ссылке она всё равно пропускается через «редиректор». В лёгкой версии невозможно поддержать такую же схему из-за ограничений по технологиям — приходится прямо в теле писем показывать ссылку на редиректор. Делается это для того, чтобы пользователи не переходили по опасным ссылкам. В момент перехода ссылка сверяется с базой безопасного поиска, и если она там есть, то пользователь получит предупреждение. О технологиях безопасного поиска мы писали ранее.

                                      Если какие-то ссылки неправильно обрабатываются нашим интерфейсом переадресации, пришлите, пожалуйста, оригинал такого письма на адрес mail@support.yandex.ru с описанием ситуации. Получить оригинал письма можно так: на странице просмотра письма нажмите «подробнее», затем «свойства письма», а открывшийся текст сохраните комбинацией Ctrl+S в виде файла с расширением eml. (Эта инструкция применима для полного интерфейса, не для мобильного или лёгкого)
                                        +3
                                        Да, использую именно лёгкую версию.
                                        Я ценю вашу заботу о моей безопасности, но хотелось бы иметь настройку отображения/скрывания опасностей.
                                        Пока не нашёл кнопку «подробнее» в лёгком интерфейсе, поищу позже с более быстрым интернетом.

                                        Но вопрос остался, зачем редиректор требует залогиненности?

                                        p.s. тяжёлой версией не пользуюсь из-за тормознутости даже на быстром интернете и невозможности выделять текст из заголовка письма в списке писем ну и прочих подобных неудобностей.

                                        Спасибо.
                                          +1
                                          Ссылка требует авторизации, чтобы за хостом Яндекс.Почты не прятали другие ссылки и не использовали его публичный сервис переадресаций. Это небезопасно. Тот же свежий фишинг можно так спрятать за редиректором Яндекс.Почты, и в ссылке пользователь увидит хост, которому доверяет, то есть mail.yandex.ru.
                                          Мы постараемся придумать что-нибудь для интерфейса lite, чтобы и там тоже по клику правой клавишей можно было копировать оригинальную ссылку, а не редиректор.

                                          Давно Вы пользовались полной версией? Мы постоянно работаем над ускорением интерфейса, в том числе и на медленных соединениях и готовы рассматривать любые жалобы на эту тему. Разумеется, хочется понимания, что такое «медленно», как-то это измерять (wireshark, http-заголовки или хотя бы информацию о выполнении того или иного запроса в консоли браузера во вкладке Net).

                                          Копировать текст прямо в списке писем возможно, если отключить возможность перетаскивать письма на странице «прочих настроек».

                                          PS: ссылки «подробнее» и «свойства письма» в lite-интерфейсе отсутствуют. Свойства письма можно ещё получить по адресу mail.yandex.ru/neo2/handlers/message-source/ID_ПИСЬМА/yandex_email.eml, где ID_ПИСЬМА берётся из ссылки на само письмо.
                                      –2
                                      Картинка на 923КБ — для привлечения внимания и траффика? ;)
                                        0
                                        Благодаря ей даже если ваш провайдер украл вашу авторизацию, пока вы без шифрования,…

                                        Так… к вам ещё не пришли? :) в свете habrahabr.ru/post/222455/#comment_7575857
                                          +7
                                          Пожалуйста, начните опять продавать Спамоборону!

                                          Отдавать вам конторскую почту (как Вы выше заметили — на бесплатный сервис, где с ней могут сделать что хотят) — не хочется. Хочется иметь свой, in-house, механизм борьбы со спамом по контексту, менющийся с потоком спама. обновляемый, быстрый, без тупого Bayes-распознования. Пока продавали СО — было очень хорошо, SA сильно отставал от СО именно по борьбе со свежим спамом.

                                          Зарубили So1024, зарубили продажи CO — клиентам либо к Касперу идти, либо SA ставить…
                                            0
                                            Самое интересное что So1024 еще работает. Можно попытать счастья в vade-retro.com (мне не ответили) Это их фильтр или их технология работает в спамообороне. Или сразу в Dr.Web, цены там адекватные. Но бесплатно не получится, эра in-house почты уходит — 90% почты в руках 10% компаний.
                                              0
                                              Ну 1024 для внутреннего использования — никак не подходит, они письма отправляет на свои сервера, т.е. получаем почти Я-почту, только с лимитом в 1024 письма в сутки. И без гарантии жизнеспособности в будущем.

                                              В DrWeb звонил, Спамоборону они не продают, можно лишь взять у них антивирус DrWeb, в который встроен антивирус как одна из функций.

                                              Честно говоря, отдавать «налево» конторскую почту, может, и мысль (все равно переписка часто идет с ящиками у них же, у mail.ru, gmail.com, yahoo.com — т.е., по большому счету, не так много секретов сохраняет конторский почтовый сервер), но от внешний компаний какие гарантии работоспособности? Плюс ни логов, но сложно логики обработки, ни уверенности, что завтра, хм, не изменят параметры предоставления сервиса — но полная уверенность, что почту, кому надо, прочтет (тот же СОРМ как пример). Ну его, в общем.

                                              Спрошу еще у Касперских, что у них в смысле живости Спамтеста, но и тут, подозреваю, не очень много веселого. Кризис, что ли, что все компании антиспам продают только в нагрузку в ненужному, скажем, мне, антивирусу? )
                                            0
                                            Спасибо за статью, интересно.

                                            Круто было бы если бы вы код санитайзера открыли.
                                              0
                                              < удалено >
                                                +1
                                                > Уже довольно давно веб-интерфейс Яндекс.Почты работает только с использованием безопасного протокола HTTPS.
                                                > Для этого ему потребуется дополнительная кука, которую можно получить только расшифровав HTTPS-трафик.

                                                Ради интереса проверил, сработало
                                                forum.searchengines.ru/showpost.php?p=12817273&postcount=43
                                                  0
                                                  К сожалению, в некоторых случаях специальная дополнительная шифрованная кука и правда не срабатывает — наши специалисты уже исправляют эту проблему, скоро всё станет супер-надёжно!
                                                    0
                                                    А вознаграждения тот тип так и не дождался?
                                                      0
                                                      Всё закончилось хорошо, служба безопасности снова связалась с тем человеком, награда нашла своего героя!
                                                    0
                                                    И вот уже исправили! :)
                                                    0
                                                    Как обойти защиту от спама?
                                                    У меня в базе 600 студентов, периодически я им отправляю материалы.
                                                    Простенькая CRM умеет делать рассылку, надо только прописать smtp-сервер.
                                                    Указал свой логин на Яндексе, smtp.yandex.ru:465 и сумел отправить 200 писем в сутки.
                                                    А если больше, Яндекс дает ошибку «подозрение на спам». При этом в заголовке и в теле письма есть Имя-Отчество (т.е. письма чуть-чуть разные).
                                                    Ладно, смирился, но через какое-то время Яндекс стал ругаться после 100 писем.
                                                    Попробовал smtp.googlemail.com:587/TLS
                                                    После 50 писем получил ошибку «Перейдите в режим веб-интерфейса».
                                                    Что посоветует уважаемый All?

                                                      0
                                                      Например, поднять свой exim, с правильным обратным dns, с dkim, list-unsubscribe и другими признаками добропорядочного bulk email.
                                                        0
                                                        С трудом представляю, как мне это все настроить на моем ноутбуке под win7/HomeEdition.
                                                        Есть решения попроще?
                                                        Можете посоветовать smtp подобрее в плане спама?
                                                        smtp.mail.ru я проверил — то же самое.
                                                          0
                                                          Ни один бесплатный публичный smtp не разрешит вам слать почту в неограниченных объемах, а те, которые разрешат — они не бесплатные. Те бесплатные, которые всё же разрешат, имеют низкие рейтинги во всяких черных и серых списках, и почта с них автоматически попадает в спам или ей вообще отказывают в приеме.

                                                          На Windows 7 Home Edition можно поднять EXIM следующими путями:

                                                          1. При помощи cygwin, но это сопряжено с возможными трудностями.
                                                          2. При помощи mingw/msys, но это сопряжено с еще большими трудностями при отсутствии опыта.
                                                          3. При помощи виртуальной машины с каким-нибудь мусорным линуксом для начинающих, типа Ubuntu. Такие дистрибутивы не требуют знаний для базовой настройки, и достаточно большое количество туториалов в интернете подразумевают, что у вас что-то убунтуподобное.
                                                          4. Вместо EXIM поискать какой-нибудь WinSMTP (название взято из головы), но нет гарантий, что этот WinSMTP имеет поддержку всего нужного, чтобы ваши письма выглядели правильно и хорошо.

                                                          Что касается того, как сделать так, чтобы ваши письма не попадали в спам, есть, например, рекомендации от Google — support.google.com/mail/answer/81126 — они справедливы для большинства других сервисов.
                                                            0
                                                            Спасибо, но проблема решилась.
                                                            Студент предложил свой smtp-сервер, обещал не антиспамить
                                                              0
                                                              Будем надеяться, что у студента настроено всё, что нужно, и антиспамить не будут его.
                                                                0
                                                                Вот, нашел-таки в толще букмарков нужную ссылку — www.mail-tester.com/

                                                                Отправьте туда пример вашего письма с материалами для студентов, и увидите, как среднестатистический спамфильтр видит ваше письмо. Заодно определите недочёты в настройке сервера студента, если они есть.
                                                                  0
                                                                  спасибо
                                                          0
                                                          Можно отправлять через веб-интерфейс, а не сторонний интерфейс, взаимодействующий с SMTP. Когда Вы отправляете письма по SMTP, Яндекс никак не может отличить Вас от робота, рассылающего спам. А вот в веб-интерфейсе для этого при подозрениях на спам Вас попросят ввести контрольные цифры.

                                                          Также можно ещё завести Почту для домена, раздать ящики внутри этой почты студентам, а затем добавить их адреса в списки рассылки help.yandex.ru/pdd/additional/maillists.xml.

                                                          > Как обойти защиту от спама?
                                                          Ох, этот вопрос интересует иногих спамеров ;) К счастью, коллеги из Спамообороны всегда начеку.

                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                        Самое читаемое