Pull to refresh

Comments 71

То есть вы читаете все наши письма и просматриваете все вложения, ну теперь я точно спокоен…
Вы говорите об этом так, словно это ненормально.
Пользуясь бесплатным сервисом, будьте готовы к тому, что ваша почта доступна «третьим лицам».
Сейчас это конечно в порядке вещей, но все идет к тому что уже проделала гугл — " мы читаем все ваши письма, все файлы в облаке, все поисковые запросы просто что бы знать о вас все и продавать эту инфу" на фоне этого госконтроль интернета уже не так страшен, и говорю как обычный пользователь — нет это даже не мешает, но осадок остается…
Никто не мешает вам установить почтовый сервер дома. И файлы хранить там же. А поиском пользоваться анонимно.
Только недавно понял, почему идея установить сервер дома может оказаться хуже, чем арендовать сервер где-нибудь в Германии, или в любой другой стране, отличной от страны проживания. Надеюсь на этой неделе руки таки дойдут написать статью по этому поводу.
Под «установить сервер дома» я имел ввиду не географическое расположение
Хоспади, что за троли на хабре… Ясно же написано что и с какой целью просматривается машинами. Никто вашу почту не читает. Грош цена тому платному сервису почты, который не будет заботиться о безопасности своих пользователей.
Почему сразу троль? Это естественная реакция на информацию о том что 100% твоих писем анализируется — и в случае смены политики компании или утечки — тебя заденет. Опять повторяю — что как пользователю мне это не мешает, но все же эта информация не утешает.
А что вы понимаете под анализом? Ваша почта и так находится на серверах Яндекса.

Если я напишу
$message_body = GetMessageBody($message)

то это еще не анализ, а если напишу
$message_body = GetMessageBody($message);
if (IsSpam($message_body))
  return;

то это уже анализ? Какая в данном случае разница, анализируются письма или нет? Они вообще анализируются еще на этапе приема самим почтовым сервером. Например, почтовый сервер не желает принимать письма с вложениями более 20 МБ. Таки это анализ или еще нет?
Мы анализируем тексты писем — я это понимаю как смысловой анализ и поиск по словам и фразам.
И? В чем принципиальная разница между проверкой на размер вложения и смысловым анализом текста? И то, и то работает с содержимым письма, и результат примерно одинаковый — спам отбраковывается, письма с большими вложениями не доходят.
Не стоит вопрос о разнице, вопрос в том как это можно использовать.
Использовать можно и так, не находите? Когда письмо попало на сервер — с ним уже могут сделать совершенно все что угодно, никому не говоря. Тут только два варианта — либо полностью доверять публичным сервисам, либо завести свой уютный почтовый сервер.
Письмо в любом случае нужно проанализировать, чтобы разбить на биты и байты и правильно записать в память, т.е. произвести нелегальное копирование. Мужайтесь.
Троль, потому что вы совершенно бесплатно пользуетесь услугами третьей стороны для хранения вашей почты. Было совершенно глупо и наивно полагать, что сдавая чувствительную информацию третьей стороне на хранение, можно спать спокойно.
Поэтому тут ровно два выхода: либо настроить собственный сервер с блэ dkim и pgp, либо смириться, что ваша информация может быть в любой момент быть внезапно вывешена в интернеты или тихо слита фсб/цру/моссад. Ни один из этих вариантов не включает стенания на форумах и хабрах про злые гуглояндексы, которые нарушают тайну вашей переписки своими грязными скриптами.
Ну и да, правило «всё что попало в сеть, остаётся там навсегда» тоже всё ещё работает. Это интернет, детка.
Троль, потому что вы совершенно бесплатно пользуетесь услугами третьей стороны для хранения вашей почты.
Я этой стороне деньги зарабатываю пользуясь их сервисами.
Gmail действительно анализирует содержимое писем для показа контекстной рекламы. Яндекс так не делает, и таких планов нет.
Контекстной рекламы нет, и это очень хорошо. Но даже уведомление 'В тексте Вашего письма найдено событие «встреча»', честно говоря, выглядит пугающе.
Если это поможет в борьбе со спамом, то я только за. Сам пользуюсь на 95% яндекс почтой.
Люди не читают письма (ни сотрудники Яндекса, ни тем более кто-то ещё). Письма проходят через машины точно так же, как и раньше. Робот принимает решение о том, спам это или нет. Для того чтобы сделать такое решение, недостаточно посмотреть только на отправителя письма, который может быть легко подделан. Письмо анализируется машиной. Эта информация остаётся внутри машины и не выдаётся третьим лицам в точности с Политикой конфиденциальности Яндекса legal.yandex.ru/confidential. Стоит также отметить, что информация остаётся в машине только на то время, пока нужно принять решение «спам или нет». Дальше информация хранится только внутри Вашего почтового ящика.
А как же сбор корпуса «хама» и спама? Или вы не берете, допустим, каждое тысячное письмо в базу «хороших писем»? Если так, то как вы боретесь с ложными срабатываниями?
Такую выборку мы не делаем. У Спамообороны есть множество своих технологий, позволяющих определять ложные срабатывания, но пока что мы не готовы их раскрывать. Возможно, в будущем мы сделаем какой-то общий обзор Спамообороны так, чтобы не выдать секретов :)
Так и не поняла, а где про картинки и какие сложности с картинками?
UFO just landed and posted this here
Ну это HTML, но Gmail верстку оставляет (а значит и фильтрует), а картинки выключает. Судя по заголовку поста я подумала, что есть проблемы именно с картинками и стало интересно какие.
UFO just landed and posted this here
Немного темы с содержимым письма коснулись в разделах «Санитайзер» и «Отображение письма». Какие проблемы безопасности информации и вообще отображения писем касаются именно картинок в письмах?
1. Яндекс.Почта для защиты пользовательской информации работает по шифрованному протоколу HTTPS. К сожалению, не все прочие сайты поддерживают протокол https, поэтому картинки с сайтов без шифрования могут не показываться.
2. Вместе с картинками может передаваться вредоносный код, который может навредить компьютеру или украсть какую-то персональную информацию.
3. Многие рассыльщики, вставляя в html-тело письма картинку с какого-то своего хостинга (по прямому url’у) затем собирают статистику по просмотрам этой картинки: они могут получить IP адреса просматривающих картинку пользователей, а также количество пользователей, просмотревших картинку. Возможно, ещё какую-то информацию, благодаря возможности принять cookies для того хоста, на котором расположена картинка.

Чтобы решить все обозначенные проблемы Яндекс.Почта использует специальный кешер, который выкачивает со сторонних хостов все изображения и показывает пользователям картинки с серверов Яндекса, а не со сторонних хостингов.
Чтобы решить все обозначенные проблемы Яндекс.Почта использует специальный кешер, который выкачивает со сторонних хостов все изображения и показывает пользователям картинки с серверов Яндекса, а не со сторонних хостингов.

Собственно, очевидное решение, поэтому и странно было увидеть такой заголовок )
Яндекс.Почта для защиты пользовательской информации работает по шифрованному протоколу HTTPS. К сожалению, не все прочие сайты поддерживают протокол https, поэтому картинки с сайтов без шифрования могут не показываться.

Это да.
Вместе с картинками может передаваться вредоносный код, который может навредить компьютеру или украсть какую-то персональную информацию.

Вот об этом и хотелось узнать поподробнее!
Многие рассыльщики, вставляя в html-тело письма картинку с какого-то своего хостинга (по прямому url’у) затем собирают статистику по просмотрам этой картинки: они могут получить IP адреса просматривающих картинку пользователей, а также количество пользователей, просмотревших картинку. Возможно, ещё какую-то информацию, благодаря возможности принять cookies для того хоста, на котором расположена картинка.

Хм, вроде Unisender до последнего времени давал такую возможность, а давно вы стали выкачивать фотки? Я так понимаю это тоже не в целях безопасности, а в целях продвижения своего сервиса «Яндекс.Почтовый офис»? Или были какие-то прецеденты именно с безопасностью связанные?
Кэширование картинок мы внедрили вместе с принудительным переводом пользователей на шифрованный протокол, то есть в 2011 году. Поэтому что за информацию предоставлял unisender, не могу сказать. Конечно, информацию о количестве просмотров на 100% именно кэшированием не спрятать, но вот получить данные об IP адресах пользователей и послать браузеру пользователя cookies на хост, где лежит картинка, уже невозможно. Кроме того, простые спамеры использовали именно данные о количестве просмотров картинок, эти данные собирались простыми методами, которые как раз удаётся отсечь кэшированием. Нам бы не хотелось, чтобы спамеры имели дополнительный способ узнать, прочитан ли их спам или нет, существует пользователь «на том конце» или нет. Кэширование картинок в письмах началось задолго до запуска сервиса Почтовый Офис и не связано с ним. Почтовый Офис — сервис для честных рассыльщиков, а не для тех, с кем мы боролись, отсекая сбор информации по просмотрам картинок.

Вместе с картинками может передаваться вредоносный код, который может навредить компьютеру или украсть какую-то персональную информацию.
Вот об этом и хотелось узнать поподробнее!
Файл с картинкой может нести в себе не только «код» самой картинки, но и дополнительную информацию (самое распространённое — EXIF-данные о снимке). Точно так же в файл можно добавить и вирус.
Нам бы не хотелось, чтобы спамеры имели дополнительный способ узнать, прочитан ли их спам или нет, существует пользователь «на том конце» или нет. Кэширование картинок в письмах началось задолго до запуска сервиса Почтовый Офис и не связано с ним. Почтовый Офис — сервис для честных рассыльщиков, а не для тех, с кем мы боролись, отсекая сбор информации по просмотрам картинок.


Спасибо за ответ, но про не давать возможность узнать прочитал человек письмо или нет — спорный вопрос.
Во-первых, не все рассыльшики спамеры и точно так же, как вы улучшаете свой сервис на основе данных из писем, компании могут улучшать свою рассылку и сервисы на основе данных о прочтении.
Во-вторых, очень многие популярные мессенджеры дают возможность увидеть — прочел ли собеседник сообщение (хотя там спам тоже есть).

Т.е. по сути, вы улучшили свой сервис в том числе за счет нормальных компаний.
Честным рассыльщикам мы предоставили возможность смотреть эту информацию через почтовый офис. В том числе у Почтового офиса есть открытое API api.yandex.ru/postoffice, которое могут подключать к себе сервисы сбора статистики. К сожалению, как мы уже неоднократно писали, недобросовестных рассыльщиков — большинство, от них всех пользователей нужно защищать.
Да, я пользуюсь этим сервисом, но ведь я правильно понимаю, что там нельзя посмотреть данные относительно конкретного письма конкретному клиенту? Там ведь только статистика или я чего-то не нашла?
Информацию о том, прочитал ли письмо какой-то один определённый пользователь, мы действительно не предоставляем, так как считаем это личной, приватной информацией.
Не очень логично тогда получается.
PostOffice позволяет узнать эту информацию о пакете писем, следовательно если я пошлю одно письмо — я гарантированно узнаю о письме конкретному человеку. Уже не личная информация.
Если я посылаю письма с абсолютно разными темами письма — я опять же могу следить за конкретным человеком.
Самое главное, Яндекс.Директ не считает личной информацией действия человека, показывая ему таргетированную рекламу, а вот все остальные права следить не имеют — получается так.
Почтовый офис не показывает статистику по рассылкам менее 100 писем. Яндекс.Директ не рассказывает Вам, что пользователь с логином vasiliy.pupkin зашёл на сайт gay-porno.xxx :) Вот и Яндекс.Почта не хочет говорить, что конкретный пользователь открыл какое-то письмо. Содержимое почтового ящика охраняется законами о тайне переписки.
Я о том, что метрика и поиск Яндекса рассказывают Директу информацию о пользователе, хотя это разные сервисы. Получается, с точки зрения Яндекса, все компании недостойны личной информации о пользователе, кроме Директа.
Потому что она персональная. Разглашать персональную информацию, которую пользователь доверил только Яндексу, мы не намерены. Кажется, тут всё понятно и логично. Соглашение у пользователя с Яндексом, а не с другими сайтами.
Разглашать персональную информацию, которую пользователь доверил только Яндексу, мы не намерены.

Как вы правильно написали — это всего лишь вопрос лицензионного соглашения, а не какой то высшей правды (или закона) о личной информации. Точно так же можно прописать в соглашении Яндекс Почте, что информация о прочтении вами письма будет доставлена отправителю.
Это просто политика Яндекса — не давать эту информацию другим компаниям, а вот о мотивах вы не говорите. Наверное, дело в желании монополизировать рынки, не знаю.
Мотив — доверие пользователей :) Без этого доверия мы далеко не уедем.
Пользуясь случаем, хочу сказать что подписка на FBL не работает, не приходят письма на валидацию, и вообще сам интерфейс сторонний и ужасно странный, нет удобного списка доменов и текущих адресов, как в mail.ru
Информация о прочтении не может считаться приватной, потому что мы сами инициируем отправки письма, и бизнес-интересы требуют знать, какой именно наш пользователь прочитал письмо и какой именно перешёл, чтобы в дальнейшем например слать более персонализированные рассылки, или формировать правильную очерёдность списка рассылки, рассылая в первую очередь максимально заинтересованным, тот кто чаще открывал письма, ставя в конец очереди или вообще временно исключая (для снижения вашей же нагрузки!) из рассылки тех, кто давно не открывал письма.
В сутки наши пользователи получают около ста миллионов писем и около тридцати миллионов прочитывают через веб-интерфейс

А остальные 70 миллионов писем просто удаляют без прочтения, или пользуются какими-то устаревшими подходами, вроде Аутлука, когда почта складывается где-то на компьютере?
Любопытно было бы узнать!
Складывать на компьютере не обязательно, для этого есть протокол IMAP, который по сути просто удаленный доступ к письмам, и который поддерживается всеми современными почтовыми клиентами (Mozilla Thunderbird, The Bat!, MS Outlook итд). Складывание почты на компьютере это скорее POP3, который уже практически deprecated.
Поясните, зачем меняете все ссылки в письме на свои, которые не открываются в других местах.
Пример:
Мне пришло письмо со ссылкой глубоко на сайт, которым я пользуюсь в другом браузере.
Я копирую эту ссылку и открываю в том браузере, где я не залогинен в я-почту, как результат ссылка не работает.
Если я всё же кликаю по ней в том же браузре, сайт пересылает меня на главную страницу для логина, а я не успеваю увидеть урл, на который меня посылали.
Вопрос:
Как узнать адрес ссылки, которую мне присылали?
(С урлами картинок понятно, они открываются автоматом, а вот ссылки хотелось бы сохранять оригинальными)
Уточните, пожалуйста, каким интерфейсом Яндекс.Почты Вы пользуетесь: полной версией или лёгкой (lite)? В полной версии клик по ссылке копирует оригинал ссылки. Хотя при переходе по ссылке она всё равно пропускается через «редиректор». В лёгкой версии невозможно поддержать такую же схему из-за ограничений по технологиям — приходится прямо в теле писем показывать ссылку на редиректор. Делается это для того, чтобы пользователи не переходили по опасным ссылкам. В момент перехода ссылка сверяется с базой безопасного поиска, и если она там есть, то пользователь получит предупреждение. О технологиях безопасного поиска мы писали ранее.

Если какие-то ссылки неправильно обрабатываются нашим интерфейсом переадресации, пришлите, пожалуйста, оригинал такого письма на адрес mail@support.yandex.ru с описанием ситуации. Получить оригинал письма можно так: на странице просмотра письма нажмите «подробнее», затем «свойства письма», а открывшийся текст сохраните комбинацией Ctrl+S в виде файла с расширением eml. (Эта инструкция применима для полного интерфейса, не для мобильного или лёгкого)
Да, использую именно лёгкую версию.
Я ценю вашу заботу о моей безопасности, но хотелось бы иметь настройку отображения/скрывания опасностей.
Пока не нашёл кнопку «подробнее» в лёгком интерфейсе, поищу позже с более быстрым интернетом.

Но вопрос остался, зачем редиректор требует залогиненности?

p.s. тяжёлой версией не пользуюсь из-за тормознутости даже на быстром интернете и невозможности выделять текст из заголовка письма в списке писем ну и прочих подобных неудобностей.

Спасибо.
Ссылка требует авторизации, чтобы за хостом Яндекс.Почты не прятали другие ссылки и не использовали его публичный сервис переадресаций. Это небезопасно. Тот же свежий фишинг можно так спрятать за редиректором Яндекс.Почты, и в ссылке пользователь увидит хост, которому доверяет, то есть mail.yandex.ru.
Мы постараемся придумать что-нибудь для интерфейса lite, чтобы и там тоже по клику правой клавишей можно было копировать оригинальную ссылку, а не редиректор.

Давно Вы пользовались полной версией? Мы постоянно работаем над ускорением интерфейса, в том числе и на медленных соединениях и готовы рассматривать любые жалобы на эту тему. Разумеется, хочется понимания, что такое «медленно», как-то это измерять (wireshark, http-заголовки или хотя бы информацию о выполнении того или иного запроса в консоли браузера во вкладке Net).

Копировать текст прямо в списке писем возможно, если отключить возможность перетаскивать письма на странице «прочих настроек».

PS: ссылки «подробнее» и «свойства письма» в lite-интерфейсе отсутствуют. Свойства письма можно ещё получить по адресу mail.yandex.ru/neo2/handlers/message-source/ID_ПИСЬМА/yandex_email.eml, где ID_ПИСЬМА берётся из ссылки на само письмо.
Картинка на 923КБ — для привлечения внимания и траффика? ;)
Пожалуйста, начните опять продавать Спамоборону!

Отдавать вам конторскую почту (как Вы выше заметили — на бесплатный сервис, где с ней могут сделать что хотят) — не хочется. Хочется иметь свой, in-house, механизм борьбы со спамом по контексту, менющийся с потоком спама. обновляемый, быстрый, без тупого Bayes-распознования. Пока продавали СО — было очень хорошо, SA сильно отставал от СО именно по борьбе со свежим спамом.

Зарубили So1024, зарубили продажи CO — клиентам либо к Касперу идти, либо SA ставить…
Самое интересное что So1024 еще работает. Можно попытать счастья в vade-retro.com (мне не ответили) Это их фильтр или их технология работает в спамообороне. Или сразу в Dr.Web, цены там адекватные. Но бесплатно не получится, эра in-house почты уходит — 90% почты в руках 10% компаний.
Ну 1024 для внутреннего использования — никак не подходит, они письма отправляет на свои сервера, т.е. получаем почти Я-почту, только с лимитом в 1024 письма в сутки. И без гарантии жизнеспособности в будущем.

В DrWeb звонил, Спамоборону они не продают, можно лишь взять у них антивирус DrWeb, в который встроен антивирус как одна из функций.

Честно говоря, отдавать «налево» конторскую почту, может, и мысль (все равно переписка часто идет с ящиками у них же, у mail.ru, gmail.com, yahoo.com — т.е., по большому счету, не так много секретов сохраняет конторский почтовый сервер), но от внешний компаний какие гарантии работоспособности? Плюс ни логов, но сложно логики обработки, ни уверенности, что завтра, хм, не изменят параметры предоставления сервиса — но полная уверенность, что почту, кому надо, прочтет (тот же СОРМ как пример). Ну его, в общем.

Спрошу еще у Касперских, что у них в смысле живости Спамтеста, но и тут, подозреваю, не очень много веселого. Кризис, что ли, что все компании антиспам продают только в нагрузку в ненужному, скажем, мне, антивирусу? )
Спасибо за статью, интересно.

Круто было бы если бы вы код санитайзера открыли.
> Уже довольно давно веб-интерфейс Яндекс.Почты работает только с использованием безопасного протокола HTTPS.
> Для этого ему потребуется дополнительная кука, которую можно получить только расшифровав HTTPS-трафик.

Ради интереса проверил, сработало
forum.searchengines.ru/showpost.php?p=12817273&postcount=43
К сожалению, в некоторых случаях специальная дополнительная шифрованная кука и правда не срабатывает — наши специалисты уже исправляют эту проблему, скоро всё станет супер-надёжно!
А вознаграждения тот тип так и не дождался?
Всё закончилось хорошо, служба безопасности снова связалась с тем человеком, награда нашла своего героя!
Как обойти защиту от спама?
У меня в базе 600 студентов, периодически я им отправляю материалы.
Простенькая CRM умеет делать рассылку, надо только прописать smtp-сервер.
Указал свой логин на Яндексе, smtp.yandex.ru:465 и сумел отправить 200 писем в сутки.
А если больше, Яндекс дает ошибку «подозрение на спам». При этом в заголовке и в теле письма есть Имя-Отчество (т.е. письма чуть-чуть разные).
Ладно, смирился, но через какое-то время Яндекс стал ругаться после 100 писем.
Попробовал smtp.googlemail.com:587/TLS
После 50 писем получил ошибку «Перейдите в режим веб-интерфейса».
Что посоветует уважаемый All?

Например, поднять свой exim, с правильным обратным dns, с dkim, list-unsubscribe и другими признаками добропорядочного bulk email.
С трудом представляю, как мне это все настроить на моем ноутбуке под win7/HomeEdition.
Есть решения попроще?
Можете посоветовать smtp подобрее в плане спама?
smtp.mail.ru я проверил — то же самое.
Ни один бесплатный публичный smtp не разрешит вам слать почту в неограниченных объемах, а те, которые разрешат — они не бесплатные. Те бесплатные, которые всё же разрешат, имеют низкие рейтинги во всяких черных и серых списках, и почта с них автоматически попадает в спам или ей вообще отказывают в приеме.

На Windows 7 Home Edition можно поднять EXIM следующими путями:

1. При помощи cygwin, но это сопряжено с возможными трудностями.
2. При помощи mingw/msys, но это сопряжено с еще большими трудностями при отсутствии опыта.
3. При помощи виртуальной машины с каким-нибудь мусорным линуксом для начинающих, типа Ubuntu. Такие дистрибутивы не требуют знаний для базовой настройки, и достаточно большое количество туториалов в интернете подразумевают, что у вас что-то убунтуподобное.
4. Вместо EXIM поискать какой-нибудь WinSMTP (название взято из головы), но нет гарантий, что этот WinSMTP имеет поддержку всего нужного, чтобы ваши письма выглядели правильно и хорошо.

Что касается того, как сделать так, чтобы ваши письма не попадали в спам, есть, например, рекомендации от Google — support.google.com/mail/answer/81126 — они справедливы для большинства других сервисов.
Спасибо, но проблема решилась.
Студент предложил свой smtp-сервер, обещал не антиспамить
Будем надеяться, что у студента настроено всё, что нужно, и антиспамить не будут его.
Вот, нашел-таки в толще букмарков нужную ссылку — www.mail-tester.com/

Отправьте туда пример вашего письма с материалами для студентов, и увидите, как среднестатистический спамфильтр видит ваше письмо. Заодно определите недочёты в настройке сервера студента, если они есть.
Можно отправлять через веб-интерфейс, а не сторонний интерфейс, взаимодействующий с SMTP. Когда Вы отправляете письма по SMTP, Яндекс никак не может отличить Вас от робота, рассылающего спам. А вот в веб-интерфейсе для этого при подозрениях на спам Вас попросят ввести контрольные цифры.

Также можно ещё завести Почту для домена, раздать ящики внутри этой почты студентам, а затем добавить их адреса в списки рассылки help.yandex.ru/pdd/additional/maillists.xml.

> Как обойти защиту от спама?
Ох, этот вопрос интересует иногих спамеров ;) К счастью, коллеги из Спамообороны всегда начеку.
Sign up to leave a comment.