Странная «фича» в почте mail.ru

    TL;DR Если в ящике mail.ru вы смотрите аттач к письму в браузере, то для формирования превьюшки копия документа «улетает» на IP Майкрософт в Редмонд.

    Хотелось бы конечно заголовок по кликбейтнее, а-ля «Mail.ru пересылает все ваши письма в США!» или «Microsoft знает содержимое всех вложений на вашем ящике!». Но давайте к фактам и конкретике. Отдельно хотелось бы поблагодарить О.Ю. Анциферова (ex-Dr.PornCop из «лампового» Хакера), который первым обратил внимание на «интересное» поведение почты.

    С чего всё началось?


    Всё началось с тестирования нашей DLP-системы. Отрабатывая различные сценарии по перехвату «облаков», заметил подозрительное движение данных. Мы воспроизвели эту ситуацию на обычном ящике. Результаты на скриншоте.

    image
    Обратите внимание на строки 26-23. Идут обращения на какой-то «другой» айпишник. Ты чьих будешь?

    image

    Понятно. Да и «SkyDrive» в столбце «От кого» как бы намекало. И на первый взгляд кажется, что это сам сотрудник что-то шлёт за границу. Но в арсенале «КИБ» есть другой модуль – MonitorController, — который отвечает за захват картинки с монитора. Модуль можно настроить в том числе и на непрерывную запись видео (что мы и сделали перед воспроизведением «фичи»). Далее – дело техники.

    Во-первых, сопоставили по времени действия пользователя и перехваченные данные по каналу Cloud. На видео было чётко видно: человек открывает письмо и кликает на приаттаченный вордовский документ. После этого открывается превью. При этом адрес страницы не «скачет». Как было …mail.ru\..., так и осталось.

    Во-вторых, надо убедиться, что шлётся не какая-нибудь «телеметрия», а именно тот самый документ. Взглянем, что там за xml передаётся.

    image

    «КИБ» распарсил содержимое и для нас было очевидно – это документ из аттача. Вы и сами можете повторить эксперимент. Обращение на IP можно увидеть на каком-нибудь прокси. С перехватом и ковырянием xml может быть сложнее, но осуществимо.

    В чём проблема?


    На мой взгляд проблема в том, что «А мужики-то не знают!». Многие государственные учреждения, вузы и другие организации имеют официальные ящики на mail.ru. И пользуются ими, как рабочими, пересылая интересную и не очень информацию. При этом, как видите, могут непреднамеренно отправить копию в Штаты.

    Этим постом хочется предупредить их о подвохе. Ведь могут пострадать невиновные сотрудники, которых ретивые, но не очень дотошные безопасники поспешат обвинить в сливе данных.

    А что mail.ru?


    Да ничего. Всё у них в порядке. Можно глянуть пользовательское соглашение, в котором ситуация прописана «ясным и понятным» языком:
    4.5. Отдельные Сервисы Компании предоставляют Пользователям возможность размещать Материалы, которые будут находиться в открытом доступе для всех пользователей сети Интернет либо для всех пользователей определенного Сервиса Компании. Используя такие Сервисы, Пользователь понимает и соглашается с тем, что, загружая Материалы на Сервис, Пользователь предоставляет к ним доступ вышеуказанным лицам по умолчанию.

    4.7. Пользователь, используя функционал Сервисов Mail.Ru, соглашается с тем, что некоторая информация может быть передана партнерам Mail.Ru исключительно в целях обеспечения предоставления Компанией Mail.Ru соответствующего Сервиса Пользователю, а равно предоставления Пользователю прав использования дополнительных функциональных (программных) возможностей соответствующего Сервиса, предоставляемых совместно с этими партнерами, и исключительно в объеме, необходимом для надлежащего предоставления таких Сервисов и/или функциональных возможностей, а также в иных случаях в целях исполнения условий настоящего Соглашения.

    Так что формально они ничего не нарушают.

    Забавно то, что они могли бы сделать нормальную реализацию и не гонять данные туда-сюда. К примеру, если загрузить тот же документ в их облако на cloud.mail.ru, то превьюшку формирует какой-то другой сервис и документ не улетает за границу. В конце концов, можно было развернуть этот генератор превьюшек в каком-нибудь отечественном ЦОДе. Почему же не сделали? Не знаю. Может кто-то из вас подскажет ответ в комментариях.

    P.S. @bk.ru, list.ru, inbox.ru не проверяли, но мне кажется, что там тоже «фича» воспроизведётся.
    SearchInform
    Разработчик ПО для защиты от внутренних угроз

    Comments 62

      +10
      Исключительно предположение: вся логика отвечающая за рендер вордовского документа находится на стороне майкрософта, а всем остальным они её отдают в виде апи. Ибо doc вроде как и открытый формат, но только для некоммерческих целей.
        +11
        Дело не в открытости или закрытости формата, а в том, что mail.ru ещё с 2015 года использует именно MS Office Online. И не то, что бы скрывает это — blog.mail.ru/redaktor-microsoft-office-online-v-pochte-i-oblake
        Собственно, если создать док в офисе онлайн, то он запрос так же уйдет на сервер в Редмонд
        скрин
        image

          0
          Мой вопрос был в том, что только-ли мейл это делает, или вообще все сервисы, где можно открыть офисный документ?
            0
            Есть как минимум onlyoffice и google документы, где движок рендера doc/docx файлов свой.
              +1
              google dock это издевательство вместо UI UX
              +1
              Сходу:
              vk.com/blog/documents
              Dropbox www.microsoft.com/en-us/microsoft-365/blog/2015/04/09/office-online-and-dropbox-web-integration-now-available
              Что рендер документа читается именно с серверов майкрософт — видно по консоли разработчика браузера, даже копать не надо.
                0
                Кстати, ВК это тоже мыло. Так что немного странно.
                0
                Да нет, конечно. Nextcloud+onlyoffice — рабочая связка без привлечения внешних сервисов, хотя, может, с location'ами придётся покорпеть в проксирующем Nginx.
            +56

            Я майкрософт больше доверяю, чем мэйл.ру

              +1
              Хм, я думал туда outlook данные шлет у коллег четко по расписанию с яндекс почты, а в итоге другое…
                +21

                Новость высосаная из пальца. Они используют движок office 365 для рендера документов. Это по моему даже так видно — где-то есть надпись. Не надо даже никакие ip и адреса искать. Видимо у них партнерское соглашение с MS.

                  0
                  Не на то обращаете внимание. Главный вопрос: почему это не сделали локально? Движок можно было развернуть в РФ.
                    0
                    Не знаю — позволяет ли это делать MS. Я так полагаю у них всё это развёрнуто в Azure. В лучшем случае в центре в Европе они могли инстансы поднять.
                    Хотя там есть такая вещь, что Azure можно поднять локально на своих мощностях.
                      0

                      Дешевле?

                        0
                        А зачем? Я думаю это не такая частая операция и возможно лишние 200мс-300мс не будут так критичны для итак неторопливого интерфейса.
                        А их ворд наверное бежит в отдельном инстансе на их акаунте в Asure. Наверное его непросто, если вообще возможно от туда вынести.
                          0
                          Есть редактор docx / xlsx, встроен в «Облако»

                          https://cloud.mail.ru/think-free/edit/home/Новый документ.docx

                          В сравнении с Office 365 он убогий.

                          Поэтому мэйл «просмотрщик» документов Office лицензирует у Microsoft, чтобы в почте документ можно было увидеть корректно, так как его видит отправитель. «Редактор» не лицензирован — предположу, что дорого.

                          Тем же, кому нужно сделать в браузере офисный документ, но нет Office 365, предлагается люто ограниченный бесплатный «условно-совместимый» локальный инструмент.
                          0
                          Насчет MS может и беспокоится, не стоит…
                          Но вот что действительно вызывает лично мое беспокойство, это сотни и сотни рекламных и пр. фирмочек которым MailRu требует разрешение на предоставление ваших данных. И Microsoft в этом списке нет — www.xeim.ru/2020/02/mailru-group.html
                          –2
                          Вы думаете это только с вордовскими файлами? Старенький PDF формат до сих пор
                          в большинстве случаев конвертируется в картинку через сторонние сервисы.
                            +1
                            Это таки немного другое. PDF нынче можно открыть прямо в браузере, причём функция доступна почти из коробки. Поэтому его многие отдают напрямую без какой-либо конвертации.
                            +19
                            Немного дополню, т.к. как раз занимаюсь безопасностью в mail.ru.
                            Как уже отметили в комментариях, для онлайн просмотра документов почта mail.ru, действительно, использует MS Office Online, это осознанное решение призванное обеспечить наилучший опыт работы с документами. При необходимости, документ всегда можно скачать напрямую из письма и открыть уже у себя локально, не используя онлайн просмотр.
                            Конечно, для клиентов требующих максимальной изоляции свои данных от любых внешних сервисов есть on-premise решение специально разработанное под подобные нужды. Развертывание в своей инфраструктуре позволяет контролировать и настраивать под свои нужны любые потоки данных.
                              0
                              Но почему нельзя было MS Office Online развернуть в РФ? По франшизе, так сказать.
                                –2

                                А зачем?

                                  +6

                                  по той же причине, что нельзя у себя развернуть azure или aws или gmail — это услуга а не продукт (SaaS)

                                    –2
                                    Но они же смогли сделать в cloud.mail.ru превью без передачи информации за границу. Там тоже просмотр и редактор есть. Почему не повторили реализацию?
                                      0

                                      вы когда mail.ru пользуетесь — вы доверяете свою переписку облачному сервису. office365 — ещё один облачный сервис, которому тоже можно доверять.


                                      Если вам нужна большая безопасность с меньшим количеством серверов, через которые проходят ваши данные, то бесплатный облачный сервис не самый лучший выбор.

                                        +4

                                        Вероятно, дело в разнице алгоритмов и качестве этих превьюшек. В почте читать Doc файл обычное дело, и критически важно чтобы оно выглядело также, как в MS Word. Ни одно строннее решение не может в деталях повторить всю разметку сложных документов.
                                        Если файл будет отображаться криво, то почту просто заплюют, а им этого не надо.
                                        В облаке ситуация другая, то документов таких гораздо меньше встречается, а если и встречаются, то их не пересылают туда-сюда регулярно изменяя. Поэтому, там можно использовать редактор попроще.

                                        +1
                                        у MS есть вполне себе on-Premise продукт Office Online Server
                                        Правда, не углублялся в вопрос лицензирования и открытости API. Обычно он используется для внутренних нужд SharePoint, Exchange, Lynk/Skype и покрывается лицензиями на обычный офис.
                                          0
                                          На просмотр, без редактирования, он бесплатный для тех у кого есть доступ к VLSC.

                                          Мы использовали его без SharePoint и прочего, для просмотра офисных документов внутри нашей системы на собственных мощностях.
                                      +3

                                      А что будет с "пользовательским опытом" в случае введения санкций США на Mai.Ru Group ?

                                        +3
                                        А что будет с «пользовательским опытом»

                                        отправится на помойку :)
                                          +1
                                          Вероятно, отключат возможность делать превьюхи и редактировать документы онлайн, либо сделают/интегрируют что-то своё наколеночное для того же функционала. Это не настолько жизненно важная фича чтобы креститься до раскатов грома. И почему-то мне думается что использовать майкрософтовский сервис в данном случае и лучше и дешевле одновременно.
                                            0
                                            Честно говоря. Проблема ж не потенциальной возможности санкций на Mai.Ru Group, а в потенциальной возможности санкций клиента Mai.Ru Group, т.к., как я понял, документ в MS загружается от имени клиента.
                                              0
                                              Более вероятно, что адреса MS попадут в «чёрный список» РКН, когда в тех же сетях Azure кто-то развернёт сайт наркотерропедофилов. И тогда у Mail.Ru отвалятся превьюшки.
                                              –1
                                              Данные сейчас в цене. Есть власти потребуют прекратить сотрудничество, тем самым, отказать от данных, то такие большие корпорации как Microsoft, Google, Amazon и пр., скорее, уберут с поста того, кто это предложил, чем подчинятся. Власти, как и бизнес будут делать только то, что выгодно.
                                              Если будет выгодно от чего-то отказаться — откажутся; нет — договорятся в свою пользу.
                                                +1

                                                Уверен, что для Google, Microsoft, Qualcomm, Arm, AT&T и многих других было ооочень выгодно работать с Huawei. Что-то всё еще на посту, тот кто ппредложил.

                                                  0
                                                  Применить санкции к компании, чтобы надавить на руководство страны. Вы же помните, что у них ещё и, в некотором роде, торговая война: то повышают пошлины, то понижают. Кроме того, неужели вы думаете, что у компаний, сотрудничавших с Huawei, нет альтернативных вариантов? Это больше PR и показательный процесс.

                                                  И ваш пример не касается данных. Источнику физических ресурсов можно найти альтернативу. Источнику данных — не всегда. Кроме того, некоторые данные быстро теряют актуальность и, если вовремя не использовать их, можно потерять прибыль. В большинстве случаев, такие данные используются для рекламы.
                                              0

                                              А что с неявным использованием? Например может при просмотре списка писем веб-интерфейс прокешировать "предпросмотр" вложений у новых писем так как пользователь скорее всего зайдет посмотреть новые письма? Или при наведении курсора на письмо и т.п.? Или отсылка документов в США работает только при явно клике на вложение?

                                                0
                                                решение призванное обеспечить наилучший опыт работы с документами

                                                звучит, как прямой перевод цитаты с английского :)
                                                –2

                                                Когда много кавычек, то пост тоже можно обернуть в них. Не нужно их так много.
                                                Вы в своем блоге дали возможность прорекламироваться mail.ru)

                                                  0
                                                  Больше похоже на рекламу своего продукта, пытаясь кого-то осквернить.
                                                  Смотрите у нас тут IP-шнечки американские, мы конечно не будем разбираться, что это и зачем, а еще xml-ки парсим.
                                                    0
                                                    Интересно, что же навело вас на эту мысль? Может хаб «Блог компании SearchInform».
                                                      0
                                                      Меня навело на эту мысль то, что вы не разобравшись в вопросе, написали статью на большую аудиторию. Сделать пару скринов с IP-шниками и указать их принаджлежность к США. Сколько у вас заняло это времени? 15 минут? Делалось по принципу «И так сойдёт.»
                                                        +1
                                                        Вот вы работали с системами DLP?
                                                        Элементарный кейс:
                                                        — у вас настроена система на отлов передачи ПД в облака.
                                                        — происходит срабатывание правила — паспорт ушел во внешнее облако. Пользователь установлен, паспорт установлен, куда ушло — установлено. Сам сотрудник, категорически отказывается признавать этот факт.
                                                        — Если особо не разобраться в ситуации, можно сотрудника покарать, вплоть до увольнения.
                                                        Или еще. Вы покупаете квартиру, или кредит оформляете и т.д… Естественно, используете личный ящик. А тут, все ваши ПД, зачем-то отправляются в ЧЬЕ-ТО облачное хранилище и непонятно, кто потом будет иметь к этим данным доступ и для чего. Вас это устраивает? Меня нет.
                                                        А еще и трансграничная передача ПД…
                                                          +2
                                                          Я понял, запретить сотрудникам использовать облака в рабочих целях это не про вас, как и развернуть свой почтовый сервис on-premise.
                                                            0
                                                            Такое впечатление, что вы читаете только первую и последнюю строку в сообщении. Ну или как-то выборочно
                                                              +1
                                                              Давайте посмотрим с другой стороны.

                                                              У нас есть небольшая компания, в штате которой только непосредственные исполнители основной функции. ИТ нет в принципе, покупать не планируем (то ли не хотим, то ли денег нет, неважно).

                                                              Все с младых ногтей пользуются mail.ru, и по невероятному стечению обстоятельств ни у кого, что называется, «ни единого разрыва». То есть, как пишут в таких случаях «нет оснований не доверять».

                                                              А тут сидишь на кресле, оформляешь очередную путевку по паспорту, который чей-то корпоративный МФУ отсканировал в, скажем, Word (условно), а к тебе в дверь уже стучится 152-ФЗ.

                                                              ps. У меня в почте на Яндексе довольно писем от госучреждений (в основном школы), которые присылают мне письма а) по ошибке б) с адреса на том же Яндексе, который у них, насколько я могу судить, считается чем-то вроде рабочего.

                                                              То есть, «запретить сотрудникам использовать облака в рабочих целях это не про вас, как и развернуть свой почтовый сервис on-premise» — это не про государство, хотя оно, казалось бы, должно было это сделать в первую очередь.

                                                              pps. На мой взгляд, вопрос даже не в том, кто там кому чего запретил или где чего развернул. А в том, что есть довольно очевидная вещь, на которую не все обращают внимание. И за которую может вполне серьезно прилететь.
                                                        +1
                                                        Тоже не понимаю проблемы. Данный сервис много кто использует для интеграции в свои приложения редактирования\просмотра офисных файлов. Например, dropbox и даже vk:
                                                        vk.com/blog/documents

                                                        У Майкрософт действительно есть отдельный продукт Office Online Server, который можно развернуть у себя. Но его жизненный цикл = релизному циклу SharePoint, то есть обновляется раз в несколько лет и исправление любого бага (а баги обязательно найдутся на объемах документов mail.ru) займет годы. Здесь же mail.ru\vk\dropbox и многие другие получают готовый сервис, обязательств перед гос. органами у них нет — могут использовать в своих решениях любые сторонние сервисы.
                                                      0
                                                      Немного оффтоп
                                                      У mail.ru ещё одна странная фича имеется. На работе используем яндекс-почту со своим доменом. DKIM-подпись настроена, всё чудесно. Неа — мэйл.ру пропускает спам, который подписывают нашим доменом. Хотя сейчас, вроде, редко. Года два назад, по крайней мере, ответных писем от пользователей почты mail.ru на такой спам, было сильно больше — сейчас раз в пару месяцев.
                                                      З.Ы.: им писал, когда наплыв писем большой был
                                                        0
                                                        Может, SPF в ~all у домена стоит? С такой настройкой первое письмо пропускается, у второго итд. репутация падает. Но это не относится к письмам, подписанным dkim, т. к. закрытый ключ хранится на почтовом сервере, то есть у сторонних спам-писем подпись не должна проходить проверку.
                                                        0
                                                        Я верно понимаю, что речь о каких-то очень параноидальных организациях, которые любые коннекты юзера к зарубежным IP считают госизменой?
                                                          0
                                                          В своё время на слайде АНБ из архива Эдварда Сноудена среди компаний находящихся под контролем АНБ был указан логотип и mail.ru. Среди хозяев mail.ru Мильнер который живёт в Калифорнии если его АНБ/ФБР «попросит по хорошему» то вряд ли он откажет.
                                                            0
                                                            А нынче Сноуден сам в mail.ru работает))
                                                              +2
                                                              Какая однако масштабная была операция по внедрению агента влияния.
                                                            +1
                                                            Не там корень проблемы, а вообще в использовании внешних сервисов типа того же вебмейла, корпорацией. Какая разница, мейл ру или MS будет сканировать вашу почту? Зачем использовать DLP, если всё равно используются чужие облака, которые и являются главной дырой? Некачественная реклама.

                                                            Правильный подход — считать все внешние сервисы недоверенными и опасными по умолчанию. И не удивляться потом утечкам данных через них… Но тут конечно вопрос, что важнее — экономия или контроль над своими данными.
                                                              0
                                                              Превьюшки (эскизы) аттачей на странице чтения письма рендерятся на серверах Mail.ru в Москве.
                                                              То что авторы статьи называют «превьюшками» — это если кликнуть на аттач, то документ откроется в Microsoft Office Online. См. скриншот. Т.е. отправляются в MS не все аттачи, а только те, что юзер открывает в браузере.
                                                              В cloud.mail.ru (в b2c варианте) используется тот же самый просмотрщик Microsoft Office Online.
                                                              Жаль, что авторы не захотели ни разобраться в вопросе сами, ни вставить в статью скриншот, чтобы технически грамотные читатели осознали ошибку авторов.
                                                                0
                                                                Что это меняет?
                                                                Например, я заполнил абстрактный договор на кредит, в котором были мои паспортные данные, отправил его вложением.
                                                                Потом, что-то вспомнил, решил зайти в отправленные и еще раз посмотреть вложение — вуаля, мои ПД уплыли в какое-то мутное облачное хранилище…
                                                                –1

                                                                Эм, т. е. для того, чтоб посмотреть превью документа, надо скачать его целиком, потом так же целиком залить на сервис мс, и только после этого увидеть превью? Архитектура ОК, 3 раза одно и то же туда-сода гонять.

                                                                  –1
                                                                  Когда-то несколько лет назад я обнаружил интересный феномен. У меня крутился почтовик Exim (5.ХХ.ХХ.101). Поставил на лаптопе клиент Outlook привязанный к моему smtp. Доступ к smtp только через vpn. Не помню что я парсил и отлаживал, но вдруг заметил что мой мейл «Тест» отправленный мной пришел совсем не от моего сервера. Тогда я еще не очень разбирался в протоколах и в частности tcp/ip но стал тестить множество почтовых клиентов всяких платных, «хороших», «крутых» и печалька по результатам, почта приходила не моего сервера, а непонятно с каких почтовых серверов. Получалось, то что я отправлял, почтовые клиенты каким-то образом отправляли через какие-то другие сервера мою почту. Тогда я для себя после тестов решил использовать только Thunderbird, и клиент Mail для ios. В общем протестил около примерно две дюжины клиентов и все они отправляли почту через откуда-то, хотя был прописан мой smtp.
                                                                    0
                                                                    Проведи эксперимент:
                                                                    1. Оутлуку скажи всё отправлять через твой почтовый сервер, в твоей локальной сети находящийся.
                                                                    2. Локальную сеть с глобальной не соединяй.
                                                                    3. Отправь Оутлуком письмо для получателя на твоём почтовом серевере.
                                                                    4. Подивись — как будет выкручиваться Оутлук, если он полезет мимо твоего почтового сервера на какой-нибудь левый сервак для отправки письма, которому и за локальную-то сеть выходить не требуется.
                                                                      0
                                                                      скорее всего уже наша цифровизация заработала…
                                                                        0
                                                                        Давно бы уже запомнили, видишь любой проект mail.ru — проходи стороной, касается всего и бизнес сегмента и развлечений (игр).
                                                                          +1
                                                                          иметь дело с mail.ru — себя не уважать

                                                                          Only users with full accounts can post comments. Log in, please.