Outlook годами передавал пароли открытым текстом. Виновница проблемы — одна лживая галочка
NewsMakerАдминистраторы даже не замечали утечек из-за красивого интерфейса Microsoft.
Плановое обновление серверов Fedora неожиданно помогло найти давнюю проблему в Outlook . Почтовый клиент годами мог показывать включённое шифрование SSL/TLS в настройках, но при этом подключался к почтовому ящику через старый незашифрованный порт POP3. На такую странность после перехода на Fedora 43 обратил внимание Мариус Шварц.
Проблема всплыла после обновления с Fedora 42 до Fedora 43, вместе с которым POP/IMAP-сервер Dovecot перешёл на версию 2.4.3. Новая версия потребовала переработать конфигурацию службы и перестала принимать пароли в открытом виде через незащищённые соединения. Такой подход сломал старое поведение POP3, зато заставил клиентов использовать защищённый канал.
На следующий день после обновления пользователи начали обращаться в поддержку из-за постоянных запросов пароля в Outlook. Проверка показала, что затронуты разные версии клиента, включая Outlook 2007 и старый вариант для macOS. Во всех случаях в настройках почтового ящика значилось включённое шифрование SSL/TLS, но программа продолжала подключаться через порт 110, предназначенный для обычного незашифрованного POP3-соединения. Для защищённого POP3 обычно используется порт 995.
Шварц объяснил, что корректно настроенный почтовый клиент должен менять порт после включения SSL/TLS либо использовать STARTTLS, когда соединение сначала открывается обычным способом, а затем переводится в защищённый режим. Outlook, по его данным, просто игнорировал выбранный параметр и не предупреждал пользователя о передаче данных без шифрования.
После обновления Dovecot сервер начал отклонять такие подключения и сообщать, что аутентификация открытым текстом запрещена для незащищённых соединений без SSL/TLS. Журналы подтвердили, что клиенты пытались войти именно через незашифрованный канал. По словам Шварца, проблема могла оставаться незамеченной годами, поскольку обычные пользователи редко проверяют реальные параметры соединения, а интерфейс Outlook создавал впечатление, что защита включена.
Автор публикации допускает, что Microsoft могла ранее изменить интерфейс Outlook и ошибка затрагивает только старые учётные записи, созданные много лет назад. Проверить новые установки команда Fedora не смогла, так как у неё не было Outlook для проверки. Тем не менее история показывает, что даже привычная галочка в настройках безопасности не гарантирует реального шифрования, а серверные изменения иногда вскрывают проблемы, тянущиеся десятилетиями.
Плановое обновление серверов Fedora неожиданно помогло найти давнюю проблему в Outlook . Почтовый клиент годами мог показывать включённое шифрование SSL/TLS в настройках, но при этом подключался к почтовому ящику через старый незашифрованный порт POP3. На такую странность после перехода на Fedora 43 обратил внимание Мариус Шварц.
Проблема всплыла после обновления с Fedora 42 до Fedora 43, вместе с которым POP/IMAP-сервер Dovecot перешёл на версию 2.4.3. Новая версия потребовала переработать конфигурацию службы и перестала принимать пароли в открытом виде через незащищённые соединения. Такой подход сломал старое поведение POP3, зато заставил клиентов использовать защищённый канал.
На следующий день после обновления пользователи начали обращаться в поддержку из-за постоянных запросов пароля в Outlook. Проверка показала, что затронуты разные версии клиента, включая Outlook 2007 и старый вариант для macOS. Во всех случаях в настройках почтового ящика значилось включённое шифрование SSL/TLS, но программа продолжала подключаться через порт 110, предназначенный для обычного незашифрованного POP3-соединения. Для защищённого POP3 обычно используется порт 995.
Шварц объяснил, что корректно настроенный почтовый клиент должен менять порт после включения SSL/TLS либо использовать STARTTLS, когда соединение сначала открывается обычным способом, а затем переводится в защищённый режим. Outlook, по его данным, просто игнорировал выбранный параметр и не предупреждал пользователя о передаче данных без шифрования.
После обновления Dovecot сервер начал отклонять такие подключения и сообщать, что аутентификация открытым текстом запрещена для незащищённых соединений без SSL/TLS. Журналы подтвердили, что клиенты пытались войти именно через незашифрованный канал. По словам Шварца, проблема могла оставаться незамеченной годами, поскольку обычные пользователи редко проверяют реальные параметры соединения, а интерфейс Outlook создавал впечатление, что защита включена.
Автор публикации допускает, что Microsoft могла ранее изменить интерфейс Outlook и ошибка затрагивает только старые учётные записи, созданные много лет назад. Проверить новые установки команда Fedora не смогла, так как у неё не было Outlook для проверки. Тем не менее история показывает, что даже привычная галочка в настройках безопасности не гарантирует реального шифрования, а серверные изменения иногда вскрывают проблемы, тянущиеся десятилетиями.