Содержание письма8 мин чтения

Вложения в письмах: PDF, DOCX, ZIP — какие опасны?

Одни форматы файлов блокируют сразу (.exe, .bat). Другие сендбоксируют (.zip, .docx). PDF обычно безопасен, но не исключение. Полная иерархия риска вложений и альтернатива с облачными ссылками.

Вложения — проверенный вектор распространения вредноса, начиная с эпохи «ILOVEYOU». Каждый крупный почтовый провайдер относится к ним с подозрением. Уровень подозрения зависит от типа файла, репутации отправителя и всё больше — от того, что найдёт песочница при сканировании. Для холодного аутрича ответ простой: не прикрепляйте ничего, используйте облачные ссылки. Для деловой корреспонденции всё сложнее.

Кратко

.exe / .bat / .cmd / .scr / .vbs блокируются везде. .zip сильно проверяется, защищённый паролем zip получает максимальный штраф. .docx с макросами сендбоксируется. .pdf обычно принимают, но это добавляет задержку и вес. Для холодного аутрича используйте облачные ссылки — всегда.

Иерархия риска вложений

От самого опасного к менее опасному, по действиям фильтров:

  1. Блокируются сразу: .exe, .bat, .cmd, .scr, .vbs, .ps1, .js, .jse, .wsf, .msi, .dll, .com, .pif. Gmail отклоняет их на уровне SMTP. Outlook помещает в карантин. Большинство корпоративных гейтвеев удаляют их полностью.
  2. Сильно проверяются: .zip, .rar, .7z (особенно защищённые паролем — песочница не может их открыть). Файлы Office с макросами: .docm, .xlsm, .pptm.
  3. Сендбоксируются, но обычно проходят: .docx, .xlsx, .pptx (современные форматы Office, могут содержать макросы и OLE-полезную нагрузку). .iso образы дисков.
  4. Обычно безопасны: .pdf (всё равно сканируют на встроенный JS), .csv, .txt, .png, .jpg.
  5. Практически без риска: .ics приглашения в календарь, .vcf карточки контактов, структурированное содержимое RFC.

Почему .exe и аналоги блокируют

Исполняемые вложения были основным вектором распространения вредноса по электронной почте 25 лет. Каждый крупный провайдер и практически каждый корпоративный почтовый шлюз блокируют их на уровне протокола. Политика Gmail задокументирована и явна.

Переименование .exe в .pdf не помогает — сканирование content-type и магических байтов это ловит. Упаковка в .zip помогает только ненадолго: фильтры распаковывают и сканируют. Упаковка в .zip, защищённый паролем, с паролем в теле письма — это известный паттерн фишинга и вызывает максимальный штраф.

ZIP-архивы — ловушка защиты паролем

ZIP-файлы в деловой переписке — обычное дело: упаковка документов, отправка исходного кода, архивированные результаты. Фильтры их открывают, сканируют содержимое и применяют правила оценки каждого файла ко всему, что внутри.

Проблемный случай — ZIP, защищённые паролем:

  • Песочница не может заглянуть внутрь.
  • Этот паттерн активно используется при доставке вредноса и программ-вымогателей.
  • Указание пароля в том же письме — ровно то, что делают злоумышленники.
  • Применяется тяжёлый штраф; многие корпоративные гейтвеи блокируют полностью.

Если вам действительно нужно отправить конфиденциальные файлы: используйте облачную ссылку с правильным контролем доступа. Не упаковывайте ZIP, защищённый паролем, и не ожидайте попадания в Входящие.

Office-документы и макросы

Современные форматы Office (.docx, .xlsx, .pptx) основаны на XML и сканируются на предмет встроенных макросов, OLE-объектов и ссылок на удалённые шаблоны. Влияние на оценку:

  • Простой документ без макросов и объектов: минимальное влияние.
  • Документ с макросами (.docm, .xlsm явно, или макросы внутри .docx через старый формат): тяжёлый штраф. Многие гейтвеи помещают в карантин.
  • Документ с удалённым шаблоном / ссылкой на внешнее содержимое: тяжёлый штраф (это известный фишинг-приём для загрузки полезной нагрузки после доставки).
  • Старые бинарные форматы (.doc, .xls): унаследованная обработка песочницей, обычно принимаются, но с повышенным вниманием.

Для деловой переписки .docx и .xlsx — это нормально. Избегайте отправки форматов с макросами, если это не абсолютно необходимо, и предупредите получателей вне системы, когда вы это делаете.

PDF обычно безопасен, но не исключение

PDF — самый распространённое деловое вложение и самое принимаемое фильтрами. Но PDF могут содержать JavaScript, встроенные файлы и действия заполняемых форм. Фильтры это сканируют:

  • PDF со встроенным JavaScript: штраф.
  • PDF со встроенным исполняемым файлом: блокируется.
  • PDF размером более ~5MB: незначительный штраф, также проблема UX (предупреждение о размере в Gmail, медленный рендер на мобильных).
  • PDF с одним полнополосным изображением (без извлекаемого текста): обрабатывается как письмо только с изображениями — умеренный штраф.

Для большинства деловых применений — счёта, контракты, отчёты — PDF — правильный выбор. Генерируйте чистые PDF из текстового источника, держите размер под 2MB, где это возможно, и они попадут в Входящие.

Размер файла и лимиты размера сообщения

Жёсткие лимиты по провайдерам:

  • Gmail: 25MB на сообщение (50MB при получении от Google).
  • Outlook.com: 20MB на сообщение; Outlook 365: 150MB.
  • Yahoo: 25MB.
  • Большинство корпоративных гейтвеев: 10–25MB, различается.

Мягкие лимиты тоже важны. Выше ~5MB задержка возрастает и некоторые мобильные клиенты предупреждают пользователя перед загрузкой. Выше ~10MB получатели на лимитированном мобильном интернете могут вообще не загружать. Для чего-либо выше ~5MB облачные ссылки удобнее получателям независимо от поведения фильтра.

Облачное хранилище — современный стандарт

Вместо вложения используйте ссылку на Drive / OneDrive / Dropbox. Разрешения контролируются, файл обновляем, вы отслеживаете загрузки, и само письмо остаётся маленьким и чистым. Для холодного аутрича: никогда не прикрепляйте. Для деловой переписки выше 2MB: ссылка вместо файла.

Вложения в холодном аутрич: не используйте

Конкретно для холодного аутрича не прикрепляйте ничего, никогда. Причины:

  • Вложения от неизвестных отправителей по своей сути более подозрительны — фильтры применяют повышенный контроль, когда отправитель не имеет истории отношений с получателем.
  • Вложения часто не открываются в мобильном предпросмотре, поэтому получатель удаляет без прочтения.
  • Получатели приучены рассматривать вложения от неизвестных как рискованные — могут удалить вообще не читая.
  • Ссылка на целевую страницу позволяет измерить интерес, адаптировать содержимое и обновить без переотправки.

Холодный аутрич с фразой «PDF-презентация прилагается» — это холодный аутрич с измеримо более низким рейтом ответов и хуже доставляемостью, чем то же предложение со ссылкой на бронирование встречи.

Что на самом деле делает сканирование в песочнице

Основные фильтры (VirusTotal-сканер Gmail, Microsoft Defender, Mimecast, Proofpoint) открывают вложения в изолированной VM и наблюдают, что они делают:

  1. Статическое сканирование: сигнатуры, магические байты, встроенные полезные нагрузки.
  2. Динамическое сканирование: открыть в изолированном читателе Office / PDF, наблюдать подозрительные действия (вызовы сети, запись файловой системы, порождение процессов).
  3. Репутация: хеш файла проверяется против баз известно-хороших и известно-плохих.

Это добавляет 30 секунд до нескольких минут задержки доставке сообщений с вложениями — ещё одна причина избегать вложений для чувствительного по времени холодного аутрича.

Практические правила

  • Холодный аутрич: ноль вложений. Используйте облачные ссылки.
  • Деловая переписка: PDF предпочтителен для документов, .docx для редактируемых, .xlsx для таблиц.
  • Никогда не защищайте паролем ZIP, отправляемые по почте.
  • Никогда не включайте макросы, если это не согласовано вне системы.
  • Оставайтесь под 5MB; используйте облачную ссылку для больших файлов.
  • Не переименовывайте расширения файлов, чтобы скрыть тип — обнаружение магических байтов это ловит мгновенно.
Получите бесплатную проверку попадания в инбокс

Бесплатный Inbox Check генерирует 20+ свежих seed-адресов в Gmail, Outlook, Yahoo, Mail.ru, Yandex, ProtonMail и других. Без регистрации, без карты. Проверьте, куда попадут ваши письма по 9 провайдерам.

→ Запустить бесплатный тест

Частые вопросы

Можно ли прикрепить PDF в холодном письме, если это медиа-кит?

Технически да, практически нет — ваш рейт ответов будет ниже, чем в том же письме со ссылкой на размещённую медиа-кит-страницу. Трение с вложением (загрузка, открытие, непонятно как поделиться с коллегой) перевешивает удобство.

Почему мой защищённый паролем ZIP постоянно идёт в спам?

Потому что это ровно паттерн, который используют программы-вымогатели. Фильтры не могут заглянуть внутрь, конвенция пароль-в-теле известна как паттерн зла, и комбинация вызывает тяжёлые штрафы везде. Используйте облачную ссылку с контролем доступа вместо этого.

Приглашения в календарь (.ics) вызывают фильтры спама?

Нет — .ics это структурированные данные календаря, хорошо понимаемые фильтрами и рассматриваемые как безопасные. Приглашения от неизвестных могут фильтроваться по другим причинам (получатель не принял вас), но сам формат файла без риска.

Встроенные изображения (cid: ссылки) рассматриваются как вложения?

Да — технически это прикреплённые части MIME. Они также сканируются. Встроенные изображения намного менее подозрительны, чем прикреплённые документы, потому что они часть рендера, а не отдельный загружаемый файл. Используйте их свободно; они не добавляют измеримый риск спама.
Related reading
Found this useful? Share it
AB
Об авторе
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Проверьте доставляемость в 20+ провайдерах

Gmail, Outlook, Yahoo, Mail.ru, Яндекс, GMX, ProtonMail и другие. Реальные скриншоты входящих, SPF/DKIM/DMARC, вердикты спам-фильтров. Бесплатно, без регистрации.

Запустить тест →

Тесты без ограничений · 20+ ящиков · Живые результаты · Аккаунт не нужен