Вложения — проверенный вектор распространения вредноса, начиная с эпохи «ILOVEYOU». Каждый крупный почтовый провайдер относится к ним с подозрением. Уровень подозрения зависит от типа файла, репутации отправителя и всё больше — от того, что найдёт песочница при сканировании. Для холодного аутрича ответ простой: не прикрепляйте ничего, используйте облачные ссылки. Для деловой корреспонденции всё сложнее.
.exe / .bat / .cmd / .scr / .vbs блокируются везде. .zip сильно проверяется, защищённый паролем zip получает максимальный штраф. .docx с макросами сендбоксируется. .pdf обычно принимают, но это добавляет задержку и вес. Для холодного аутрича используйте облачные ссылки — всегда.
Иерархия риска вложений
От самого опасного к менее опасному, по действиям фильтров:
- Блокируются сразу: .exe, .bat, .cmd, .scr, .vbs, .ps1, .js, .jse, .wsf, .msi, .dll, .com, .pif. Gmail отклоняет их на уровне SMTP. Outlook помещает в карантин. Большинство корпоративных гейтвеев удаляют их полностью.
- Сильно проверяются: .zip, .rar, .7z (особенно защищённые паролем — песочница не может их открыть). Файлы Office с макросами: .docm, .xlsm, .pptm.
- Сендбоксируются, но обычно проходят: .docx, .xlsx, .pptx (современные форматы Office, могут содержать макросы и OLE-полезную нагрузку). .iso образы дисков.
- Обычно безопасны: .pdf (всё равно сканируют на встроенный JS), .csv, .txt, .png, .jpg.
- Практически без риска: .ics приглашения в календарь, .vcf карточки контактов, структурированное содержимое RFC.
Почему .exe и аналоги блокируют
Исполняемые вложения были основным вектором распространения вредноса по электронной почте 25 лет. Каждый крупный провайдер и практически каждый корпоративный почтовый шлюз блокируют их на уровне протокола. Политика Gmail задокументирована и явна.
Переименование .exe в .pdf не помогает — сканирование content-type и магических байтов это ловит. Упаковка в .zip помогает только ненадолго: фильтры распаковывают и сканируют. Упаковка в .zip, защищённый паролем, с паролем в теле письма — это известный паттерн фишинга и вызывает максимальный штраф.
ZIP-архивы — ловушка защиты паролем
ZIP-файлы в деловой переписке — обычное дело: упаковка документов, отправка исходного кода, архивированные результаты. Фильтры их открывают, сканируют содержимое и применяют правила оценки каждого файла ко всему, что внутри.
Проблемный случай — ZIP, защищённые паролем:
- Песочница не может заглянуть внутрь.
- Этот паттерн активно используется при доставке вредноса и программ-вымогателей.
- Указание пароля в том же письме — ровно то, что делают злоумышленники.
- Применяется тяжёлый штраф; многие корпоративные гейтвеи блокируют полностью.
Если вам действительно нужно отправить конфиденциальные файлы: используйте облачную ссылку с правильным контролем доступа. Не упаковывайте ZIP, защищённый паролем, и не ожидайте попадания в Входящие.
Office-документы и макросы
Современные форматы Office (.docx, .xlsx, .pptx) основаны на XML и сканируются на предмет встроенных макросов, OLE-объектов и ссылок на удалённые шаблоны. Влияние на оценку:
- Простой документ без макросов и объектов: минимальное влияние.
- Документ с макросами (.docm, .xlsm явно, или макросы внутри .docx через старый формат): тяжёлый штраф. Многие гейтвеи помещают в карантин.
- Документ с удалённым шаблоном / ссылкой на внешнее содержимое: тяжёлый штраф (это известный фишинг-приём для загрузки полезной нагрузки после доставки).
- Старые бинарные форматы (.doc, .xls): унаследованная обработка песочницей, обычно принимаются, но с повышенным вниманием.
Для деловой переписки .docx и .xlsx — это нормально. Избегайте отправки форматов с макросами, если это не абсолютно необходимо, и предупредите получателей вне системы, когда вы это делаете.
PDF обычно безопасен, но не исключение
PDF — самый распространённое деловое вложение и самое принимаемое фильтрами. Но PDF могут содержать JavaScript, встроенные файлы и действия заполняемых форм. Фильтры это сканируют:
- PDF со встроенным JavaScript: штраф.
- PDF со встроенным исполняемым файлом: блокируется.
- PDF размером более ~5MB: незначительный штраф, также проблема UX (предупреждение о размере в Gmail, медленный рендер на мобильных).
- PDF с одним полнополосным изображением (без извлекаемого текста): обрабатывается как письмо только с изображениями — умеренный штраф.
Для большинства деловых применений — счёта, контракты, отчёты — PDF — правильный выбор. Генерируйте чистые PDF из текстового источника, держите размер под 2MB, где это возможно, и они попадут в Входящие.
Размер файла и лимиты размера сообщения
Жёсткие лимиты по провайдерам:
- Gmail: 25MB на сообщение (50MB при получении от Google).
- Outlook.com: 20MB на сообщение; Outlook 365: 150MB.
- Yahoo: 25MB.
- Большинство корпоративных гейтвеев: 10–25MB, различается.
Мягкие лимиты тоже важны. Выше ~5MB задержка возрастает и некоторые мобильные клиенты предупреждают пользователя перед загрузкой. Выше ~10MB получатели на лимитированном мобильном интернете могут вообще не загружать. Для чего-либо выше ~5MB облачные ссылки удобнее получателям независимо от поведения фильтра.
Вместо вложения используйте ссылку на Drive / OneDrive / Dropbox. Разрешения контролируются, файл обновляем, вы отслеживаете загрузки, и само письмо остаётся маленьким и чистым. Для холодного аутрича: никогда не прикрепляйте. Для деловой переписки выше 2MB: ссылка вместо файла.
Вложения в холодном аутрич: не используйте
Конкретно для холодного аутрича не прикрепляйте ничего, никогда. Причины:
- Вложения от неизвестных отправителей по своей сути более подозрительны — фильтры применяют повышенный контроль, когда отправитель не имеет истории отношений с получателем.
- Вложения часто не открываются в мобильном предпросмотре, поэтому получатель удаляет без прочтения.
- Получатели приучены рассматривать вложения от неизвестных как рискованные — могут удалить вообще не читая.
- Ссылка на целевую страницу позволяет измерить интерес, адаптировать содержимое и обновить без переотправки.
Холодный аутрич с фразой «PDF-презентация прилагается» — это холодный аутрич с измеримо более низким рейтом ответов и хуже доставляемостью, чем то же предложение со ссылкой на бронирование встречи.
Что на самом деле делает сканирование в песочнице
Основные фильтры (VirusTotal-сканер Gmail, Microsoft Defender, Mimecast, Proofpoint) открывают вложения в изолированной VM и наблюдают, что они делают:
- Статическое сканирование: сигнатуры, магические байты, встроенные полезные нагрузки.
- Динамическое сканирование: открыть в изолированном читателе Office / PDF, наблюдать подозрительные действия (вызовы сети, запись файловой системы, порождение процессов).
- Репутация: хеш файла проверяется против баз известно-хороших и известно-плохих.
Это добавляет 30 секунд до нескольких минут задержки доставке сообщений с вложениями — ещё одна причина избегать вложений для чувствительного по времени холодного аутрича.
Практические правила
- Холодный аутрич: ноль вложений. Используйте облачные ссылки.
- Деловая переписка: PDF предпочтителен для документов, .docx для редактируемых, .xlsx для таблиц.
- Никогда не защищайте паролем ZIP, отправляемые по почте.
- Никогда не включайте макросы, если это не согласовано вне системы.
- Оставайтесь под 5MB; используйте облачную ссылку для больших файлов.
- Не переименовывайте расширения файлов, чтобы скрыть тип — обнаружение магических байтов это ловит мгновенно.
Бесплатный Inbox Check генерирует 20+ свежих seed-адресов в Gmail, Outlook, Yahoo, Mail.ru, Yandex, ProtonMail и других. Без регистрации, без карты. Проверьте, куда попадут ваши письма по 9 провайдерам.