Microsoft вводит важное изменение в экосистеме электронной почты: веб-версия Outlook и новый Outlook для Windows перестанут отображать встроенные SVG-изображения. Поэтапное развертывание началось в начале сентября 2025 года и должно завершиться к середине октября 2025-го. По оценке компании, мера затронет менее 0,1% всех изображений, отправляемых через Outlook, поэтому влияние на обычные сценарии использования будет минимальным.
Зачем Microsoft отключает встроенные SVG: снижение риска XSS и обхода фильтров
SVG (Scalable Vector Graphics) — это текстовый формат на базе XML, который поддерживает скрипты и внешние ссылки. Встраивание SVG непосредственно в тело письма создает риск выполнения вредоносного кода в клиенте получателя при недостаточной очистке содержимого. В контексте почтовых клиентов это может привести к атакам межсайтового скриптинга (XSS), краже сессионных токенов, подмене интерфейса и проведению фишинговых операций без загрузки исполняемых файлов.
За последние годы злоумышленники активно адаптировали SVG под фишинговые нужды. В конце 2024 года специалисты отмечали рост числа писем с вложениями в формате SVG, которые помогали обходить традиционные сигнатурные проверки. В апреле 2025 года эксперты Trustwave сообщили о смещении акцента на фишинговые кампании и зафиксировали рост атак на 1800% с апреля 2024 года. В конце сентября 2025-го Microsoft также задокументировала кампанию, где SVG-файлы, сгенерированные с помощью LLM, применялись для обхода почтовой защиты.
Как изменится отображение изображений в Outlook
После вступления изменений в силу встроенные SVG в письмах рендериться не будут — на их месте пользователи увидят пустые области. При этом SVG, отправленные как обычные вложения, останутся поддерживаемыми и будут доступны на панели вложений, как и прежде. Такой подход позволяет сократить поверхность атаки именно в канале inline-контента, где риск XSS максимален, одновременно сохраняя деловой документооборот, завязанный на обмен векторной графикой.
Часть более широкой стратегии Microsoft по сокращению атакующей поверхности
Отключение встроенного SVG — логичное продолжение курса Microsoft на минимизацию опасных сценариев в продуктах Office и Windows. В июне 2025 года компания объявила, что веб-версия Outlook и новый Outlook для Windows блокируют вложения с расширениями .library-ms и .search-ms. Эти форматы неоднократно применялись в целевых атаках на госсектор и злоупотреблялись как минимум с июня 2022 года. Актуальный перечень блокируемых вложений Outlook доступен на сайте Microsoft и регулярно обновляется.
Рекомендации для ИТ-отделов и маркетинга
Организациям, использующим SVG в рассылках и шаблонах писем, имеет смысл оперативно подготовить альтернативы. Рекомендуется:
— заменить inline SVG на растровые форматы (PNG/WebP) или безопасно встраивать изображения через проверенные CDN с отключением скриптовых возможностей;
— пересмотреть политики почтовой безопасности, включая фильтрацию вложений и URL, настройку DMARC/DKIM/SPF и механизмы безопасных ссылок;
— провести дополнительный инструктаж пользователей о признаках фишинга, особенно в письмах с неожиданными вложениями и просьбами авторизоваться на внешних страницах;
— проверить корпоративные шаблоны и лендинги на наличие зависимостей от inline SVG, подготовив fallback-варианты для корректного отображения в Outlook.
Что это значит для безопасности и экосистемы электронной почты
Запрет рендеринга встроенных SVG в Outlook закрывает популярный канал доставки вредоносного кода, осложняя злоумышленникам реализацию XSS и фишинговых сценариев с динамическим контентом. Хотя мера не устраняет риск полностью (векторы через ссылки и другие вложения сохраняются), она существенно снижает вероятность компрометации в одном из наиболее эксплуатируемых участков цепочки атак — в теле письма. По мере завершения развертывания к середине октября 2025 года ожидается, что легитимные коммуникации пострадают минимально, а общий уровень почтовой безопасности повысится.
Чтобы максимизировать эффект от изменений, стоит сочетать их с многоуровневой защитой: политиками антифишинга, проверкой вложений и ссылок, строгой аутентификацией доменов и регулярными обучениями сотрудников. Переход на безопасные форматы изображений и отказ от inline SVG в e-mail-маркетинге помогут сохранить конверсию рассылок, не расширяя поверхность атаки для фишинговых кампаний.
