Microsoft вводить точкову, але показову зміну у клієнтах електронної пошти: веб-версія Outlook і новий Outlook для Windows більше не відображатимуть вбудовані (inline) SVG у тілі листів. Поетапне розгортання стартувало на початку вересня 2025 року і завершиться до середини жовтня. За оцінкою компанії, під обмеження потрапить менше ніж 0,1% усіх зображень, що мінімізує вплив на типові бізнес-сценарії.
Чому Microsoft відмовляється від inline SVG: зменшення ризиків XSS і обходу фільтрів
SVG — це XML-графіка, яка може містити скрипти, зовнішні посилання та динамічний вміст. У контексті поштових клієнтів це створює ризик міжсайтового скриптингу (XSS), крадіжки сесій, підміни інтерфейсу та фішингових атак без завантаження виконуваних файлів. Недостатня санітизація inline-контенту в листі відкриває шлях до виконання небезпечного коду на боці отримувача.
Останніми роками зловмисники активно використовують SVG для обходу сигнатурних перевірок. За повідомленнями дослідників, у квітні 2025 року фіксувався ріст фішингових атак на 1800% р/р із залученням SVG, а наприкінці вересня Microsoft задокументувала кампанії, де SVG-файли, згенеровані LLM, допомагали оминати поштовий захист. Вимкнення рендерингу inline SVG зменшує площу атаки саме там, де ризик XSS максимальний.
Що зміниться для користувачів Outlook
Після набуття чинності нових правил вбудовані SVG у тілі листа не відображатимуться — на їхньому місці з’являтиметься порожня область. Водночас SVG як окремі вкладення залишаються підтримуваними та й надалі відображатимуться на панелі вкладень. Такий компроміс зберігає діловий обіг векторної графіки, прибираючи найбільш ризиковий канал — inline-контент.
Частина ширшої стратегії зниження площі атаки в екосистемі Microsoft
Крок щодо SVG логічно продовжує курс Microsoft на блокування високоризикових сценаріїв у продуктах Office і Windows. У червні 2025 року веб-версія Outlook та новий Outlook для Windows почали блокувати вкладення .library-ms і .search-ms, які неодноразово використовувалися у цільових атаках з 2022 року. Актуальний перелік небезпечних форматів компанія підтримує та регулярно оновлює на своєму сайті, відсікаючи техніки зловмисників на рівні клієнта пошти.
Практичні рекомендації для ІТ-відділів та e-mail‑маркетингу
- Замініть inline SVG на PNG/WebP або підключайте графіку через надійний CDN з вимкненими скриптовими можливостями і коректними заголовками безпеки.
- Оновіть політики безпеки пошти: фільтрацію вкладень і URL, параметри DMARC/DKIM/SPF, механізми перевірки посилань та ізоляцію підозрілих вкладень.
- Перевірте корпоративні шаблони листів і лендинги на залежності від inline SVG, додайте fallback-варіанти для Outlook і протестуйте відображення у ключових клієнтах.
- Посильте обізнаність користувачів щодо фішингу, особливо листів із несподіваними вкладеннями та запитами авторизації на зовнішніх сторінках.
Вплив на безпеку електронної пошти: мінус один вектор атаки
Заборона рендерингу вбудованих SVG у Outlook закриває популярний канал доставки шкідливого коду та ускладнює реалізацію XSS і динамічних фішингових сценаріїв у тілі листа. Хоча ризики з інших джерел — посилань, вкладень або перенаправлень — залишаються, зміна суттєво знижує імовірність компрометації в одному з найчастіше експлуатованих сегментів ланцюжка атаки. Очікується, що легітимні комунікації постраждають мінімально завдяки низькій частці inline SVG серед листів.
Щоб максимально використати ефект, поєднайте захист на рівні клієнта із багатошаровою обороною: оновіть політики e-mail-безпеки, перевіряйте вкладення та посилання до доставки користувачам, застосовуйте сувору автентифікацію доменів і регулярно навчайте співробітників. Проведіть ревізію шаблонів, мігруйте на безпечні формати зображень і відслідковуйте рекомендації Microsoft — це допоможе зберегти конверсію розсилок без розширення площі атаки для фішингових кампаній.
