На конференции ЦИПР 2026 были озвучены данные, согласно которым половина российских компаний продолжает использовать Microsoft Exchange, причём без поддержки и обновлений. И это несмотря на серьёзные риски. Почему так происходит? Что мешает мигрировать на отечественные решения?
- 1. Введение
- 2. Exchange. Не просто почтовый сервер
- 3. Риски и издержки использования Exchange
- 4. Альтернатива есть
- 5. Что мешает мигрировать на российские продукты?
- 6. Выводы
Введение
Специально к конференции ЦИПР 2026, которая проходила в Нижнем Новгороде с 18 по 21 мая, АНО «Центр компетенций по импортозамещению в сфере ИКТ» (ЦКИТ) провело исследование, посвящённое ситуации, сложившейся с использованием зарубежного ПО в России. Как показала собранная статистика, зарубежное ПО продолжает использовать 30 % организаций.
Однако данный уровень является, что называется, средней температурой по больнице. Есть сегменты, где эта доля ещё выше. Так, ровно половина компаний до сих пор продолжает использовать Microsoft Office и Microsoft Exchange.
С Microsoft Office всё более-менее понятно. Данный продукт действительно сложно заменить. Тем более что Microsoft удалось навязать такие сценарии использования его составных частей, с которыми конкуренты не справляются. Например, когда табличный процессор используется как внешний интерфейс для системы аналитики. Есть проблемы с файловым обменом. И в целом проекты по миграции офисных приложений затрагивают большие массы пользователей, и в силу этого они масштабные и длительные.
Как оказалось, с заменой Microsoft Exchange также всё обстоит не так просто, и данный процесс многие оттягивают, несмотря на все издержки и риски. Причин тому несколько, и не все они очевидны.
Exchange. Не просто почтовый сервер
Как отметил на конференции ЦИПР генеральный директор ЦКИТ Илья Массух, одна только электронная почта уже давно переросла роль простого коммуникационного инструмента, превратившись в «артерию управления компанией». К тому же Exchange, существующая уже 30 лет, давно переросла масштаб почтового сервера. Это многофункциональное решение для поддержки групповой работы и полноценная система электронного документооборота.
Да и электронной почтой, как обращает внимание руководитель продуктовой экспертизы WorksPad компании «РуПост» (входит в «Группу Астра») Михаил Никитин, регулярно пользуются 64 % пользователей компьютеров и 73 % пользователей мобильных устройств. В почтовых ящиках, как показало исследование компании, хранятся архивы деловых данных, документов и договорённостей — фактически история взаимодействия и принятых решений. В итоге почта есть в любой компании, тогда как другие системы, включая средства автоматизации обработки бизнес-процессов, взаимодействия с покупателями и заказчиками, электронного документооборота, могут и отсутствовать.
В итоге, как делится личным опытом старший партнёр интегратора «Энсайн» Алексей Постригайло, проект, который заявлялся как миграция почты, перетекает в перенос накопленной истории работы. В итоге приходится заново проверять все зависимости вокруг почты. На это многие компании не готовы.
«Microsoft Exchange представляет собой не просто корпоративный почтовый сервер, а решение для обеспечения корпоративной групповой работы. Оно включает в себя календари, адресные книги, всевозможные справочники, средства выделения и распределения ресурсов. Всё это тесно интегрировано с доменной инфраструктурой», — сказал в эфире AM Live главный конструктор компании «Иридиум» Игорь Коптелов.
«Exchange — это не просто почтовый сервер, который пересылает сообщения между клиентами. Это целая экосистема, вокруг которой были построены бизнес-процессы в компании в течение многих десятилетий. Фактически в современной компании Exchange — это центр корпоративной коммуникации, который включает в себя почту, календари, адресные книги, мобильные устройства, архивы, интеграцию с ERP, CRM, Service Desk и многое другое. В течение многих лет почтовые серверы делились на Microsoft Exchange и все остальные, поэтому просто заменить его на что-то нереально», — дополняет руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.
Как считает технический директор компании «Бастион» Артём Береговой, в настоящий момент на рынке просто нет продуктов, которые могли бы полноценно заменить Exchange. Вокруг других почтовых серверов отсутствуют такие экосистемы, как та, которую построила Microsoft.
Системный архитектор ГК «Умные решения» Рустам Калимуллин обратил внимание на то, что Exchange стал фактическим стандартом. Плюс ко всему, он очень быстро становится настолько глубоко интегрирован со всей инфраструктурой, что устранить данную систему оттуда без серьёзных последствий невозможно. С другой стороны, у организаций отсутствует ощущение срочности замены, притом что проект миграции, скорее всего, будет сложным и дорогим.
Генеральный директор Ideco Дмитрий Хомутов также обратил внимание на высокий уровень интеграции с другими элементами экосистемы Microsoft, в частности с Outlook, а через него — и с другими компонентами Microsoft Office. Exchange, кроме того, позволяет легко интегрироваться с другими элементами с помощью механизма Exchange Web Services (EWS). С помощью таких интеграций удобно проводить обмен данными, включая письма, расписания, информацию о запланированных событиях между серверами.
Директор коммерческого департамента CommuniGate Pro Антон Шпорт также называет высокий уровень интеграции между элементами экосистемы, где сам Exchange или Outlook являются лишь одними из элементов. Если их пытаться убрать, разрушится вся конструкция. А от работы всей этой конструкции часто зависят высококритичные бизнес-процессы.
Риски и издержки использования Exchange
Как и многие другие унаследованные продукты от разработчиков, ушедших с российского рынка, копии Exchange, установленные в российских компаниях, не обновляются. Однако Exchange всегда имела репутацию весьма «дырявой» системы. И незакрытые уязвимости часто становились причиной всевозможных инцидентов.
В исследовании ЦКИТ наиболее критичными были признаны три группы рисков: технологические, юридические и регуляторные.
Среди технологических рисков назвали возможность удалённого отключения вендором. Только за 2024 год в ЦКИТ насчитали как минимум 50 такого рода инцидентов. Не менее значимой является также несовместимость с российскими операционными системами. И, как уже было сказано, своевременное обновление системы также затруднено, что касается в том числе установки патчей, закрывающих выявленные уязвимости.
Юридические риски связаны со сложностями поддержания лицензионной чистоты продукта. Регуляторные — с тем, что сертификация Exchange невозможна, по крайней мере до того, как Microsoft полноценно вернётся на российский рынок. Однако, как напоминает Дмитрий Хомутов, 71 % лицензий на Exchange в России изначально приобретались как бессрочные.
Как дополняет Артём Береговой, у Microsoft Exchange Server Edition (SE) просто не задана дата окончания срока технической поддержки. Нет также никаких ограничений на распространение и установку обновлений безопасности, и их получение российские пользователи смогли организовать уже давно.
С другой стороны, как предупреждает Рустам Калимуллин, использование неподдерживаемого ПО, Exchange в том числе, создаёт целый ряд довольно серьёзных рисков. В частности, когда речь идёт о соблюдении требований норм по защите персональных данных или критической информационной инфраструктуры. Соблюсти все требования регулятора и при этом остаться на Exchange, по его оценке, невозможно.
Однако именно эксплуатация уязвимостей является наиболее опасным риском. Тем более что примеров того, как их можно эксплуатировать, накопилось немало. Так, в перечне уязвимостей, которые наиболее часто использовали авторы шифровальщиков, Exchange уверенно заняла место в первой тройке (рис. 1).
Рисунок 1. Уязвимости, которые чаще всего эксплуатировали авторы шифровальщиков
В марте 2021 года около 40 российских компаний были атакованы с помощью эксплуатации уязвимости ProxyLogon. Целью таких атак обычно была кража корпоративной информации. Эту же уязвимость использовали при атаках и на компании в других странах.
По оценкам Check Point, в марте 2021 года в отдельные дни количество попыток атак на Exchange удваивалось каждые два часа, а их число доходило до сотен в день. Однако Россия, в отличие от Италии, США и Турции, в число наиболее атакуемых стран не попала. К сентябрю того же года количество таких атак приблизилось к 20 тысячам.
В следующие годы ситуация несколько успокоилась после того, как была закрыта значительная часть уязвимостей, использовавшихся в ходе волны атак 2021 года. Однако были обнаружены новые проблемы, которые также использовались в атаках. Так, в августе 2022 года вьетнамские специалисты выявили целую кампанию с использованием бэкдора China Chopper по эксплуатации тогда ещё неизвестных уязвимостей (рис. 2). За этой волной атак стояла одна из китаеязычных APT-группировок.
Рисунок 2. Консоль управления China Chopper
Некоторые группировки даже специализировались исключительно на атаках через эксплуатацию уязвимостей Exchange. В число таких «Лаборатория Касперского» отнесла, например, ToddyCat, которая атаковала правительственные и военные структуры России и ряда азиатских стран. Только спустя два года после появления она начала применять другие методы для проникновения в инфраструктуру.
Летом 2025 года несколько десятков компаний в разных странах мира, в том числе российских, были атакованы с помощью зловреда, который был внедрён на страницу авторизации Exchange Server. Целью злоумышленников были корпоративные учётные данные.
Дмитрий Хомутов напомнил, что в 2025 году на эксплуатацию уязвимостей Exchange пришлось около половины всех атак, о которых было объявлено публично. По его оценке, серверы Exchange доступны из публичного интернета, что повышает их привлекательность для атак.
С другой стороны, как отметил Сергей Полунин, многие компании научились защищать Exchange от атак. Для этого используются различные инструменты, включая межсетевые экраны для веб-приложений (Web Application Firewall, WAF), системы защиты конечных точек (Endpoint Detection and Response, EDR), средства многофакторной аутентификации пользователей. Они дают эффект, даже если на систему не ставить патчи, что также многие делать научились. Плюс ко всему, есть множество способов снизить возможную площадь атаки, что также делают.
По-настоящему серьёзные риски, по оценке представителя «Газинформсервиса», могут испытывать только пользователи очень старых версий Exchange 2013 или более ранних версий. Это усугубляется необходимостью менять всю инфраструктуру, включая операционные системы, системы идентификации и аутентификации, службу каталогов и другие системные службы.
Вместе с тем, как обращает внимание исполнительный директор IVA Technologies Сергей Телевинов, внешние средства защиты не способны заменить официальную поддержку и регулярные обновления вендора. В результате использование неподдерживаемых версий продукта повышает риски информационной безопасности для корпоративной инфраструктуры.
Антон Шпорт считает, что проблемы у тех, кто продолжает держаться за Exchange, неизбежно возникнут в горизонте 6–8 месяцев. За это время серьёзно возрастёт риск взломов, утечек, компрометации корпоративной переписки и других чувствительных данных. И хотя все эти проблемы не начнут возникать мгновенно, компании окажутся в положении, когда последствия каждого нового инцидента будут обходиться дороже, чем своевременная миграция.
По оценке Алексея Постригайло, через почту можно не только получить доступ к чувствительной деловой информации и дальше зайти в связанные с ней сервисы. Если система старая, плохо обновляется и держится на ручных обходных решениях, она становится постоянной точкой отказа, а значит — простоев, что выливается в прямые финансовые потери. В какой-то момент бизнес платит уже не за экономию на миграции, а за накопленный технический долг.
Альтернатива есть
Российские вендоры предлагают немало продуктов, позиционируемых как замена Exchange и других решений, например IBM Lotus Notes / Domino. Они не уступают ни в функциональных возможностях, ни в масштабируемости, ни в надёжности работы. Более того, у них есть немало преимуществ, в том числе весьма критичных для условий отечественного рынка.
Самые старые из них ведут свою историю ещё с конца 1990-х, а значит, они ненамного моложе продукта от Microsoft. Причём некоторые неплохо представлены далеко за пределами России и в целом постсоветского пространства, как, например, CommuniGate Pro.
В целом количество таких продуктов от отечественных разработчиков довольно велико. Самые популярные из них вошли в наш обзор. По мнению Дмитрия Хомутова, самыми зрелыми и функциональными, наряду с CommuniGate Pro, являются Mailion и RuPost. Все они не только имеют достаточный набор функций, но и стабильно работают, обладают большими резервами по масштабированию (например, у Mailion заявлена поддержка до миллиона почтовых ящиков), а также имеют полный набор сертификатов от регуляторов.
Однако, к сожалению, компания «Новые облачные технологии», которой принадлежит Mailion, испытывает серьёзные финансовые трудности. Не исключено, что данная компания может уйти с рынка или оказаться купленной кем-то из других игроков, что может повлиять на развитие её продуктов. Будем надеяться, что всё завершится благополучно.
Алексей Постригайло считает перспективными продуктами также VK WorkSpace / VK WorkMail и «Р7-Офис. Корпоративная почта». По его словам, не менее критичны, чем функциональность, также сценарии развёртывания и миграции решения, а также моменты, связанные с технической поддержкой.
Сергей Телевинов обратил внимание на то, что появляются продукты, использующие, как и Microsoft, экосистемный подход. Они, если речь идёт о коммуникационных продуктах, объединяют почту, календари, мессенджер, видеоконференцсвязь и другие сервисы. Такой подход позволяет сократить количество интеграций, упростить управление инфраструктурой и повысить общий уровень информационной безопасности. IVA Mail является как раз частью общей экосистемы IVA Technologies.
Антон Шпорт подчеркнул, что с 2022 года именно совершенствование инструментов миграции стало приоритетным для CommuniGate Pro. Появилась услуга плавной миграции. Также поддерживается одновременная работа двух систем, что позволяет уменьшить возможные издержки при замене решения. Не забывали и о функциональности, в частности данный продукт включает не только почту и календарь, но и средства интеграции с телефонией и видеоконференцсвязью.
Михаил Никитин также называет ассистент миграции RuPost наряду с простотой администрирования одним из главных преимуществ. Часто их доносит до заказчиков «сарафанное радио», и поэтому важно активно участвовать в разных форумах и конференциях, чтобы этот опыт доносить. Довольно серьёзным преимуществом также можно считать многоплатформенное клиентское приложение RuPost, которое максимально приближено по интерфейсу к Outlook и при этом не настолько монструозно (рис. 3). У автора этих строк осталось от него очень хорошее впечатление.
Рисунок 3. Клиент RuPost Desktop
«Самая сложная часть проектов по замене Microsoft Exchange — не поставить новую систему, а пройти переход без потерь для бизнеса. Сначала нужно понять, кто и как пользуется почтой, какие сервисы к ней подключены, где хранятся архивы и какие группы пользователей критичны для работы. После этого переход нужно проверить на ограниченной группе и запускать поэтапно, с запасным вариантом на случай сбоев. Иначе компания вроде бы уходит от риска старого Exchange, но получает новый риск — сбои в работе и тяжёлую ручную поддержку после запуска», — предупреждает Алексей Постригайло.
Что мешает мигрировать на российские продукты?
В целом риски при миграции с любого продукта делятся на три категории:
Финансовые. Включают как прямые затраты (стоимость лицензий, услуги интеграторов, приобретение дополнительного оборудования и т. д.), так и косвенные (обучение персонала, возможные потери производительности труда в период адаптации, ущерб от сопутствующих простоев).
Организационные, связанные с возможными нарушениями в бизнес-процессах, которые завязаны на тот или иной продукт или решение.
Технические. Издержки, связанные с возможным влиянием заменяемой системы на смежные, импортом данных, адаптацией к особенностям функционирования и обслуживания нового решения.
При замене продукта, на который завязаны бизнес-процессы в организации, в том числе Exchange, значимыми окажутся все три группы рисков. Причём чем крупнее организация, тем больше шансов с ними столкнуться.
Что касается финансовых рисков, то опрошенные нами эксперты обращают внимание на то, что российские решения, позиционируемые в качестве замены Exchange, стоят довольно дорого. Также, как предупреждает Рустам Калимуллин, это усугубляется длительным процессом миграции, который может занимать месяцы. Значимым фактором будет переобучение персонала, которое неизбежно затронет практически всю компанию.
Артём Береговой считает переход на альтернативные сервисы высокозатратным. Причём основная часть расходов связана с интеграцией и последующим сопровождением. Особенно значима данная проблема для крупных компаний, где основные внутренние процессы реализованы через цепочки почтовых согласований, а также интегрированы с электронной подписью и документооборотом. Для такого бизнеса пользовательский опыт перехода сопоставим с переопределением основных бизнес-процессов, что влечёт ещё и значительные организационные проблемы, на устранение которых может уйти много времени.
Серьёзной проблемой является сложность такой миграции. Они возникают даже при обновлении самой Microsoft Exchange. Причём чем больше масштаб инсталляции, тем выше вероятность столкнуться с такими издержками в виде потери ящиков или хотя бы отдельных писем.
Поэтому, как обратил внимание Сергей Полунин, многие считают риски, связанные с издержками такой миграции, более значимыми:
«Установить софт и подключить клиентов несложно самостоятельно или вместе с интегратором. Но возникают другие вопросы — миграция многолетних архивов писем, перенос прав доступа, перенос календарей и переговоров, обучение пользователей, перестройка бизнес-процессов, интеграция со старыми системами, миграция мобильных устройств и много всего, о чём до миграции вы даже не задумывались. Особенно тяжело это происходит в крупных холдингах, распределённых компаниях и вообще в организациях с десятками тысяч почтовых ящиков».
Как напоминает Рустам Калимуллин, Exchange встроен в десятки внутренних процессов. Переход на любое другое решение неизбежно затрагивает не только почту, но и смежные сервисы, механизмы аутентификации, документооборот и корпоративные приложения. Причём то, что российские решения менее зрелые, заметно осложняет процесс миграции.
Как отмечает Сергей Телевинов, некоторые компании, чтобы обеспечить полную функциональность прежнего решения, вынуждены использовать сразу несколько продуктов. Это также чревато целым комплексом рисков, связанных с усложнением администрирования и поддержки, обеспечением их интеграции, которая может нарушаться при обновлении отдельных компонентов.
Выводы
Миграция с Microsoft Exchange — сложный и довольно дорогой проект, к тому же чреватый большим количеством малоприятных для компании издержек. При этом за более чем 4 года компании научились довольно успешно защищать данное решение от возможных атак, связанных с эксплуатацией уязвимостей.
По этой причине процесс миграции на отечественные продукты идёт и, вероятно, будет идти довольно медленно. Исключение будут составлять только компании, которые находятся под регуляторным давлением.
