آیس‌وارپ یک ایمیل سرور رایج در شرکت‌های ایرانی می‌باشد که بدلیل داشتن امکانات فراوان جایگاه خوبی را در بین مدیران آی‌تی پیدا کرده است. بدلیل قدرت بالای نرم‌افزار و پشتیبانی قوی نماینده اولیه این محصول، جایگاه خوبی را نسبت به سایر رقبا در بین محصولات ایرانی پیدا کرده است.
متاسفانه آیس‌وارپ از سه سال قبل شروع به تغییر ساختار محصول خود کرد و با معرفی میکروسرویس‌ها عملا به یک محصول نا امن برای کاربران ایرانی تبدیل شد. این موضوع تا جایی ادامه داشت که نماینده پیشین آیس‌وارپ با اطلاعیه‌ای علاوه بر هشدار به شرکت‌های ایرانی، از ادامه همکاری با آیس‌وارپ انصراف داد.
در اینجا تعدادی از شواهدی مبنی بر ارسال اطلاعات کاربران به خارج از ایران را با استناد به سایت خود شرکت آیس‌وارپ بررسی خواهیم کرد:

سرویس داشبورد:
این سرویس از نسخه ۱۴ آیس‌وارپ معرفی شده است و امکان غیرفعال کردن آن وجود ندارد. برای آگاهی از نحوه عملکرد آن به صفحه زیر از سایت آیس‌وارپ مراجعه می‌کنیم:

https://support.icewarp.com/hc/en-us/articles/16585444089617-General-description-of-IceWarp-Cloud-microservices

در این صفحه توضیحات جامعی در مورد میکرو سرویس‌های آیس‌وارپ داده شده است. چند قسمت در این صفحه مورد توجه ما می‌باشد:

ترجمه این قسمت به شرح زیر می‌باشد:

1. مرورگر کاربر درخواست باز شدن داشبورد/نوت‌ها را در وب‌کلاینت آیس‌وارپ می‌نماید.
2. از میکروسرویس ابری آیس‌وارپ رابط کاربری داشبورد/نوت‌ها برای کاربر آپلود می‌شود.
3. میکروسرویس API ابری آیس‌وارپ از سرور داخلی درخواست اطلاعات کاربر را کرده و آن را تبدیل به حالت قابل خوانده شدن برای داشبورد می‌نماید.
4. به محض تبدیل اطلاعات دریافت شده از سرور کاربر، این اطلاعات به مرورگر کاربر ارسال می‌گردد.

با استناد به این بخش از مستندات آیس‌وارپ می‌توان به موارد زیر پی برد:

1. سرویس داشبورد دارای دو میکروسرویس ابری مجزای اینترفیس و API می‌باشد.
2. در هربار لاگین کردن به سرور، اینترفیس این سرویس از روی ابر آیس‌وارپ به کاربر آپلود می‌شود.
3. اطلاعات بصورت قابل خواندن توسط داشبورد بر روی سرور کاربر ذخیره نمی‌شود. برای تبدیل این اطلاعات نیاز به ارتباط با میکروسرویس دوم آیس‌وارپ یعنی API می‌باشد.
4. میکروسرویس API بصورت رابط بین سرور و کلاینت آیس‌وارپ عمل کرده و کلیه اطلاعات از طریق این میکروسرویس برای کاربر ارسال می‌گردد.

در همین چند جمله اولیه مشخص است که اطلاعات سازمان به سرورهای آیس‌وارپ ارسال شده و کاملا توسط آیس‌وارپ در دسترس می‌باشد. همچنین مشخص است که اتفاق مشابهی برای سرویس نوت (یادداشت) آیس‌وارپ افتاده و مانند داشبورد عمل می‌نماید. علاوه بر این در هربار لاگین، اینترفیس نوت و داشبورد از سمت آیس‌وارپ بر روی وب‌کلاینت آیس‌وارپ بارگذاری می‌شوند و این بدون کنترل ادمین بوده و هر نوع کدی ممکن است بارگذاری شود.
نمونه این بارگذاری اشتباه حدود ۶ ماه کاربران ایرانی را با مشکل عدم امکان لاگین به آیس‌وارپ بدلیل باگ موجود در داشبورد مواجه کرده بود که کاربران بالاجبار مجبور به لاگین با زبان انگلیسی بودند. امکان غیرفعال کردن داشبورد و یا دور زدن آن هم وجود نداشت.
با توجه به نحوه کارکرد داشبورد/نوت آیس‌وارپ نیاز به شناسایی کاربر مورد نظر خواهد داشت با بررسی‌های بیشتر می‌توان به این مورد پی برد. عکس زیر از صفحه لاگین آیس‌وارپ می‌باشد:

همانطور که مشخص است آیس‌وارپ هنگام لاگین با این سرورهای ابری ارتباط برقرار کرده و احراز هویت می‌نماید. همچنین با مراجعه به صفحه زیر در آیس‌وارپ:

https://support.icewarp.com/hc/en-us/articles/6808711405585-IceWarp-recommended-network-ports

و بررسی پورت‌های مورد نیاز برای فعالیت آیس‌وارپ صحت این موضوع تایید می‌شود:

همانطور که مشخص است ارتباط با لاگین آیس‌وارپ مورد نیاز می‌باشد و اینکه سرورهای آیس‌وارپ در چک، آمریکا، هند و سنگاپور مستقر می‌باشد و در نهایت با برگشت به صفحه قبلی، تیر آخر:

بجز عکس پیش‌زمینه، آیس‌وارپ هیچکدام از اطلاعات کاربر را بر روی سرور سازمانی نگهداری نمی‌نماید ( این اطلاعات بر روی سرویس ابری آیس‌وارپ ذخیره می‌شود)

سرویس داکیومنت:
یکی از دیگر میکروسرویس‌های آیس‌وارپ، سرویس نمایش/ویرایش فایل آن می‌باشد. چه هنگام باز کردن فایل‌های الصاق شده به ایمیل، چه هنگام ویرایش فایل‌های ذخیره شده در پوشه‌های آیس‌وارپ از این میکروسرویس استفاده می‌شود. با مراجعه به لینک اول ارائه شده در این مقاله در قسمت داکیومنت به مطلب زیر برمی‌خوریم:

با استناد به این پاراگراف و مطلب زیر:

به صراحت اعلام شده است که فایل‌ها برای پردازش به سرور ابری آیس‌وارپ فرستاده می‌شوند.

سرویس کنفرانس:
از دیگر میکروسرویس‌های آیس‌وارپ، سرویس کنفرانس می‌باشد که مطلب زیر در مورد آن ارائه شده است:

با توجه به تصویر بالا، تعاملات کاربران در جلسات آنلاین بر روی ابر آیس‌وارپ نگهداری می‌شود.

سایر سرویس‌های جدید آیس‌وارپ:

سرویس URL Shortener:

این سرویس برای تبدیل URLهای بزرگ به کوچک می‌باشد. این سرویس بر روی ابر آیس‌وارپ قرار دارد و باید در نظر داشته باشید که برای فعالیت درست این سرویس باید هر دو URL (اولیه و URL جدید ایجاد شده) در ابر آیس‌وارپ ذخیره شود. برای بررسی این سرویس به لینک زیر بر روی سایت آیس‌وارپ مراجعه میکنیم:

https://support.icewarp.com/hc/en-us/articles/14122661686929-Exploring-the-exciting-features-of-IceWarp-s-latest-version-Epos

در این لینک بخش زیر مورد توجه است:

بر طبق آنچه در این لینک آمده، وظیفه این سرویس دو چیز عنوان شده است. کوتاه کردن لینک‌های بلند و ثبت دسترسی به فایل‌ها. در حقیقت هر نوع دسترسی به فایل‌های نگهداری شده در آیس‌وارپ و ضمیمه‌های هوشمند آیس‌وارپ توسط این سرویس بر روی ابر آیس‌وارپ ثبت و نگهداری می‌شود. برای مشاهده این اطلاعات می‌توانید از اینترفیس آیس‌وارپ استفاده کنید:

کلیه این اطلاعات در مورد فایل بالا در سرورهای ابری آیس‌وارپ نگهداری می‌شود. علاوه بر مشکلات امنیتی که خود این موضوع ایجاد می‌نماید، در صورت بروز خطا در سایر سرویس‌های آیس‌وارپ نیز ممکن است مشکلات فراوانی ایجاد نماید. بعنوان نمونه آیس‌وارپ بدلیل باگ ایجاد شده در یکی از نسخه‌هایش که در این لینک آمده است:

https://support.icewarp.com/hc/en-us/articles/17495221216657-Known-issues-in-IceWarp-Epos

کلیه فایل‌های پیوست شده به ایمیل‌ها در یکی از سازمان‌های مهم دولتی که به نسخه جدید آیس‌وارپ آپگرید کرده بود بصورت لینک درآمده و توسط سرویس URL Shortener آیس‌وارپ بصورت لینک قابل دانلود به مدت ۴ ماه بر روی اینترنت قرار گرفت. با توجه به عدم ارائه پچ فوری برای این مشکل توسط آیس‌وارپ، این سازمان مجبور به برگشت به نسخه قدیمی آیس‌وارپ شد. تصویر زیر نمونه اطلاعات قرار گرفته از این سازمان بر روی اینترنت می‌باشد:

همانطور که در تصویر مشخص است، این اطلاعات بر روی سایت آیس‌وارپ و شامل لینک کوتاه شده، لینک اصلی و تاریخ انتشار و آپدیت فایل و کد مربوط به کاربر است. با کلیک کردن بر روی این لینک‌ها پیوست ایمیل قابل دانلود بود.