Сейчас сидел и смотрел лог. По очереди разрешил для неавторизованных пользователей доступ "куда угодно" для следующих MIME-типов:
- application/x-shockwave-flash
- text/html
- text/plain
- text/xml
После этого стало возможным прикрепление аттачей на mail.ru через FireFox. Но, как Вы понимаете, разрешающее правило для любых пользователей на text/html без авторизации означает, что все остальные правила на ограничение WEB просто курят в сторонке. То есть такое "решение" совершенно не преемлемо.
Думается мне всё же, копать нужно в сторону авторизации...
