VU#517845 - 认证SMTP用户可能因"From"标头解析歧义而伪造其他身份

漏洞说明 VU#517845 原始发布日期：2025-10-28 | 最后修订日期：2025-10-28

概述

可以利用电子邮件消息标头语法来绕过SPF、DKIM和DMARC等认证协议。这些利用方式使得攻击者能够发送看似来自可信来源的欺诈邮件。近期的研究探索了如何使用发件人字段（例如From:和Sender:）来发送看似来自可信来源的欺诈邮件。攻击者可以滥用这些字段，为恶意目的冒充发件人电子邮件地址。

描述

电子邮件是个人和企业通信的主要媒介。近年来，人们开发了DKIM、SPF和DMARC等机制来验证电子邮件发件人的身份；然而，端到端的安全电子邮件仍然是一个未解决的挑战。 先前披露的名为"SMTP Smuggling"的方法，强调了在滥用RFC 5321中定义的SMTP协议时，发件人身份可能被欺骗的方式。进一步的研究表明，如互联网消息格式（RFC 5322，由RFC 6854更新）中定义的电子邮件消息标头，也可用于欺骗电子邮件发件人的身份。 在典型场景中，一封电子邮件通过了SPF、DKIM和DMARC检查，并且有一个发件人，其信封标头MAIL FROM字段与邮件标头From:和可选的Sender:字段相匹配。RFC 6854定义了如何代表一个组发送电子邮件，将多个电子邮件地址放入邮件标头的From:字段中。 使用特定的语法，攻击者可以在邮件标头的From:字段中插入多个地址。许多电子邮件客户端解析From:字段时，只显示最后一个电子邮件地址，因此收件人不会知道该邮件据称来自多个地址。通过这种方式，攻击者可以伪装成用户熟悉的人。 更具体地说，用户attacker@example.com可以发送一封From:字段格式为<attacker@example.com>:<spoofed@example.com>的电子邮件。接收服务器可能会将spoofed@example.com显示为发件人。此外，发送服务器可能会添加DKIM签名并以符合SPF策略的方式转发电子邮件，导致接收系统将该消息视为可信。 这些精心构造的电子邮件标头可以采取多种形式，使用引号和尖括号地址表示法（例如<attacker@example.com>）的组合，正如Solnser在2024年的博客文章中所讨论的：https://blog.slonser.info/posts/email-attacks/。攻击者还可以使用RFC 5321第4.5节中规定的空发件人<>或"空反向路径"，这使真实发件人认证进一步复杂化。

影响

攻击者可以构造电子邮件标头以冒充其他用户，绕过域所有者强制执行的DMARC策略和发件人验证。研究表明，多家电子邮件服务提供商容易受到此类攻击。

解决方案

电子邮件服务提供商和管理员 电子邮件服务提供商应采取措施，确保在签名或中继消息之前，对经过身份验证的外发电子邮件标头进行适当验证。此外，使用邮件过滤器（milter）协议构建的软件，例如Milterfrom版本1.0.4，近期已更新，以便更好地为符合milter标准的电子邮件服务器验证经过身份验证的发件人。

电子邮件终端用户 由于电子邮件发件人验证仍然具有挑战性，用户在响应要求敏感信息的电子邮件或点击可能下载或安装恶意软件的链接时应谨慎行事。希望在点击链接或共享敏感信息之前验证电子邮件发起者的用户，可以查看"原始邮件"或"邮件源"（取决于电子邮件客户端），检查From:和Sender:字段的原始标头。

致谢

感谢PayPal的Hao Wang和Caleb Sargent报告这些问题。本文档由Vijay Sarvepalli和Renae Metcalf撰写。

供应商信息

517845

按状态筛选：

• 所有
• 受影响
• 未受影响
• 未知

按内容筛选：

• 附加信息可用

排序方式：

• 状态
• 字母顺序

展开全部

• Microsoft

  • 受影响
  • 通知日期：2025-06-09
  • 更新日期：2025-10-28
  • 声明日期：2025年9月25日
  • VU#517845.1 受影响
  • 供应商声明：我们尚未收到供应商的声明。

• Axigen

  • 未受影响
  • 通知日期：2025-09-23
  • 更新日期：2025-10-28
  • 声明日期：2025年9月25日
  • VU#517845.1 未受影响
  • 供应商声明：我们尚未收到供应商的声明。

• Bird

  • 未受影响
  • 通知日期：2025-09-23
  • 更新日期：2025-10-28
  • 声明日期：2025年10月27日
  • VU#517845.1 未受影响
  • 供应商声明：我们尚未收到供应商的声明。

• Cisco

  • 未受影响
  • 通知日期：2025-09-23
  • 更新日期：2025-10-28
  • 声明日期：2025年10月8日
  • VU#517845.1 未受影响
  • 供应商声明：我们尚未收到供应商的声明。

• FastMail

  • 未受影响
  • 通知日期：2025-06-09
  • 更新日期：2025-10-28
  • 声明日期：2025年6月11日
  • VU#517845.1 未受影响
  • 供应商声明：实际上，Fastmail在实践中不易受此欺骗攻击。我们检测到存在模糊的From标头，并将邮件标记为隔离。在我们的测试中，我们发现有时其他信号足以覆盖隔离策略，导致邮件到达收件箱——但这并非模糊From标头的功能所致。不过，我们认为可以改进对此情况的处理，并将研究如何实施。

• IONOS

  • 未受影响
  • 通知日期：2025-09-23
  • 更新日期：2025-10-28
  • 声明日期：2025年10月16日
  • VU#517845.1 未受影响
  • 供应商声明：我们尚未收到供应商的声明。

• Postfix

  • 未受影响
  • 通知日期：2025-09-23
  • 更新日期：2025-10-28
  • 声明日期：2025年9月24日
  • VU#517845.1 未受影响
  • 供应商声明：我们尚未收到供应商的声明。

• Siemens

  • 未受影响
  • 通知日期：2025-09-23
  • 更新日期：2025-10-28
  • 声明日期：2025年10月10日
  • VU#517845.1 未受影响
  • 供应商声明：我们尚未收到供应商的声明。

• Google

  • 未知
  • 通知日期：2025-06-16
  • 更新日期：2025-10-28
  • 声明日期：2025年8月7日
  • VU#517845.1 未知
  • 供应商声明：我们计划在接近新的披露日期时，在实施计划中的更改后，更新此内容并链接到相关文档。

（此处省略后续多个供应商状态列表，以保持结构简洁，原文中后续所有供应商状态均遵循相同格式列出。）

参考文献

• https://kb.cert.org/vuls/id/244112
• https://kb.cert.org/vuls/id/302671
• https://datatracker.ietf.org/doc/html/rfc6854
• https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/
• https://blog.slonser.info/posts/email-attacks/
• https://learn.microsoft.com/en-us/archive/blogs/tzink/what-do-we-mean-when-we-refer-to-the-sender-of-an-email

其他信息

• API URL: VINCE JSON | CSAF
• 公开日期: 2025-10-28
• 首次发布日期: 2025-10-28
• 最后更新日期: 2025-10-28 14:35 UTC
• 文档修订版本: 1