The Registerなどによると、MacやiOSのApple製メールアプリを含む複数のメールクライアントで既存の送信ドメイン認証技術DMARC(DKIM/SPF)やスパムメールフィルターを欺き、送信者を偽装することが出来る「Mailsploit」という脆弱性が発見されたそうです。
TL;DR: Mailsploit is a collection of bugs in email clients that allow effective sender spoofing and code injection attacks. The spoofing is not detected by Mail Transfer Agents (MTA) aka email servers, therefore circumventing spoofing protection mechanisms such as DMARC (DKIM/SPF) or spam filters.
Bugs were found in over 30 applications, including prominent ones like Apple Mail (macOS, iOS and watchOS), Mozilla Thunderbird, various Microsoft email clients, Yahoo! Mail, ProtonMail and others.
Mailsploit – Mailsploit
発見者のSabri Haddoucheさんが公開したWebページによると、この問題は25年前(1992年)に公開されたRFC 1342を利用したトリックで、非ASCII文字をメールのヘッダーに入れることでメールクライアントにそれ以降の文字列の処理を無効にすることが出来るそうで、
The trick resides in using RFC-1342 (from 1992!), a recommendation that provides a way to encode non-ASCII chars inside email headers in a such way that it won’t confuse the MTAs processing the email.
Unfortunately, most email clients and web interfaces don’t properly sanitize the string after decoding which leads to this email spoofing attack.
Here is what it looks like:
- =?utf-8?b?[BASE-64]?=
- =?utf-8?Q?[QUOTED-PRINTABLE]?=
Mailsploit – Mailsploit
Mailsploitの影響を受けるのはAppleのメールアプリだけでなく、Mozilla Thunderbird、Microsoft Outlook、Yahoo! Mail for iOS、Spark for iOS、 AirMailなど30を超え、
- Mailsploit – Mailsploit
- Mailsploit: It’s 2017, and you can spoof the ‘from’ in email to fool filters – The Register
- メールの送信元を完璧になりすます「Mailsploit」は何が危険か – 無能ブログ