Gmail 冒名转寄漏洞发现逾 4 个月，Google 终于推出修补程式

Gmail 是很多人每日收发信件的工具，不过有个可用来冒名寄信的漏洞，让用户增加接到诈骗信或商业诈骗信的风险。资安人员向 Google 通报过了 137 天后，官方终于推出修补程式。

这次修复发生在 Google 后端信件流程规则的漏洞，此漏洞能构成严重的冒名转寄问题，只要配合信件闸道使用，便能帮助攻击者绕过现代信件系统严格的 SPF / DMARC 规则保护，冒充 G suite 或 Gmail 用户，寄出假信件给他人。

这次由研究人员 Allison Husain 发现，并在 4 月初立即通报 Google。但 Husain 指 8 月 1 日仍不见 Google 修补迹象，之后 Google 在 8 月中表示，要到 9 月 17 日才会释出修补程式。Husain 于 8 月 19 日以超过通知 Google 日期 137 天为由公开漏洞，且公开后 7 小时 Google 即修补完成。

SPF ( Sender Policy Framework ) 和 DMARC ( Domain-based Message Authentication, Reporting, and Conformance ) 规则可防止普通冒名信件。原理是将一组网域许可的发送者 IP 清单交给信件伺服器比对，不在清单的 IP 寄出的信件，包括冒名或钓鱼邮件伺服器就不会接收，合法来源寄来的便会接受。

但 Husain 发现的漏洞是根据 Google 后端信件流程规则产生，因此是 Google 伺服器独有的问题。既然修补程式已释出，用户可稍微放心。

The Confused Mailman: Sending SPF and DMARC passing mail as any Gmail or G Suite customer