送信者を偽装できる脆弱性「Mailsploit」について | JPCERTコーディネーションセンター（JPCERT/CC）

（2017/12/08）外部から頂いた情報を元に、「Mailsploit」に関する説明について追記いたしました。 複数のメールクライアントに「Mailsploit」と呼ばれる脆弱性が見つかったと話題になっています。この脆弱性は発見者から以下の Web ページにて注意が呼び掛けられています。同ページで指摘されている挙動は、一部の製品においてJPCERT/CCでも確認しています。 Mailsploit https://www.mailsploit.com/ 「Mailsploit」が悪用された場合、DMARC やスパムメールのフィルターといった、今までのメール偽装対策で有効とされていた方法でブロックされることなく偽装したメールを送ることができる可能性があり、不審なメールを見分けることが難しくなるケースが考えられます。また、メールヘッダーに ASCII 文字以外の文字を入れるとそれ以降の文字処理

[itochan]

なるほど。表示されるメールのドメイン名をベースに検証しろと、そういうことか！　＞DMARC（略）がチェックするアドレスは、実際の送信元アドレスであるため、DMARC で用いられている DKIM の検証では偽装と判断できない

[IGA-OS]

最近はメーラーをあまり使わなくなったのですが・・・気をかけておきたい

[Rockridge]

メール送信者を偽装できる脆弱性"Mailsploit"について、Thunderbirdが「対応しない」というのは誤解である。参照：https://bugzilla.mozilla.org/show_bug.cgi?id=1423432#c40

[meeyar]

メールヘッダを直に見ないとダメだと

[s_nagano]

厄介なやつ

[mkusunok]

DMARCをすり抜けられてしまうのは痛いな