谷歌修复了严重的电子邮件身份验证错误

谷歌表示，它已经修复了Gmail中的一个问题，该问题导致诈骗者冒充合法且更重要的是经过验证的公司，但幸运的是，看起来没有用户受到伤害。

该电子邮件服务提供商最近刚刚扩展了大约两年前推出的BIMI电子邮件身份验证计划，允许某些符合条件的公司在其名称旁边显示蓝色复选标记，以帮助用户区分收件箱中的安全电子邮件。

这些有问题的电子邮件似乎来自快递巨头UPS，但幸运的是，TheRegister报道称，其中没有包含恶意负载。

BIMI要求参与公司采用基于域的消息身份验证、报告和一致性(DMARC)以及发件人策略框架(SPF)或域密钥识别邮件(DKIM)。

ChrisPlummer通过推文分享了他们的发现，他表示SPF中的一个漏洞是导致诈骗者冒充UPS的罪魁祸首，甚至采用了该公司的徽标和蓝色复选标记。

该帖子详细介绍了谷歌最初的反应，大意是“不会修复预期的行为”，之后来自普卢默和互联网的压力让谷歌重新考虑了自己的立场。后来谷歌发给普卢默的通讯内容如下：

“仔细观察后，我们意识到这确实不像一个通用的SPF漏洞。因此，我们正在重新开放这个问题，相关团队正在仔细研究正在发生的事情。”

谷歌就其最初的回应向普卢默道歉，称其“可能令人沮丧”，并感谢推特用户“敦促[谷歌]仔细查看。”

虽然这个单独的例子似乎没有造成任何麻烦，但尚不清楚有多少其他帐户被冒充，以及有多少电子邮件用户成为其他诈骗的受害者。

谷歌发言人告诉TechRadarPro：

“此问题源于第三方安全漏洞，使不良行为者看起来比实际更值得信赖。为了确保用户安全，我们要求发件人使用更强大的域名密钥识别邮件(DKIM)身份验证标准，以获得品牌指标的资格消息识别(蓝色复选标记)状态。”

谷歌证实，这一变化现已全面推出。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！