周报

  1. Roundcube 的 CVE-2025-49113 漏洞在本月初得到修复, 该漏洞持续时间超过十年, 受影响的邮件主机超过八万个. 建议系统管理员更新版本至 v1.6.11 和 v1.5.10 以获得漏洞修复更新. [1]
  2. 瑞士互联网科技公司 Infomaniak 发言人最近在瑞士国家电台和广播电台发表的一系列言论引起热议. 言论表示, 它们支持瑞士政府强制 VPN 和电子邮件供应商收集用户数据, 呼吁全面禁止网络匿名. 它们甚至希望瑞士的法律能够强制要求保留所有网络连接的元数据, 禁止无日志 VPN, 注册云服务需要提供身份证件, 还要求公司自动将数据移交给政府而无需法院命令. 对此 Proton 拒绝了提议并表达抗议, 并表示如果 Infomaniak 的提议被瑞士政府通过那么他们将离开日内瓦. [2]
  3. OpenEmail 是一个基于 HTTPS 设计的全新现代电子邮件协议, 推倒重建了传统邮件的协议, 为电子邮件带来了更强的安全性和去中心化, 提供真正端到端加密和隐私优先的协议设计. 现在协议已通过 GitHub 发布, 标准示例应用已在 Android, iOS, Windows 和 Linux 平台可用. [3]
  4. 华尔街日报报道, 网络安全软件公司 DNSFilter 发现, 用户每 644 次点击电子邮件中的 "取消订阅" 超链接就有一次会将用户引导至可能的恶意网站. 点击取消订阅链接会主动告诉潜在的恶意攻击者该电子邮件地址是真实存在的, 虽然暂时不会造成直接损害, 但在未来会让用户更有可能成为攻击目标. [4]
  5. DMARC 托管供应商 EasyDMARC 解析了新西兰政府的推出的新电子邮件安全框架(Secure Government Email Common Implementation Framework), 该框架要求政府机构在今年 10 月前采用, 具体的电子邮件技术指标包含: TLS 1.2 或以上版本; 启用 TLS-RPT; 以 hardfail 声明的 SPF 策略; 必须对出站邮件的最后一个跃点上执行 DKIM 签名; 严格 reject 的 DMARC 策略; 强制执行 MTA-STS. [5]
  6. 安全供应商 Aim Labs 研究发现 Microsoft 的 AI 助手 Copilot 可被攻击者操纵去获取用户的内部敏感信息. 这个漏洞被称为 "EchoLeak", 攻击者只需要发送一封电子邮件给目标受害者, 结合一系列安全措施绕过手段就能让 Copilot 自动将受害收件人组织中的敏感信息作为语境信息通过链接参数变量回传给攻击者的服务器, 受害者无需任何点击, 所有操作都由 Copilot 自动完成. 这个安全漏洞被记录为 CVE-2025-32711. [6]
  7. 趋势科技发布 2025 年网络风险趋势报告, 其中电子邮件相关风险在整体十大风险事件中位居高位. 可被沙箱检测到的电子邮件威胁位居第三位, 垃圾邮件防护策略违规位居第五位, 数据丢失中的电子邮件数据相关违规位居第六. 电子邮件仍然是攻击者传递恶意载荷首选的途径. [7]
  8. XDA 发布了一篇标题为《我自托管了所有服务但除了电子邮件的三个原因》的专栏, 这三个原因主要是指: 无法适应现代用途的脆弱协议设计; 对自托管也有极高的 SLA 要求; 垃圾邮件过滤无法和大型供应商相提并论. 评论区产生了激烈的讨论, 部分读者认为标题过于夸大. [8]
  9. 本月 12 日 Google Cloud 发生大规模宕机事件, 影响到了所有的 Google 服务, 其中也包括 Gmail 和 Google Calendar 等核心云服务. 该事故持续时间超过三个小时, 影响全球百万用户. [9]
  10. 漏洞挖掘者 brutecat 披露了自己如何通过穷举挖掘指定 Google 账户的恢复手机号的流程. brutecat 发现在浏览器停用 JavaScript 的情况下(No-JS) Google 的账户恢复表单依旧有效, 虽然依然受到基于 PoW 驱动的 BotGuard 限制, 但 Google 对于禁用 JavaScript 时的账户恢复 API 端点携带的 BotGuard 令牌并没有做请求限制. brutecat 通过大量的 IPv6 地址绕过 IP 速率限制发起暴力请求, 借助 Google 账户名称和恢复账户时提示的电话号码后两位穷举所有可能的电话号码. 通过 PoC 后, brutecat 给出了一台 16 核服务器穷举破解的开销, 美国号码的账户需要二十分钟, 而最快的针对新加坡号码只需要五秒钟. 如果其他关联账户暴露更多电话号码位数那么这个速度会更快. 随后 brutecat 将该漏洞提交给了 Google, 最初判断为低利用可能性奖励了 1337 美元, 最终奖励总额提升到 5000 美元, Google 已确认现在这个 No-JS 恢复表单已完全弃用. [10]
  11. Validity 旗下公司 Litmus 发布 2025 年电子邮件现状报告, 该报告基于全球电子邮件营销人员的反馈, 揭示了如今复杂的电子邮件营销格局. 大多数的营销人员注重投资回报率(ROI), 但五分之一的受访者表示难以衡量或证明 ROI, 而 ROI 较高的公司会将 25% ~ 50% 的市场营销人员投入到电子邮件营销运营中. 随着 AI 工具的推广, 营销人员制作电子邮件的速度也大大加快, 报告显示只有 6% 的人员需要花两周以上的时间来制作电子邮件, 而在 2024 年这个比例是 62%; 30% 的营销人员认为内容创作是电子邮件营销中很重要的技能; 49% 的营销人员使用 AIGC 内容参与文案创作, 使用 AIGC 图片的营销人员相比去年增加了 340%; 97% 的营销人员认同邮件中至少应该包含一个互动元素, 而按钮或 CTA 被 35% 的人员认为是最有效的. [11]

注释

  1. Over 84,000 Roundcube instances vulnerable to actively exploited flaw ↩︎

  2. Infomaniak breaks rank and comes out in support of controversial Swiss encryption law - General / News - Privacy Guides Community ↩︎

  3. OpenEmail ↩︎

  4. Why You Should Think Twice Before You Click ‘Unsubscribe’ in an Email - WSJ ↩︎

  5. New Zealand SGE | EasyDMARC ↩︎

  6. Aim Labs | Echoleak Blogpost ↩︎

  7. Trend 2025 Cyber Risk Report | Trend Micro (US) ↩︎

  8. 3 reasons I self-host everything but my own email server ↩︎

  9. 谷歌云服务全球宕机超 3 小时,官方确认 API 管理失误导致 - IT之家 ↩︎

  10. Bruteforcing the phone number of any Google user ↩︎

  11. Validity Releases “State of Email 2025” Report, Revealing Email Marketing Trends - Validity ↩︎

许可协议

本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。

分享文章

快来参与讨论吧~