周报
- 2 月 12 日, 一位博主发现欧洲当地的最大在线支付供应商 Viva.com 发送的验证邮件中缺少 Message-ID 标头, 然而这是 RFC 5322 规范之中就明确了 "应该(should)" 做的, 虽然不是 "必须(must)" 的, 但对于一家处理支付的商业公司来说, 这样做会导致他们的邮件无法进入 Google Workspace, 这是一个非常严重的后果. 博主调查后发现, 缺少该标头的邮件无法进入 Workspace 但能进入个人 Gmail 收件箱, 可能是 Google 对企业和个人邮件流的处理规则宽松度不同导致的, 该文章也在 Hacker News 上热议. [1]
- 安全供应商 Red Canary 发布邮件的 Microsoft Entra ID 认证权限滥用的报告. 报告中, 研究员表示研究对象 ChatGPT 属于 OpenAI 的合法应用, 通过 OAuth 链接 Entra ID 也是合法的授权方式, 但是 OpenAI 的连接器使用到了多个经常被滥用的 OAuth 权限, 其中就包括了能直接读取授权用户邮箱内容的
Mail.Read权限, 而 Entra ID 默认允许非管理员用户同意应用申请敏感权限而不需要管理员的批准, 如果攻击者精心构造迷惑性的应用推送给了企业用户, 安全意识薄弱的内部用户会很容易将恶意的应用添加到组织之中, 秘密之中读取用户的通讯内容, 造成内部数据泄露. [2] - 2 月 23 日, Meta 的人工智能实验对齐和安全总监 Summer Yue 在社交媒体上发文表示自己收件箱的大量邮件被 OpenClaw 助手删除了. 最开始 Summer 在测试收件箱上测试, OpenClaw 运作良好, 后来切换到自己的邮箱上, 由于要处理的邮件数据太多, 助手丢失了最初为它预设的删除之前确认要求的指令记忆, 直到助手开始删除邮件, Summer 多次在对话中强烈要求停止操作也没能阻止, 直到他手动结束进程, 最终 OpenClaw 删掉了收件箱中的 200 多封邮件. OpenClaw 的开发者表示这是一个很好的经验贴, 任何人都可能会遇到这种情况. [3]
- Microsoft 的经典版 Outlook 客户端再次出现问题, 会导致部分用户使用时鼠标指针消失, 进而无法流畅继续操作邮件客户端. 距离该问题的用户首次报告已经过去了两个月, Microsoft 在支持文档中表示, 该问题也在其他 Microsoft 365 应用中出现, 但问题程度不严重. Microsoft 暂时没有给出问题修复的时间表, 只是给出了三种临时的解决办法: 光标消失的时候依照 UI 上的强调色变化选中并点击列表中的邮件, 光标会重新出现; 切换到 PowerPoint 中点击可编辑区域再返回 Outlook, 也能恢复指针显示; 重启电脑. [4]
- 2 月 11 日, 卡巴斯基发布 2025 年年度垃圾邮件和网络钓鱼报告. 2025 年全年, 全球发送的所有电子邮件中有 44.99% 是垃圾邮件, 其中俄罗斯用户发送的邮件中有 43.27% 都是垃圾邮件, 全球垃圾邮件发送量国家排行前三中依旧为俄罗斯(32.5%), 中国大陆(19.1%), 美国(10.57%), 德国已经从去年的第六名进入第四名的位置; 遭遇恶意邮件附件攻击的国家中, 前三为中国大陆(13.74%), 俄罗斯(11.18%), 墨西哥(8.18%); 最常用来传播电子邮件威胁的热门渠道是 Google 和 OpenAI; 最常用于托管钓鱼网页的顶级域名前五为 .XYZ, .TOP, .BUZZ, .COM 和 .BOND, 前五占据总量的 66.75%; 报告还介绍了几种新的钓鱼和诈骗手段. [5]
