研究人員近日證實，Microsoft Outlook等客戶端向電子郵件收件人顯示的“外部發件人”警告可能被發件人隱藏。

事實證明，攻擊者只需更改幾行HTML和CSS代碼，即可更改“外部發件人”警告，或將其從電子郵件中完全刪除。

這是有問題的，因為網絡釣魚攻擊者和詐騙犯可以簡單地在他們發送的電子郵件中包含一些HTML和CSS代碼，以篡改警告消息的措辭或使其完全消失。

發件人可以輕松隱藏“外部發件人”警告

電子郵件安全產品（例如企業電子郵件網關）通常配置為在電子郵件從組織外部到達時向收件人顯示“外部發件人”警告。

IT管理員強制顯示此類警告，以保護用戶免受來自不可靠來源的網絡釣魚和欺詐電子郵件的攻擊。

但是，本周的研究人員展示了一種相當簡單的方法，電子郵件發件人可以使用這種方法來規避電子郵件安全產品所應用的這種保護。

僅通過添加幾行HTML和CSS代碼，研究人員Louis Dion-Marcil就展示了外部發件人如何隱藏電子郵件中的警告。

隱藏電子郵件中的“外部發件人”警告

這是因為電子郵件安全產品和網關攔截和掃描進入的電子郵件的可疑內容，只是簡單地將“外部發件人”警告作為HTML/CSS代碼片段注入電子郵件正文本身，而不是本機電子郵件客戶端顯示消息的UI。

這樣，包含CSS指令以覆蓋警告片段的CSS代碼（顯示規則）的由攻擊者制作的電子郵件可以使警告完全消失：

電子郵件中注入的CSS代碼隱藏了“外部發件人”警告

另一名研究人員表示，過去也注意到了這種行為，他暗示攻擊者也可以利用這個漏洞來改變警告消息：

用戶甚至可以偽造HTML和CSS而不是隱藏它們，這意味著內容已被掃描并認為是安全的。研究人員說，這本身并不是任何電子郵件客戶端應用程序中的錯誤，并且與客戶端無關。

研究人員表示，這實際上不是一個真正的客戶端漏洞，因此它與客戶端無關。與Outlook無關。我只是偶然在Outlook中拍攝了一個屏幕截圖，但是在Gmail，Thunderbird等中都可以使用。

這就是HTML電子郵件的限制。如果將警告添加到HTML正文中，并且攻擊者顯然控制了HTML正文，則他們可以添加CSS規則來隱藏這些元素。

Dion-Marcil在接受電子郵件采訪時對BleepingComputer表示：

該漏洞是不可能修復的，除了改用非html的警告標簽。

Microsoft Exchange本機“外部”電子郵件標簽：一個潛在的解決方案

根據BleepingComputer的報道，上個月，Microsoft Exchange宣布增加了即將推出的“外部”電子郵件標簽功能。

如果IT管理員在其組織的Exchange服務器上啟用此功能，則從外部來源收到的電子郵件在由Microsoft Outlook等本機客戶端解析時，將帶有顯示在本機電子郵件客戶端應用程序UI中的“外部”標簽，而不是電子郵件正文。

例如，Microsoft共享的屏幕快照顯示了在Microsoft Outlook和Outlook移動應用程序中收到的外部電子郵件，這些電子郵件在本機電子郵件客戶端的UI中顯示了“外部”標簽：

Web上的Outlook中的外部標簽

Outlook for iOS中的外部標簽

但是，一旦“外部”電子郵件標簽功能推廣到不同的Office 365環境，它將在默認情況下被禁用。

因此，對啟用此功能感興趣的IT管理員將需要使用Get-ExternalInOutlook和Set-ExternalInOutlook PowerShell cmdlet在支持的Outlook版本中查看和修改外部發件人標識配置。

微軟說：

如果啟用cmdlet，則在24-48小時內，你的用戶將開始在從外部來源（組織外部）收到的電子郵件中看到警告標簽。

在Outlook Mobile中，通過點擊郵件頂部的“外部”標簽，用戶將看到發件人的電子郵件地址。

不管電子郵件中是否包含“外部發件人”警告，或者相反，都聲稱自己是“安全”的，用戶在打開接收到的電子郵件中的任何鏈接或附件之前應格外小心。

【白嫖網絡安全學習資料】

總結

以上是生活随笔為你收集整理的攻击者怎样使用HTML和CSS隐藏“外部发件人”电子邮件警告的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。