谷歌发布漏洞修复程序，使攻击者能够发送欺骗性电子邮件

Google在Gmail和G Suite上发布了该错误的修复程序，使攻击者可以像其他Google用户或企业客户一样发送欺骗邮件。

安全研究员Allison Husain发现的错误是由于配置邮件路由时缺少验证引起的。他说：“通过使用G Suite的邮件路由规则来中继和授予欺诈性邮件的真实性，可以颠覆Gmail和所有G Suite客户严格的DMARC / SPF政策。”

 攻击者会滥用Google邮件验证规则中的收件人问题，并使用入站电子邮件网关重新发送来自Google后端的邮件，以获得下游邮件服务器的信任。

“如果攻击者打算假冒的受害者也使用Gmail或G Suite，这将对攻击者有利，因为这意味着Google后端发送的邮件将同时通过SPF和DMARC，因为通过使用G Suite的性质，他们的域将被配置为允许Google的后端从其域发送邮件。”

“此外，由于该邮件来自Google的后端，因此该邮件的垃圾邮件得分也很可能较低，因此应减少过滤的频率。”

侯赛因于2020年4月3日向Google报告了此问题。Google在4月16日接受了此问题（正如研究人员发布的披露时间表所说）将其分类为优先级2，严重性2错误，随后将其标记为重复。

研究人员最初通知公司，该漏洞将于8月17日被披露。谷歌当时表示，正在开发修复程序，预计将于9月17日推出。

但是，当公司在137天之内未能解决侯赛因报告的问题时，研究人员于8月19日（时间表披露后两天）披露了调查结果。在此披露之后的7个小时内，Google部署了“基于返回路径修改和反滥用机制的缓解措施”。