Уязвимость в Hide My Email: деанонимизация почтовых адресов
Hide My Email от Apple раскрывает реальные адреса пользователей через уязвимость, о которой компания уведомлена более года.

Уязвимость
Hide My Email генерирует алиасы в домене privaterelay.appleid.com и пересылает входящую корреспонденцию на фактический адрес пользователя. Мёрфи обнаружил способ сопоставить алиас с исходным почтовым ящиком. Детали метода намеренно не раскрываются: по словам исследователя, публикация превратит PoC в готовую инструкцию для скраперов и операторов фишинговых платформ.
Баг был направлен в Apple более года назад. На момент публикации патча в открытом доступе нет. Компания публично не комментирует причины задержки и не публикует сроков исправления. Для функции, позиционируемой как инструмент приватности, год простоя при работающей уязвимости — серьёзный сигнал.
Последствия для почтовой инфраструктуры
Алиас деанонимизируется — теряется смысл всей функции. People-search сервисы по одному почтовому адресу восстанавливают имя, телефон, работодателя, профиль в соцсетях. Этого набора достаточно для подготовки таргетированного фишинга, credential stuffing и BEC-атаки против конкретного сотрудника.
Для корпоративных пользователей риск критичнее: реальный рабочий адрес за алиасом означает прямой канал к почтовому шлюзу организации. Подобные адреса попадают в готовые базы для последующей монетизации — от массового спама до адресного шантажа. Если Hide My Email применялся не только для фильтрации спама, но и как элемент OPSEC, текущая уязвимость обнуляет оба сценария.
Действия на стороне сервера
- Проверьте MTA-логи на аномальный рост трафика с доменов privaterelay.appleid.com. Рост числа писем при неизменном количестве пользователей Hide My Email — индикатор массового сбора алиасов.
- Включите в DMARC-политику отправку forensic-отчётов через ruf=. Это даст видимость попыток спуфинга через ваш домен.
- Отклоняйте письма, где From: содержит @privaterelay.appleid.com, а Return-Path указывает на сторонний домен. Сигнатура релейного спуфинга, ловится правилом в postfix header_checks или sieve.
- Убедитесь в валидности PTR-записей MX-хостов. Алиасы, ведущие к доменам без корректной обратной записи, чаще попадают в серые списки получателей.
- Пересмотрите правила SPF. Если пользователи легитимно рассылают через Hide My Email, добавьте серверы Apple в authorized senders, иначе легитимная корреспонденция попадёт под DMARC fail.
- До выхода патча не используйте Hide My Email как механизм анонимизации для критичных аккаунтов — банковских, корпоративных, прошедших KYC. Замените на выделенные одноразовые ящики на собственном домене с ротацией MX.
Мониторьте security-бюллетени Apple и базу CVE по идентификаторам, связанным с Private Email Relay. Появление CVE с пометкой о деанонимизации алиасов — сигнал к пересмотру политики использования функции в организации. До выпуска исправления Hide My Email не должен присутствовать в перечне рекомендуемых средств OPSEC.