mail-nation

Управляем почтой: от домена до конверсий

Новость

Уязвимость в Hide My Email: деанонимизация почтовых адресов

Hide My Email от Apple раскрывает реальные адреса пользователей через уязвимость, о которой компания уведомлена более года.

Уязвимость в Hide My Email: деанонимизация почтовых адресов

Уязвимость

Hide My Email генерирует алиасы в домене privaterelay.appleid.com и пересылает входящую корреспонденцию на фактический адрес пользователя. Мёрфи обнаружил способ сопоставить алиас с исходным почтовым ящиком. Детали метода намеренно не раскрываются: по словам исследователя, публикация превратит PoC в готовую инструкцию для скраперов и операторов фишинговых платформ.

Баг был направлен в Apple более года назад. На момент публикации патча в открытом доступе нет. Компания публично не комментирует причины задержки и не публикует сроков исправления. Для функции, позиционируемой как инструмент приватности, год простоя при работающей уязвимости — серьёзный сигнал.

Последствия для почтовой инфраструктуры

Алиас деанонимизируется — теряется смысл всей функции. People-search сервисы по одному почтовому адресу восстанавливают имя, телефон, работодателя, профиль в соцсетях. Этого набора достаточно для подготовки таргетированного фишинга, credential stuffing и BEC-атаки против конкретного сотрудника.

Для корпоративных пользователей риск критичнее: реальный рабочий адрес за алиасом означает прямой канал к почтовому шлюзу организации. Подобные адреса попадают в готовые базы для последующей монетизации — от массового спама до адресного шантажа. Если Hide My Email применялся не только для фильтрации спама, но и как элемент OPSEC, текущая уязвимость обнуляет оба сценария.

Действия на стороне сервера

  • Проверьте MTA-логи на аномальный рост трафика с доменов privaterelay.appleid.com. Рост числа писем при неизменном количестве пользователей Hide My Email — индикатор массового сбора алиасов.
  • Включите в DMARC-политику отправку forensic-отчётов через ruf=. Это даст видимость попыток спуфинга через ваш домен.
  • Отклоняйте письма, где From: содержит @privaterelay.appleid.com, а Return-Path указывает на сторонний домен. Сигнатура релейного спуфинга, ловится правилом в postfix header_checks или sieve.
  • Убедитесь в валидности PTR-записей MX-хостов. Алиасы, ведущие к доменам без корректной обратной записи, чаще попадают в серые списки получателей.
  • Пересмотрите правила SPF. Если пользователи легитимно рассылают через Hide My Email, добавьте серверы Apple в authorized senders, иначе легитимная корреспонденция попадёт под DMARC fail.
  • До выхода патча не используйте Hide My Email как механизм анонимизации для критичных аккаунтов — банковских, корпоративных, прошедших KYC. Замените на выделенные одноразовые ящики на собственном домене с ротацией MX.

Мониторьте security-бюллетени Apple и базу CVE по идентификаторам, связанным с Private Email Relay. Появление CVE с пометкой о деанонимизации алиасов — сигнал к пересмотру политики использования функции в организации. До выпуска исправления Hide My Email не должен присутствовать в перечне рекомендуемых средств OPSEC.