Google公开披露了七个小时后，发布了一个影响Gmail和G Suite的电子邮件欺骗漏洞的补丁，但该技术巨头自4月以来就知道该漏洞。

研究人员艾莉森·侯赛因（Allison Husain）于周三披露了该漏洞，他在博客中描述了她的发现，并分享了概念验证（PoC）代码。该问题与配置邮件路由时缺少验证有关，可能已被攻击者利用，以绕过DMARC和SPF之类的保护机制，以另一个Gmail或G Suite用户身份发送电子邮件。

侯赛因通过使用她的个人G Suite网域向她不受控制的域的G Suite电子邮件帐户发送了一封电子邮件，该电子邮件显然来自@ google.com地址，从而证明了她的发现。

“我选择发送到另一个G Suite帐户，以证明Google强大的邮件过滤和反垃圾邮件技术不会阻止或检测到这种攻击，”研究人员解释说。“此外，我之所以假冒google.com是因为他们的DMARC政策设置为p = reject，因此任何违反SPF的行为（无论SPF政策如何）都应导致该消息只是带有偏见而被丢弃。”

攻击利用了与邮件路由规则相关的弱点，攻击者可能会利用该弱点来“中继欺诈邮件并赋予其真实性”。

该安全漏洞已于4月3日报告给Google，该公司于4月16日确认此漏洞，并指定了优先级和严重等级为“ 2”。Google后来将该漏洞标记为重复，但仍未推出补丁。8月1日，侯赛因通知公司，她将于8月17日将调查结果公开。

Google告诉她，它将在9月17日发布补丁，但实际上它是在得知其详细信息后137天，即在其详细信息公开七个小时后解决了该问题。