关键信息 漏洞概述 CVE ID: CVE-2025-61084 发现者: Morteza Maleki (morteza.maleki.se@gmail.com) 日期: 2023-09-04 受影响产品: MDaemon Mail Server — 23.5.2 厂商: Alt-N Technologies (alt-n.com, mdaemon.com) 漏洞类型: Email sender spoofing / SPF, DKIM, and DMARC bypass 攻击类型: Remote 影响: Email Sender Spoofing CVSS v3.1 分数: 7.1 (High) — [AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N] 概要 MDaemon Mail Server 23.5.2 使用电子邮件中包含在尖括号 内的地址来验证 SPF、DKIM 和 DMARC。攻击者可以通过在 头中使用多个不可见的 Unicode 空格字符来伪造发件人,从而绕过验证。 受影响组件 SMTP email sender validation header parsing under header processing 攻击向量/利用 利用此漏洞需要通过 SMTP 发送一封带有伪造 头的电子邮件,该头包含多个不可见的 Unicode 空格字符 。无需用户交互即可接收邮件。 证明概念 (PoC) 参考资料 厂商: Alt-N Technologies, MDaemon Mail Server 发现者: Morteza Maleki (morteza.maleki.se@gmail.com) CVE 记录: CVE-2025-61084 额外信息 受影响的产品代码库: MDaemon Mail Server — 所有版本低于 23.5.2 受影响的组件: SMTP 发件人验证 / 头解析逻辑 CVE 影响: Email 发件人欺骗,电子邮件客户端中的视觉欺骗