web-dev-qa-db-ja.com

メールの件名にある奇妙な文字列

スパムメールの1つの件名がソースでは次のようになっていることに気づきました。

Subject: Offe=?UTF-8?Q?=EF=BB=BF?=r fr=?UTF-8?Q?=EF=BB=BF?=om C=?UTF-8?Q?=EF=BB=BF?=redi=?UTF-8?Q?=EF=BB=BF?=t On=?UTF-8?Q?=EF=BB=BF?=e Ba=?UTF-8?Q?=EF=BB=BF?=nk=?UTF-8?Q?=EF=BB=BF?==?UTF-8?Q?=EF=BB=BF?=

しかし、ウェブではそれは正常に見えます

Offer from Credit One Bank

私が認識する唯一のものは0xEF, 0xBB, 0xBF、これはUTF-8 BOMです。

この文字シーケンスを認識するインタープリターは=?UTF-8?Q?=EF=BB=BF?=

メールの件名に脆弱性はありますか?彼らは何をしようとしていますか?

2
Chris

これは quoted-printable フォーマットと呼ばれ、 RFC 5322 (.eml、最初はRFC 822)が明示的に [〜#〜]のみを許可するため、電子メールで必要ですascii [〜#〜] 文字、つまり RFC 2047 は、非ASCIIテキストをエンコードするための「ASCII鎧」(-- borrow PGPからの用語へ)形式を提示しますquoted-printableまたは base64 として。

これは=?CHARSET?ENCODING?CONTENT?=のような形式です

Quoted-printableは、コンテンツがほとんどASCIIの場合に特に便利です。たとえば、Chris Españaは、base64の長くて判読しにくい=?UTF-8?Q?Chris Espa=F1a?=ではなく、=?UTF-8?B?Q2hyaXMgRXNwYcOxYQ==?=としてエンコードできます。

コメントやその他の回答で説明されているように、これは難読化手法です。この場合、「ゼロ幅ノーブレークスペース」文字(U + FEFF、別名ZWNBSPまたはBOM)を使用しており、UTF-8では0xEF0xBB0xBFとして表されます。 Word結合子 、U + 2060を支持して非推奨になりました。そのウィキペディアのページによると:

文字U + FEFFは、ファイルの先頭で バイトオーダーマーク (BOM)として使用するためのものです。ただし、他の場所で発生した場合は、Unicodeに従って「ゼロ幅の改行なしスペース」として処理する必要があります。

2
Adam Katz

ああ、文字列はASCII(rfc1342)のみを含むことができるため、インターネットヘッダーのUTF-8文字をエンコードするために合法的に使用されます。ただし、ここではGhedipunkのように、スパムフィルターから隠すために使用されます。コメントで言った。

2
Chris