你有没有试过在 Gmail 邮箱后面加 +1、+2 去无限白嫖诸如 Cursor、Netflix、Spotify 等各种软件或平台的新手试用期?看起来像是不同的邮箱地址,但验证码却能被同一个邮箱接收,于是问题来了 —— 在网络上,邮箱常常就代表了作为一个人的身份,那这些邮箱到底是一个人?还是多个人?
一个简单的“+1”,背后却隐藏着一个击穿全网身份认证体系的巨大漏洞。
本文系复旦大学系统软件与安全实验室网络犯罪研究小组研究成果,相关内容发表于网络安全领域国际顶级会议NDSS 2026,论文标题《One Email, Many Faces: A Deep Dive into Identity Confusion in Email Aliases》,获NDSS 2026杰出论文奖。NDSS 是网络安全领域具有重要影响力的国际顶级学术会议,自1993年创办以来已成功举办33届,为中国计算机学会(CCF)推荐的A类会议。本届大会竞争尤为激烈,共收到1481篇有效投稿,最终录用 265 篇高水平论文,整体录用率仅为 17.89%。更多细节请详见论文正文。
神奇的邮箱别名
邮箱别名,一种神奇的机制,可以让一个邮箱“凭空变出”几十上百个邮箱地址。
他们看起来像是不同的人:
但在邮箱服务商眼里,他们是同一个人,因为这是为了给大家提供方便做出的机制,你就可以在steam和LinkedIn上使用不同的邮箱,然后根据收件箱的不同对邮件进行管理。
正确的使用方式👇
当然了,如果每个邮箱服务商都用同样的规则,都是加号和点,那确实是个好东西。(那就没有我们这篇文章了。)对,我们想说的就是,别名规则根本不是这样的。
通过一些预研尝试加头脑风暴,我们提出了(其实是发现了) 6 种别名邮箱构造方式,再带上了所有SMTP和IMF协议允许的字符(有32个标点符号其实能用),我们测试了 28 个主流邮箱服务商的别名规则。
而后我们惊奇地发现,不同邮箱服务商所支持的别名规则都不太一样。
- 常见的:Gmail、Outlook 等支持 + 号后缀别名
- 抽象的:Eclipso 支持 !# 等多个符号的前缀别名
- 狡兔三窟的:Yandex、Runbox 等支持邮箱域名的替换
- 人人不一样的:中间也不一定是点,还有连字符下划线斜杠百分号
- 不听话的:SMTP说用户名必须大小写敏感,但大家都不敏感,那也算别名
既然大家的别名规则如此具有个性,想必会在用户手册或使用文档中详细说明吧。
遗憾的是,只有 Gmail 在使用文档中详细讲解了所支持的别名规则,其他家的规则只能靠大家来猜了。不仅不一致,还缺乏透明性。
这也是为什么大家都只知道加号是别名、误认为别名问题很好解决的原因,因为只有一家说了。
论文演讲完,来自IETF的专家感叹,他们几十年前定的标准确实没考虑到这么多,终于被发现了问题。
当邮箱别名机制遇上互联网平台
在互联网世界里,邮箱就像是一张“身份证”,注册账号、找回密码等都需要它。互联网平台的逻辑通常是“一个邮箱=一个用户”。
由此,邮箱服务商与互联网平台对于别名邮箱的认知出现了不一致。
- 发证机关(邮箱服务器,如 Gmail 等):认为 alice@gmail.com 和 alice+1@gmail.com 是同一个人,作为别名机制,邮件都会发送到同一个收件箱。
- 查证机关(互联网平台,如 GitHub 等):完全不知道别名机制(或者知道一点但不多),把 alice+1@gmail.com 当成一个全新的独立用户。
我们实测了全球 18 个顶级平台,下表展示了我们的测试结果,有字母就说明我们用别名注册成功了。
那很遗憾了,没有一个平台的注册校验能够完全抵御所有邮箱提供商的别名变体。npm和PyPI甚至不知道SMTP规定了邮箱域名部分是大小写不敏感的,把alice@example.com和alice@EXAMPLE.com也会当作两个人处理。
有平台努力了,比如Cloudflare确实把所有加号都当别名给禁止了,那咋了,那我还有前缀中缀换域名。
Microsoft的方案是只允许邮箱里出现连字符、下划线和点,那确实也有用,但真有连字符和下划线别名呀。
那么是否有人利用邮箱别名机制来干坏事呢?
有的兄弟,有的!我们收集了 GitHub 和 npm 平台上的用户邮箱,并发现有不少人使用别名邮箱进行账号注册,并且存在以一个邮箱注册多个账号的情况。
npm 上有攻击者利用单单一个 Gmail 邮箱,通过改大小写和加号的组合,硬生生注册了 139 个虚假账号,在短短十天内狂刷了 3,904 个恶意包做黑帽 SEO 推广。
聪明反被聪明误:别名误认攻击
当大家都习惯了 + 号是别名时,攻击者就可以在一个不支持别名机制的域名(如b.com)下注册 alice+1@b.com 来伪装成用户的熟人并发送钓鱼邮件,部分用户可能会因为“看起来像别名邮箱”而放松警惕。
为了研究这种攻击的可行性,我们精心设计了一份问卷并搭建平台进行用户调研。如下图所示,我们要求受试者检查邮件的发送者(即 From 字段),并判断邮件是否来源于左侧的联系人。
原本我们只是想证明别名这个东西确实大家不太清楚不常见,但除此之外,我们找到了一个意料之外的发现:越是认为自己懂,越容易因为过度自信而上当受骗。
我们算了一下说自己懂别名和说自己不懂别名的受试者的被骗情况,发现“懂哥”们的受骗率将提升到31.65%,因为他们会乱猜规则(比如固执地认为有加号的都是别名)。不懂的哥们,只要全选no就好了。管你阿猫阿狗,长得不一样统统算不认识,安全的很。
谁最容易被自信骗,看图吧。特别是平时安全意识最强的CS学生,不懂的时候受骗率能压到0%(计算机安全课是上了真有用),懂了之后飙升至 35.29%。
OriginMail
如果你不了解也不想去了解复杂的邮箱别名机制,但又想判断两个类似邮箱之间的关系,那么可以尝试我们的开源小工具 OriginMail。我们总结了测试的 28 家邮箱提供商的别名规则,制作并开源了 OriginMail 检测工具,可以帮助大家把复杂的别名邮箱一键“打回原形”。项目地址:https://github.com/lab-rynth/OriginMail
OriginMail能够检测的邮箱域名有下面展示的这么多!
结语
总而言之,我们系统梳理了不同邮箱服务商的别名机制,并分析了主流互联网平台、用户对于别名邮箱的处理方式,揭示了关于别名机制认知不一致所导致的安全问题。
当平台默认“一个邮箱 = 一个用户”而忽略了邮箱复杂的别名规则时,攻击者便可以轻易构造多个“合法身份”,滥用平台资源甚至发起攻击。
当用户自认为了解邮箱别名机制时,他们可能对“看起来像别名“的地址放松警惕,误判邮箱的真实性。这种认知上的自信与规则现实之间的落差,本身就成为新的攻击面。
我们呼吁邮箱服务商更加透明地公开并标准化别名规则,减少实现差异与规则模糊带来的滥用空间;也呼吁互联网平台建立完善的别名邮箱识别与验证机制,在注册、风控等流程中真正考虑别名邮箱机制等复杂性。
研究团队
邬梦莹,复旦大学21级直博生,师从杨珉教授、张谧教授、洪赓助理研究员。主要研究方向为网络犯罪治理、互联网测量及智能体安全,在 ACM CCS、USENIX Security、NDSS 等国际顶级学术会议上发表7篇论文,其中一作5篇。相关成果在工业界及政府相关部门均有落地实战,取得良好效果。个人主页:https://funeoka-yumee.github.io/
陈佳涛,复旦大学24级硕士生,本科毕业于哈尔滨工业大学(深圳),主要研究方向为移动终端诈骗的检测与防护。
洪赓老师研究团队长期聚焦网络犯罪治理与人工智能安全治理等前沿方向,围绕国家网络安全与数字治理重大需求开展系统性研究。目前,已在 IEEE S&P、USENIX Security等国际顶级学术会议发表高水平论文二十余篇。获上海市技术发明一等奖、上海市决策咨询研究成果奖一等奖等;指导学生团队获得“挑战杯”全国大学生课外学术科技作品竞赛全国特等奖、全国大学生信息安全竞赛一等奖等荣誉。个人主页:https://security.fudan.edu.cn/members/faculty/hg/