Technisch gesehen ist es so: Der Header besteht aus zwei Teilen. Der Display-Teil steht zwischen zwei Hochkommas "" und die E-Mail-Adresse muss zwischen zwei spitzen Klammern stehen <>. So sieht der Header-From in einer E-Mail von mir aus:
"Cink, Stefan" <
stefan.cink@netatwork.de>
Die meisten MUAs wie Outlook etc. zeigen in der Übersicht nur den Display-Teil an, erst wenn man die E-Mail öffnet, wird bei einigen MUAs dann auch die E-Mail-Adresse angezeigt. Bei mobilen Geräten ist das jedoch so gut wie nie der Fall, weil einfach nicht genug Platz auf dem Display ist.
Als Angreifer könnte ich den Header-From so gestalten:
"Cink, Stefan"
Dann taucht im E-Mail-Client nirgends eine E-Mail-Adresse auf und der Durchschnittsuser stört sich auch nicht daran. Eine Alternative, die wir in letzter Zeit auch schon gesehen haben, wäre folgende:
"Cink, Stefan <
stefan.cink@netatwork.de>"
Damit kann man etliche CEO-Fraud-Schutzeinrichtungen "überlisten" und der User denkt auch, dass alles in Ordnung ist.
Was auch "lustig" ist und funktioniert ist folgende Variante:
"Cink, Stefan" <
stefan.cink@netatwork.de><
stefan@web.de>
Mit dem Header-From Sanitizer könnten wir hier Klarheit ins Spiel bringen. Aus meiner Sicht ist er eine Aktion und damit pro Regel konfigurierbar und damit wiederum auf bestimmte User-Gruppen anwendbar.