最近有国外的安全研究者发现了Google Apps for Work的一个严重安全漏洞，该漏洞允许黑客伪造任意邮件地址发送邮件，利用该漏洞黑客可以发送钓鱼邮件给公司员工来进行攻击。

Google Apps for Work允许你使用以自己域名为后缀的邮箱地址，比如你想把你的邮箱换成admin@yourdomain.com，你只需要注册Google Apps for Work账户就可以了。

如果你想获取一个属于自己域名的邮箱地址，首先你先要注册一个账户，就像注册一个gmail账户一样。然后系统会要求你输入自己的域名。当你注册成功之后，你可以在Google app的接口上访问你的域名管理面板，但是在你验证通过域名之前你不能使用任何的服务。

安全研究者发现攻击者可以注册一个账户然后输入一个任意的域名，比如bankofanycountry.com，这样会获得一个admin@bankofanycountry.com账户。当然，Google不会让你使用admin@bankofanycountry.com的邮件服务，除非你通过了域名验证。也就是说你不能使用这个邮件地址发送或者接收电子邮件。

但是研究人员发现在另一个页面中Google允许使用该邮件发送注册邀请给该邮件域名下的其他成员，比如info@bankofanycountry.com ，但是邮件地址是可以修改的，也就是说，攻击者可以伪装成该地址发送邮件给任何人。

(责任编辑：冬天的宇)