<html>Hi there,<br />
Okay I Have found another vulnerability in your site kindly tell me where should I report? Should I report it in this thread or create a new one?<br />
Waiting for your response<br />
Always Best Regards<br />
White HaT
<div class="noTransl">----- Reply to message -----<br />
<b>Subject: </b>Re: Vulnerability Report (DMARC RECORD)<br />
<b>Date: </b>Fri, 19 Mar 2021, 11:43<br />
<b>From: </b> Ben Cooksley <a href="mailto:bcooksley@kde.org"><bcooksley@kde.org></a><br />
<b>To: </b> kde-www <a href="mailto:kde-www@kde.org"><kde-www@kde.org></a></div>

<blockquote>
<div>
<div>On Fri, Mar 19, 2021 at 5:31 AM <<a href="arslan.whitehat@inbox.eu" rel="noopener noreferrer" target="_blank">arslan.whitehat@inbox.eu</a>> wrote:</div>

<div class="gmail_quote_84df94008a1a8823e076e8222eb4e032 ">
<blockquote class="gmail_quote_84df94008a1a8823e076e8222eb4e032 " style="margin: 0px 0px 0px 0.8ex; border-left: 1px solid rgb(204,204,204); padding-left: 1ex; ">Hello Team,</blockquote>

<div> </div>

<div>Hi Arslan,</div>

<div> </div>

<blockquote class="gmail_quote_84df94008a1a8823e076e8222eb4e032 " style="margin: 0px 0px 0px 0.8ex; border-left: 1px solid rgb(204,204,204); padding-left: 1ex; "><br />
I am a security researcher and I founded this vulnerability.<br />
I just sent a forged email to my email address that appears to originate from  <a href="kde-www@kde.org" rel="noopener noreferrer" target="_blank">kde-www@kde.org</a>. I was able to do this because of the following DMARC record:<br />
<br />
DMARC record lookup and validation for: <a href="http://kde.org" rel="noopener noreferrer" target="_blank">kde.org</a><br />
" No DMARC Record found "<br />
<br />
How To Reproduce(POC-ATTACHED IMAGE):-<br />
1.Go To- <a href="http://mxtoolbox.com/DMARC.aspx" rel="noopener noreferrer" target="_blank">mxtoolbox.com/DMARC.aspx</a><br />
2.Enter the Website.CLICK GO.<br />
3.You Will See the fault(DMARC Quarantine/Reject policy not enabled)<br />
<br />
Fix:<br />
1)Publish DMARC Record.<br />
2)Enable DMARC Quarantine/Reject policy<br />
3)Your DMARC record should look like<br />
"v=DMARC1; p=reject; sp=none; pct=100; ri=86400; rua=mailto:<a href="info@domain.com" rel="noopener noreferrer" target="_blank">info@domain.com</a>"<br />
<br />
For more information you can use this blog<br />
(<a href="https://sendgrid.com/blog/what-is-dmarc/" rel="noopener noreferrer" target="_blank">https://sendgrid.com/blog/what-is-dmarc/</a>).<br />
<br />
<?php<br />
$to = "<a href="VICTIM@example.com" rel="noopener noreferrer" target="_blank">VICTIM@example.com</a>";<br />
$subject = "Password Change";<br />
$txt = "Change your password by visiting here - [VIRUS LINK HERE]l";<br />
$headers = "<a href="From%3Akde-www@kde.org" rel="noopener noreferrer" target="_blank">From:kde-www@kde.org</a>";<br />
mail($to,$subject,$txt,$headers);<br />
<br />
?><br />
<br />
Reference : <a href="https://www.knownhost.com/wiki/email/troubleshooting/setting-up_spf-dkim-dmarc_records" rel="noopener noreferrer" target="_blank">https://www.knownhost.com/wiki/email/troubleshooting/setting-up_spf-dkim-dmarc_records</a><br />
<br />
<br />
Let me know if you need me to send another forged email, or if have any other questions.</blockquote>

<div> </div>

<div>Thanks for getting in touch with us regarding this.</div>

<div> </div>

<div>In this instance, we are well aware of the lack of a DMARC record.</div>

<div>At this time it is an intentional omission on our part, due to various processes and workflows we have which are incompatible with DMARC.</div>

<div> </div>

<blockquote class="gmail_quote_84df94008a1a8823e076e8222eb4e032 " style="margin: 0px 0px 0px 0.8ex; border-left: 1px solid rgb(204,204,204); padding-left: 1ex; "><br />
<br />
Hoping for the bounty for my ethical Disclosure.<br />
Best Regards<br />
Security Researcher</blockquote>

<div> </div>

<div>Regards,</div>

<div>Ben Cooksley</div>

<div>KDE Sysadmin </div>
</div>
</div>
</blockquote>
</html>