標準メールクライアントをMicrosoft ExchangeまたはOffice 365に接続するためにDavMailを実行している組織は、今週アップデートを受け取りました。バージョン6.6.0は、正規表現の脆弱性に関連するコードスキャンアラートに対応し、OAuth リダイレクト処理を最近のMicrosoftの変更に合わせて調整し、IMAP、SMTP、CalDAV、およびCardDAVサブシステム全体に修正を提供しています。
正規表現の置き換えがセキュリティアラートを解決
セキュリティ上の変更は、replaceIcal4Principalメソッドの正規表現をシンプルなサブストリング呼び出しで置き換え、GitHubのコードスキャンシステムで検出された問題を解決します。正規表現ベースのパースは、攻撃者が制御した入力を処理する際にReDoSエクスポーをもたらす可能性があります。サブストリングアプローチはこのコードパスのリスクを排除します。
MicrosoftのOAuthリダイレクトが認証を破壊
Microsoftはネイティブクライアント認証に使用されるOIDCリダイレクトエンドポイントの動作を変更し、現在は/common/wrongplaceにリダイレクトされています。DavMail 6.6.0はデフォルトのリダイレクトURIをhttps://localhost/common/oauth2/nativeclientに更新して、認証フローを復元します。このリリースはまた、O365のデバイスコード認証器サポートを追加するコミュニティプルリクエストをマージし、OAuthスコープハンドリングをSettings.getOauthScope()に移動します。
IMAPおよびSMTP全体のプロトコル修正
2つのIMAP RFC 3501コンプライアンスバグが解決されました:1つはNOT条件を使用する複雑な検索クエリに影響を与え、もう1つはエンベロープヘッダー値が常にエンコードされることを保証して、特定のメールクライアントとの互換性を維持します。SMTP側では、DavMailは異なる受信者リストにアドレス指定された場合、同じメッセージIDを共有する複数のメッセージの送信を許可するようになり、smtpAllowDuplicateSendフラグロジックが改訂されました。
CalDAV、CardDAV、および構成の変更
CardDAVはVCARD4誕生日形式yyyyMMddのサポートを追加し、連絡先写真のエンコーディングをRFC 2397データURL形式に切り替えます。CalDAVのgetCalendarEmailメソッドは、接続されたユーザーのメールではなく、カレンダーメールボックスから共有カレンダーアドレスを解決するようになりました。
デフォルト設定ファイルの場所はXDGベースディレクトリ仕様に準拠しています。Linuxユーザーはアップグレード後に設定パスを確認する必要があります。
Linuxパッケージングとプラットフォームアップデート
DebianパッケージはJDK 21を有効にし、SWT依存関係をsuggestsからdependsに移動しました。SWTはWindowsパッケージでバージョン4.37に更新されました。新しいdavmail swtコマンドはプラットフォーム非依存パッケージの最新SWT jarを取得し、davmail.enableTray設定はトレイアイコンの動作を制御し、Linuxではデフォルトでトレイが無効になっています。-notrayと-trayコマンドラインフラグはその設定をオーバーライドします。
Graphバックエンド作業が続行
コミットの最大ボリュームはMicrosoft Graph APIバックエンドをカバーしており、DavMailはこれをExchange Web Servicesレイヤーの長期的な置き換えとして構築しています。このリリースでの作業はLDAP検索、連絡先同期、CalDAVイベントハンドリング、繰り返し管理、および/search/queryエンドポイント経由のピープル検索にまたがっています。バックエンドは本番環境対応ではなく、デプロイ前にさらなる開発が必要です。
翻訳元: https://www.helpnetsecurity.com/2026/04/14/davmail-6-6-0-released/
