<div dir="ltr"><div>Before creating an issue in the Github project, I thought I'd start here to see what others thought.</div><div><br></div><div>I'm seeing a number of reported phishing and spam messages come to me where the bad actor is utilizing the HTML base tag.  I can see where there may be some legitimate use cases for the base tag in an email, however this seems to be a way for a bad actor to obfuscate their links, preventing automatic analysis from considering the full URL, and only seeing the base tag and "relative" URLs separately.<br></div><div><br></div><div>I don't know if outright blocking the base tag is the right approach, but I see that there have been other discussions in the past on other sites about the topic.  For example:<br></div><div><br></div><div><a href="https://www.avanan.com/resources/basestriker-vulnerability-office-365">https://www.avanan.com/resources/basestriker-vulnerability-office-365</a></div><div><br></div><div>So my thought is, perhaps an option could be added to block or rewrite the href value of the base tag, and have a whitelist of URLs that would be ignored.  Another thought would be to somehow combine the base href and subsequent relative hrefs together when being evaluated by MailScannner and SpamAssassin, but that seems a bit more cumbersome.<br></div><div><br></div><div>Thoughts?<br></div></div>