E-Mails zu Sicherheitslücken von freischaffenden Sicherheitsforschern sind inzwischen kaum noch von Spam zu unterscheiden. Wie geht man damit um? Ignorieren geht schlecht, weil ggf. ein legitimer Hinweis dahinter stecken könnte. Aber so richtig viel verspreche ich mir von einer Kontaktaufnahme auch nicht, wenn der Typ schon zu doof ist unsere security.txt zu lesen in der seine Fragen zur Kontaktaufnahme und Meldung beantwortet werden.
...dass es immer @gmail.com Adressen sein müssen.