При использовании правил перенаправляющих почту без проверки локальной части не контролируются специальные символы, что может привести к перенаправлению песьма во внешнее приложение.
vulners.com/securityvulns/securityvulns:doc:2297