Meu palpite é que é o Fastmail. Eu testei o Thunderbird e o Outlook usando o cenário que você descreveu e a extensão do arquivo não foi alterada.
Parece que algumas vulnerabilidades foram expostas no Fastmail no início deste ano ( este e isto ), e é possível que .XIF e .UFS foram identificados como formatos de arquivo executáveis ou perigosos por outros motivos.