关于邮箱服务器的漏洞问题的一些反馈网易的回复让我很不高兴
2013-06-02 12:31
501 查看
前几天的邮箱漏洞反馈给各大服务商后,目前收到了网易的答复,但我表示很不满意,因为我想他们连我的意思都理解错了,也许是我的表达能力有问题,也许是他们根本就没有认真去看。我写帖出网易的回复:
这个根本就与我反馈上去的漏洞不一致,因为那个漏洞根本就没有所谓的真正发件人,就算有也只有一个ip地址可进行判断,我给大家看看网易邮件的邮件信头:
在这个信头里面他怎么给我列出所谓的真正发件人地址?,我估计他们理解的就是普通的代发邮件,而代发邮件的邮件信头应该是这样的:
这样的代发邮件跟我说的那种完全是两个区别,
他们的区别就在于他们在服务器直接进行通信时:我那种“MAIL FROM:”时提供就是一个伪邮箱地址,而这种代发的是发送者的真正地址,然后DATA包里面提供的时假地址。
安装我之前说的解决方案是,验证一下发送着的ip地址是否与提供的域名地址一致,很多人表示说这个没法验证,这个我有点不明白,说验证不了,我表示很无赖,因为服务器之间通信的时候他们都发送了自己当前发送这个邮件的服务器域名,那么接收服务器只需验证对方提跟的这个域名是否与当前链接的ip地址是否一致就可以了,还有就是可能需要验证这个邮箱的后缀是否与域名相符,那么这个问题就可以解决掉(至少我认为解决掉了),也有的说如果用Foxmail等软件发送邮件该怎么验证了? 其实用什么工具发送都没关系吧,因为他最终是要登陆到服务商的发送服务器去,然后由服务商的邮箱发送器发送邮件出去的不是吗?那么也就不存在这个问题了,还有得说这个是很早以前就留下的漏洞,我也找了一下,确实是很久以前就有人发现了点,但为什么很多服务商都没用修复这个问题,我不知道是什么原因,如果说目前还不能修复我觉得是不可能的,因为我提跟的解决方案就已经能解决大部分问题了,而且据我测试,谷歌的邮箱服务器是有这个验证的,你们可以测试下。
下面我再来说下我的解决方案:
A 发送服务器 B接收服务器
A:链接B
B:220 Welcome to Happy you and me SMTP Server.
A:HELO m1.163.com // 这个时候 接收服务器就应该去验证这个“m1.163.com” 是否是A的地址,如果怕影响速度也可以创建另外一个线程去验证是否合法,但可惜的是他们没有验证
B:250 ok
A:MAIL FROM:<system@net.cn> // 这个是邮件的真正发送着,这里验证的就是这个邮箱的后缀“net.cn” 与这个“163.com” 是否是同一个域名,但可惜的是他们没有验证
B:250 ok
如果这两部都验证了,我想这个问题就基本上解决了,至于网友说的 国外往国内发邮件时可能要通过好几次周转,这个我就确实不明白了,还有的说这个是这个协议的问题,都已经普遍了不能改了,但我想说的是,这个没有需要改到通信协议的任何地方吧?只是多几个验证而已,不是吗?
还有我再说一下,那个那个代发邮件的是只有在DATA数据里面才会是假地址的,在MAIL FROM:后面会是真的地址的,只有我说的这种才是两个地方都是假地址。
| 尊敬的用户: | |
| 您好! |
|
在这个信头里面他怎么给我列出所谓的真正发件人地址?,我估计他们理解的就是普通的代发邮件,而代发邮件的邮件信头应该是这样的:
这样的代发邮件跟我说的那种完全是两个区别,
他们的区别就在于他们在服务器直接进行通信时:我那种“MAIL FROM:”时提供就是一个伪邮箱地址,而这种代发的是发送者的真正地址,然后DATA包里面提供的时假地址。
安装我之前说的解决方案是,验证一下发送着的ip地址是否与提供的域名地址一致,很多人表示说这个没法验证,这个我有点不明白,说验证不了,我表示很无赖,因为服务器之间通信的时候他们都发送了自己当前发送这个邮件的服务器域名,那么接收服务器只需验证对方提跟的这个域名是否与当前链接的ip地址是否一致就可以了,还有就是可能需要验证这个邮箱的后缀是否与域名相符,那么这个问题就可以解决掉(至少我认为解决掉了),也有的说如果用Foxmail等软件发送邮件该怎么验证了? 其实用什么工具发送都没关系吧,因为他最终是要登陆到服务商的发送服务器去,然后由服务商的邮箱发送器发送邮件出去的不是吗?那么也就不存在这个问题了,还有得说这个是很早以前就留下的漏洞,我也找了一下,确实是很久以前就有人发现了点,但为什么很多服务商都没用修复这个问题,我不知道是什么原因,如果说目前还不能修复我觉得是不可能的,因为我提跟的解决方案就已经能解决大部分问题了,而且据我测试,谷歌的邮箱服务器是有这个验证的,你们可以测试下。
下面我再来说下我的解决方案:
A 发送服务器 B接收服务器
A:链接B
B:220 Welcome to Happy you and me SMTP Server.
A:HELO m1.163.com // 这个时候 接收服务器就应该去验证这个“m1.163.com” 是否是A的地址,如果怕影响速度也可以创建另外一个线程去验证是否合法,但可惜的是他们没有验证
B:250 ok
A:MAIL FROM:<system@net.cn> // 这个是邮件的真正发送着,这里验证的就是这个邮箱的后缀“net.cn” 与这个“163.com” 是否是同一个域名,但可惜的是他们没有验证
B:250 ok
如果这两部都验证了,我想这个问题就基本上解决了,至于网友说的 国外往国内发邮件时可能要通过好几次周转,这个我就确实不明白了,还有的说这个是这个协议的问题,都已经普遍了不能改了,但我想说的是,这个没有需要改到通信协议的任何地方吧?只是多几个验证而已,不是吗?
还有我再说一下,那个那个代发邮件的是只有在DATA数据里面才会是假地址的,在MAIL FROM:后面会是真的地址的,只有我说的这种才是两个地方都是假地址。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 关于Flask mega-tutorial遇到的一些问题-三(Flask_mail服务器及邮箱设置)
- 关于win2003 邮箱服务器不能向外网发送邮件的问题
- EasyNVR RTSP转RTMP-HLS流媒体服务器前端构建之_关于接口调用常见的一些问题(401 Unauthorized)
- 关于james邮箱服务器配置、维护以及常见问题定位
- 关于tomcat作为服务器 URL访问的一些问题
- 关于java使用网易服务器smtp.163.com发送邮件,连接失败的问题
- 关于Tomcat服务器的一些注意问题
- 关于服务器的一些问题(二)
- EasyNVR RTSP转RTMP-HLS流媒体服务器前端构建之:关于接口调用常见的一些问题(401 Unauthorized)
- 关于tomcat服务器优化,常遇到的一些简单问题的解决方法 (z)
- 关于登录office出现“很抱歉,遇到一些临时服务器问题”
- 关于无法正常浏览web服务器可能碰到的一些问题
- 关于tomcat作为服务器 URL访问的一些问题
- 关于JS一些验证邮箱的一些问题
- EasyNVR RTSP转RTMP-HLS流媒体服务器前端构建之_关于接口调用常见的一些问题(401 Unauthorized)
- 自己收集的一些关于阿里云ECS服务器的问题
- 关于tomcat作为服务器 URL访问的一些问题
- 记录一些关于服务器的问题
- 关于动态数组、静态数组转换为字符串的一些问题 - 给 "厨师" 的回复
- 关于xmpp连接openfire服务器的一些常见问题