同一域 SMTP 未经身份验证的消息中继

同一域 SMTP 未经身份验证的消息中继

当我在 SMTP 服务器上进行一些测试时,我能够成功从[电子邮件保护][电子邮件保护]通过 telnet 无需任何身份验证。从风险角度来看,我认为这是一个严重的问题。但有些人认为 SMTP 就是这样设计的。有人有什么想法吗?

答案1

假设您正在测试的 SMTP 服务器是为处理 myserver.com 而设置的,那么这是完全正常的。

邮件在未经身份验证的情况下从服务器传输到服务器。这就是 SMTP 的工作方式。只有当您希望服务器将邮件转发到其他地方时,您才需要进行身份验证。

任何人都可以连接到处理特定域的邮件服务器并直接向该域的用户发送电子邮件。如果不这样做,您将不得不为 hotmail、gmail、yahoo 和数十亿个私人电子邮件域设置用户名和密码。这根本行不通。

令人担忧的是,它是否允许中继到它不应该处理的域。如果你连接到该服务器并发送电子邮件到[电子邮件保护],您应该需要先在其本地 LAN 上或进行身份验证。

发件人电子邮件地址是什么也无所谓。不过,有些反垃圾邮件措施会将使用本应来自服务器的发件人地址从外部发送的电子邮件标记为垃圾邮件。

相关内容