国内企业邮局托管服务的超级大的安全隐患

lijihede · 发表于 2020-4-23 12:40:43

众所周知，国内几乎大的企业邮局托管服务商腾讯，阿里，都不支持DKIM.所有邮件验证都只是简单的SPF检查，但是，但是，但是
因为是共享托管，这些企业邮局都是共享的一条spf记录，比如阿里云邮局就是：v=spf1 include:spf.mxhichina.com -all,懂行的人看到
这里应该明了，所有托管在阿里云或者腾讯上的域名伪造发件人就变得轻而易举，比如中国银行和你公司都是托管在阿里云，你就可以伪造成中国银行的域名发信，最后spf检验都会通过，因为spf验证就一条一样的，只要从同一个出口发出的邮件都会验证有效。如果有DKIM认证，每个域名就会有不同的私钥，只要你拿不到对方域名的私钥，就没办法伪造成对方的域名发信，安全系统大大提高。

tir · 发表于 2020-4-23 12:50:42

那就请你进去坐一下了

lukemin · 发表于 2020-4-23 13:06:05

MoeWang 发表于 2020-4-23 13:01
用它很大一部分原因就是免费，那国外有免费的安全的么

安全啊，mail.ru，yandex，office365，zoho，gsuit等都支持设置dkim的。

jiejuezhisi · 发表于 2020-4-23 13:49:41

国内用电子邮件的少，用也是找工作，发公告，通知一些，所以很少有人注意安全方面，能用就行，而且大公司出了问题可以报警解决的，至于个人用户他才不管你呢

jackwolf · 发表于 2020-4-23 12:42:57

有是有道理，但是没人敢这样干啊

bch · 发表于 2020-4-23 12:43:34

这个不懂，懂的科普一下

maintell · 发表于 2020-4-23 12:46:48

一样还是能查出来，然后不会MJJ？

lijihede · 发表于 2020-4-23 12:57:22

jackwolf 发表于 2020-4-23 12:42
有是有道理，但是没人敢这样干啊

上面的中国银行只是打个比方，中国银行绝不会把邮件托管在这样的共享平台上的，如果是两家同行的外贸公司呢？会不会伪造账单，客户收款，什么的？

老猹 · 发表于 2020-4-23 12:57:45

MoeWang · 发表于 2020-4-23 13:01:29

用它很大一部分原因就是免费，那国外有免费的安全的么

allnetstore · 发表于 2020-4-23 13:14:52

国内几亿网民90%都不用甚至不知道啥叫电子邮件吧

		自动登录	找回密码
密码			注册