国内企业邮局托管服务的超级大的安全隐患

夕日

lijihede 发表于 2020-4-23 14:16
验证还是用的自己域名，可以伪造发信头 mail from:或者 reply-to

这个会被拒绝的，我试过qq邮箱，程序记录日志里显示收到了如下返回

501 Mail from address must be same as authorization user. (in reply to MAIL FROM command)

它会检查你邮件的mail from邮箱跟smtp验证用的邮箱是不是同一个，不相同的话直接拒绝不给发的

lijihede

夕日 发表于 2020-4-23 15:14
这个会被拒绝的，我试过qq邮箱，程序记录日志里显示收到了如下返回

它会检查你邮件的mail from邮箱跟smt ...

说到腾讯，我还给你们爆一点，腾讯为了省事，所有发信服务器都是用的同一个helo 头 smtpbg.qq.com,而且这个域名没有做反向解析，造成一部分开了helo检测的邮件服务器拒收邮件，正确的做法是每台发信服务器使用不同的helo主机头，并且一对一做反向解析。这个国外专业的邮件中继服务商做得比较好。