outlook 邮箱居然允许伪装成另外一个邮箱

查看 93|回复 5
作者:cnt2ex   
由于最近在折腾邮件服务器,正好想测试一下自己以前注册的其他几个邮箱。
发现 outlook 邮箱在发信时,居然可以把发信人设置为和 outlook 帐号关联的邮箱帐号。
比如在 outlook 帐号下,[email protected] 和 [email protected] 是关联的,当发送到 [email protected] 时,可以选择 [email protected] 作为发信人。
并且 gmail 收到的邮件也显示是 [email protected] ,但被送进了 spam 。
具体看了一下 headers 是
From: [email protected]
Sender: [email protected]
虽然说在注册 outlook 时会验证 [email protected] ,但是这种随意伪装其他邮件地址的行为真的好吗?

outlook, 邮箱, 发信人, 帐号

helleon   
这有啥,早几年 gmail 也可以
geelaw   
自己写个发邮件的程序一样可以,Gmail 现在也是可以的,而且我记得还有一种模式是记住其他账户的密码,从而直接通过正确的服务器发送。这算不上伪装吧,毕竟 Sender 写明了是谁。
电子邮件头的很多信息和传输来源目的是分开的,比如很多邮件服务器都会在送达 bcc 收件人的时候也删去 bcc 行,另外邮件列表也大量运用 Sender/From 不同、To/Cc/Bcc 都没有实际收到邮件的邮箱地址的情况。
ZE3kr   
域名所有者可以设置 DMARC 记录,这个记录可以禁止第三方通过自己的域名发邮件。
_dmarc.gmail.com 的记录是 p=none ,说明 gmail 允许第三方以 @gmail.com 作为发件人发信,且不会进 spam 。
_dmarc.protonmail.com 是 p=quarantine ,所以被送进了 spam 文件夹。
如果设置为 p=reject ,这种修改发件人的邮件就发不出去了(例如 _dmarc.cloudflare.com )。所有不设置为 p=reject 的域名都是某种程度上允许“伪装”发件人的,比如常用的邮件转发也是修改了 From 。
ZE3kr   
https://support.google.com/mail/answer/22370?hl=en Gmail 也有一样的功能。这不算伪装,From 就是可以改的,这是邮件协议的一部分
weazord   
protonmail 比较特殊,本身比较强调隐私,API 很多限制(我隐约记得 SMTP 直接给禁用了需要用官方的一个叫 bridge 的东西转发)。 其他很多邮箱服务比如 gmail 都是可以授权给第三方发邮件的,根本谈不上伪装吧,相当于 outlook 既是电子邮箱服务同时也是第三方邮箱的客户端
您需要登录后才可以回帖 登录 | 立即注册

返回顶部