当我在SMTP服务器上进行一些testing时,我能够通过telnet将[email protected]的邮件成功发送到[email protected],而无需任何身份validation。 从风险的angular度来看,我认为这是一个严重的问题。 但有些人认为SMTP是这样devise的。 任何人有任何想法?
假设你正在testing的SMTP服务器是处理myserver.com的一个设置,这是完全正常的。
邮件未经身份validation从服务器传输到服务器。 这就是SMTP的工作原理。 只有当您希望服务器将邮件转发到其他地方时,您才需要进行身份validation。
任何人都可以连接到处理特定域的邮件服务器,并直接向该域的用户发送电子邮件。 如果没有这种方式,你就必须设置hotmail,Gmail,雅虎和几十亿私人电子邮件域的用户名和密码。 这根本行不通。
问题在于是否允许中继到不应该处理的域。 如果您连接到该服务器并发送电子邮件到[email protected],您应该需要在本地LAN上或首先进行身份validation。
这也不要紧从电子邮件地址是什么。 尽pipe一些反垃圾邮件措施会将来自外部的电子邮件标记为仅使用来自服务器的来自垃圾邮件地址。
你显然不知道SMTP是如何工作的。
发送电子邮件到您的服务器为您的域不需要authentication。
通过您的服务器发送电子邮件到另一个域确实需要(或应该要求)authentication。