用网易邮箱二十年了,最近这些年垃圾邮件越来越少,还是很满意的。但是今天收到的一个垃圾邮件,让我觉得有些诧异。
刚才发现一封名为《系统退信》的邮件,通常说来这种名称的邮件我都会当作垃圾邮件看都不看一眼直接删,但是因为今天是登录的邮箱网页版,所以看到发件人是网易的图标、地址是 Postmaster@163.com 时,我还是点进去看了一下。然后就觉得真的很有趣了:1 、这真的是网易系统邮件; 2 、退信时间是今天 04:59 ,我在睡觉的时候。虽然觉得自己密码不太可能泄漏,但还是立刻在邮箱的自主查询处检查了邮箱的使用情况,结果当然是今天清晨并没有登录和发信的记录。
我下载了被“退回”的邮件,并直接查看源码。邮件内容很简单,但是我发现“Return-Path”字段是我的邮箱地址,这似乎不太寻常。查了一下这个字段的资料,发现确实是可以被用作垃圾邮件攻击的方法,事情这下就清楚了,网易在拒收这个垃圾邮件时,给伪造的 Return-Path 发送了退信通知,从而将邮件内容以这种非常规的方式送达了他想要的收件人。
我还发现,很多年前在网上就有人在讨论网易邮箱的这个问题了(比如 https://www.zhihu.com/question/19816712 ),所以为什么网易还有这样的空子可以被钻呢?
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.