----前面的费话---------------------------------------------------------------------------------------------------------
首发是凌晨在威锋论坛。 http://bbs.feng.com/read-htm-tid-10549982.html
----背景---------------------------------------------------------------------------------------------------------
大概从 14 年开始,因为利益关系,有人开始对 APPID 下手,不少被远程锁机,遭到敲诈的,还有手机丢失,被钓鱼邮的网友不在少数,至于是否上钩以及经济损失多少,并没有做过统计... 这里我要说的是钓鱼邮件,当时大多数是以类似于 apple.me 、 appie.com 这种域名作为发件人来发送钓鱼邮件,当时觉得这种方法算是符合逻辑...
----开始---------------------------------------------------------------------------------------------------------
楼主只是一个新入职不到 20 天,正在倒腾某实验,因部署文档内容并未写得详尽,致使测试邮件发生了意想不到的效果,理论上来讲当时环境确实可以,但是个人认为互联网发张这么些年头不应该发生这样的事情才对,但是最后测试确成功了,当时工作在身并未再深入研究... 周六,浪一天,晚上吃饭时和室友不知道怎么聊到此,突然萌生了一个想法...既然这样,为什么那些骗 ID 的邮件还大费周章的搞一些类似与 apple.com 的域名呢?按理周五的经验,应该是可以实现以 appleid@id.apple.com (苹果官方 ID 相关的服务邮件账号)发送的。于是开始了实验开始...
(这里具体部署过程,省略一万字...)
测试结果(仅使用了比较常用的几个邮件服务商作为测试,并且均为免费版。发现不会插入图片了 - .-)
//http://7xpnej.com1.z0.glb.clouddn.com/DKF%7DC8(G2Q%60RY4A4M7H(9Q2.png
http://7xpnej.com1.z0.glb.clouddn.com/icloud.png
http://7xpnej.com1.z0.glb.clouddn.com/%E8%85%BE%E8%AE%AF%E4%BC%81%E4%B8%9A.png
发件邮箱 状态(以下状态为“-”的,是发邮件至少 10 分钟后依然未收到的)
以下为发往网易 126 和 163 邮箱
root@qq.com -
root@id.apple.com 收件箱
Apple@id.apple.com -
123654789@qq.com -
appleid@id.apple.com -
10000@qq.com 收件箱
以下为发往腾讯企业邮箱(免费版)
root@qq.com 收件箱
root@id.apple.com 收件箱
Apple@id.apple.com 收件箱
123654789@qq.com 收件箱
appleid@id.apple.com 垃圾箱
10000@qq.com -
以下为发往 QQ 邮箱(全部未收到的问题除了凌晨和刚刚用网易邮箱发了一封测试邮件外,其他一封邮件也没收到 [其中包括正常途径通过 apple.com 申请找回密码,暂时不排除 apple 验证信息并未发送或者发往预留安全邮箱的可能性,此 ID 长时间未登录已经忘记密码了具体无法核实,还有自己邮件服务器发送邮件] ...)
root@qq.com -
root@id.apple.com -
Apple@id.apple.com -
123654789@qq.com -
appleid@id.apple.com -
10000@qq.com -
以下为发往 gmail 邮箱(此邮箱 appleid 有二级验证,没有做 apple 官网做找回密码测试)
root@qq.com 垃圾箱
root@id.apple.com -
Apple@id.apple.com -
123654789@qq.com 垃圾箱
appleid@id.apple.com -
10000@qq.com 垃圾箱
以下为发往 icloud 邮箱(之后想起来测试此邮箱,这这结果我也就放心了)
appleid@id.apple.com 收件箱
10000@qq.com 收件箱
----后话---------------------------------------------------------------------------------------------------------
暂时还不太明白通信原理什么的
回复邮件未做测试,想想也是不可能这样实现的,要是这样简单的就实现了,那就乱了
但是可以肯定邮件传输过程,大概是这样...
user -->> smtp --------->> pop3/imap ----->> user
测试的几个邮件服务商 大多数都不对邮件来源的合法性做判断,部分邮箱对 appleid@id.apple.com 及 10000@qq.com 这类特殊邮箱做了某些防范机制,个别邮箱,连假冒自家邮箱发邮件都能顺利进入收件箱(这里只对两家邮件服务商的域名做了测试,不排除其他邮件也会出现类似情况)。
----问---------------------------------------------------------------------------------------------------------
这样类似的情况能否做防范,或者服务商均已做了防范只是因为测试邮件数量原因,只是并未达到触发条件呢?
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.