outlook 邮箱居然允许伪装成另外一个邮箱

2023-11-30 06:08:56 +08:00
 cnt2ex

由于最近在折腾邮件服务器,正好想测试一下自己以前注册的其他几个邮箱。

发现 outlook 邮箱在发信时,居然可以把发信人设置为和 outlook 帐号关联的邮箱帐号。

比如在 outlook 帐号下,A@outlook.comB@protonmail.com 是关联的,当发送到 C@gmail.com 时,可以选择 B@protonmail.com 作为发信人。

并且 gmail 收到的邮件也显示是 B@protonmail.com ,但被送进了 spam 。 具体看了一下 headers 是 From: B@protonmail.com Sender: A@outlook.com

虽然说在注册 outlook 时会验证 B@protonmail.com ,但是这种随意伪装其他邮件地址的行为真的好吗?

5977 次点击
所在节点    程序员
40 条回复
helleon
2023-11-30 06:11:24 +08:00
这有啥,早几年 gmail 也可以
geelaw
2023-11-30 06:24:06 +08:00
自己写个发邮件的程序一样可以,Gmail 现在也是可以的,而且我记得还有一种模式是记住其他账户的密码,从而直接通过正确的服务器发送。这算不上伪装吧,毕竟 Sender 写明了是谁。

电子邮件头的很多信息和传输来源目的是分开的,比如很多邮件服务器都会在送达 bcc 收件人的时候也删去 bcc 行,另外邮件列表也大量运用 Sender/From 不同、To/Cc/Bcc 都没有实际收到邮件的邮箱地址的情况。
ZE3kr
2023-11-30 06:33:22 +08:00
域名所有者可以设置 DMARC 记录,这个记录可以禁止第三方通过自己的域名发邮件。

_dmarc.gmail.com 的记录是 p=none ,说明 gmail 允许第三方以 @gmail.com 作为发件人发信,且不会进 spam 。

_dmarc.protonmail.com 是 p=quarantine ,所以被送进了 spam 文件夹。

如果设置为 p=reject ,这种修改发件人的邮件就发不出去了(例如 _dmarc.cloudflare.com )。所有不设置为 p=reject 的域名都是某种程度上允许“伪装”发件人的,比如常用的邮件转发也是修改了 From 。
ZE3kr
2023-11-30 06:36:22 +08:00
https://support.google.com/mail/answer/22370?hl=en Gmail 也有一样的功能。这不算伪装,From 就是可以改的,这是邮件协议的一部分
weazord
2023-11-30 06:38:23 +08:00
protonmail 比较特殊,本身比较强调隐私,API 很多限制(我隐约记得 SMTP 直接给禁用了需要用官方的一个叫 bridge 的东西转发)。 其他很多邮箱服务比如 gmail 都是可以授权给第三方发邮件的,根本谈不上伪装吧,相当于 outlook 既是电子邮箱服务同时也是第三方邮箱的客户端
dangyuluo
2023-11-30 07:06:04 +08:00
研究一下电子邮件的原理,你甚至可以在你自己的电脑上通过你的家庭 IP ,冒充任何一个邮箱地址向任何一个电子邮件地址发邮件,不过有极大概率(如果不是肯定的话)会进垃圾箱并被标注为危险邮件。
ladypxy
2023-11-30 07:13:32 +08:00
电子邮件的原理就是这样的,你可以随意伪造任何地址,甚至连 smtp 服务器都不用
所以说反垃圾邮件是一个大问题
Perry
2023-11-30 07:57:53 +08:00
这个伪装不好的点在哪?不都是你自己拥有的邮箱吗?
S179276SP
2023-11-30 07:59:43 +08:00
Gmail 都不像 outlook 一样允许拥有自己的别名, outlook 甚至都可以换, 这点不好
xctcc
2023-11-30 08:11:28 +08:00
qq 邮箱也有
glouhao
2023-11-30 08:48:56 +08:00
@dangyuluo 我的 pve 自动发送的邮件没被标注危险,估计是因为那个域名是我解析到家里的。
Tink
2023-11-30 09:04:29 +08:00
不稀奇啊
ruzztok
2023-11-30 09:08:56 +08:00
gmail 也可以,163 也可以
bianhui
2023-11-30 09:15:16 +08:00
什么,大清亡了?
huyanprc
2023-11-30 09:16:19 +08:00
不用大惊小怪,这是 Email 的标准行为,SMTP 协议所允许的,早年所有邮箱服务商、邮箱客户端几乎都允许这么干。只是后来一些服务商出于反垃圾需要,人为加上了不允许伪装的限制。Outlook 在某些情况下开了个口子而已。
gdlv
2023-11-30 09:18:57 +08:00
我前些年还弄到过 @microsoft.com 的账号,只能显示在发信里,不能收信。
那会儿好像有 bug ,微软的域名随便整。
hervey0424
2023-11-30 09:39:58 +08:00
啊? QQ 邮箱这不是很多年前就有了
txydhr
2023-11-30 09:54:50 +08:00
邮箱的发件人类似于英文信 title 上的地址,不是真正的寄出地址,真正的发送方得点开详细信息才能看到。
yy77
2023-11-30 10:08:18 +08:00
smtp 协议允许,并不需要跨域检测。
killva4624
2023-11-30 10:10:30 +08:00
恭喜你,发现了钓鱼邮件的一个来源;其实你甚至不需要一个邮箱系统,就能通过 SMTP 协议发送一封任意源邮件地址的邮件,只是区别于收件服务器信不信任而已。
目前可以通过 SPF 、DKIM 、DMARC 来限制伪造邮件。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/996399

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX