@NewYear 存不存在偷证书，你可以和 rprx 对线。
收件方的验证就是去验证 DNS ，reality 解决不了这个问题。

你有没有发现，其实就这么简单，我不懂现在邮件的验证逻辑，因为我没兴趣，我对邮箱系统的印象还停留在 0 几年。你从偷证书开始，再到跟我科普什么 HTTPS ，完全跑题。

其实如果不去了解，按照我的理解还是很符合逻辑的。甚至每封邮件都是用证书加密出来的话，我都想到了解决方案。

谁也不是天生的无所不知。说多无益，就那么简单的东西。再见

@NewYear

https://support.google.com/a/answer/10583557?sjid=18380727723177315276-NC&hl=en

首先，我承认我的假设行不通。简单地了解了一下现在的身份验证措施，其实 11 楼也写了，我没看着。而且，SPF 和 DMARC 我自己的域名也早就启用了。

我一直以为，这个验证是有效的。但没有此记录的域名就有被伪造的风险。而且，肯定有其他办法攻击，这也是我举一反三的思考方式。

我其实忽略了最基本的。那就是发件方可以声明自己是任何地址，收件方更是简单粗暴。直接请求 DNS 去做验证。那么和“偷证书”完全无关。故，我的假设无效。

但是，你也不要认为你就是对的、你并没有帮助我，更多的是误导。（你一个帖子跟我讲 HTTPS 加密，和邮件无关，和 reality 无关，咱是没看懂你想表达什么）

那么，看来我说“邮件伪造无非就是绕过收件人信箱的验证”是正确的，也是错误的。这句话可以强行洗，但没必要。

我一开始就是来水贴的，就没过脑子。而且这东西并不是很感兴趣，只是随便一写的想法。是的，连现在的邮件验证逻辑我都不知道，就胡思乱想。

感谢我的胡思乱想，所以我举一反三，知错改错。我值得骄傲！这个假设行不通，我还有无数个假设，然后去证伪，最后去验证。反反复复，最终解决问题。

到此为止吧。

@NewYear

我的假设只是一个偶然的意淫，仅此而已。或许有很多地方欠考虑（无法实现、很难实现），但我的第一条应该不难理解，你可以认为我是小白，本身就没有技术性讨论。

我给出的观点，的的确确是一个伪造方法。它跟传输加密无关，我没质疑过。reality 本身也不是修改真实服务器的数据，你进行邮件攻击也和要伪造的邮局（域名）无关对吧？那么，就不存在篡改加密内容。

“邮件伪造无非就是绕过收件人信箱的验证”，现在知名的邮箱系统用啥验证方案其实都无所谓。历史上发生过很多次，伪造邮件和真实的几乎没明显区别（对普通用户而言，专业用户也不一定每封邮件都严格证伪吧），无论是什么伪造方式，达到目的就行。本质上就是欺骗了收件人的邮箱系统，绕过了它的真实性验证。

这个世界上有一个叫 0day 的东西。它可以是极少数人掌握，也可以是自己一个人掌握。虽然现代的加密十分可靠，但你不能说它绝对安全，无法破解（暴力破解也算破解）。还有，银行系统在我印象里是最脆弱的，都不如腾讯、阿里这样的公司安全。QQ 邮箱应该是国内最棒的了，伪造成功的案例也很多啊！

回到臆想本身。reality 偷证书给你，你利用它实现了无证书白名单翻墙。中间人，也就是那个叫 gfw 的坏家伙，它用各种方法来审查你，gfw 最后认为你提供的证书是真实的，你的数据无异常。当然，它没办法审查加密数据，只能根据特征判断。

既然，reality 可以“偷证书”，不要怀疑，它确实偷了，哪怕只是转发握手包。在你自己的服务器上，也可以用别人的域名架设 web 服务。然后内容你是可以修改的，如果你做不到那是你的问题，我没必要解释更多（域名是别人，内容是你自己，你不需要修改真实服务器上的数据！）。这样，我们有了一个以假乱真的 web 服务对吧？只要你 hosts 充当公网 DNS ，那么完全可以说我的站点和真实服务器没有差别。你、我、他访问这个站点，用别人的域名都是一样的。

关于邮件伪造，我说了这只是一个臆想。能不能做到我不知道。因为我根本没研究过邮件系统，但是很久以前看过几篇关于伪造的文章。自己也确实成功发起了几次邮局欺骗，可能当时没 TLS 比较容易？

所以我的这个意淫，没有说伪造邮局的难度，没有技术讨论的意愿，没有去验证任何东西。就没必要跟我普及那么多知识了。当然我也可以直接回一句，老子手里有 0day ，既能装逼又优雅，而且没后续。

但我写这么多干嘛呢，因为你也给我写了很多。我尊重你。第一条我就写了是意淫~ 而且我的意淫还是有根据的。有想法是好事，你不能扼杀。

但是你理解错了我的这个想法。我得指出来，它和我懂不懂没关系。因为你指出来的加密可靠性什么的，在我的想法里是无需考虑的。

最后。不建议你再拿出什么来指点我。还是那句话，第一条我就明确了，这只是一个意淫。我不懂邮局系统，压根没兴趣。所以这套逻辑行不行得通我自己都不清楚！！！但是很多邮件伪造的漏洞咱又不是不知道，我认为不难。也别跟我抬杠，v2ex 如果能销号早销号了~ 你认为你对就对，你怎么认为就怎么认为。我就是来水贴的，恩。反正逼逼那么多，也不如去 exploit 翻一翻漏洞能解释清楚。

@NewYear 的的确确可以拿别人的证书来用，实现 CDN 的效果。而且可以任意修改其内容~

当然了，DNS 是动不了的，这也就跑题了。因为我没去读 r 佬的源码，所以邮件是不是也可以拿来用。邮件伪造无非就是绕过收件人信箱的验证，或许不能，关键得先假设再动手。

哦，我还没动手去验证...
仅供参考

@NewYear https://github.com/XTLS/REALITY

用 Android ，无限原画

看了一眼楼下网吧的 1060 ，表示还可以战十年

会不会是因为灵魂马落马

自主研发 遥遥领先 牛逼就完了

Redmi Note 12 Turbo

他说我这种贱民不配使用数字人民币
然后每天给我推送，说下载就能领取几百元

万物皆可防欺诈
感谢国家尽心尽力保护了我这么多年

只要能解 bl ，就可以随便刷
最简单的办法就是去想刷的第三方 ROM 网站上找设备，然后买
XDA 也行，还有 TG 上的 ROM 适配最快

感觉 xray-core 的 reality 既然可以偷证书上网
那么是不是可以在邮箱上面做文章
没读过源码 忘了哪次意淫出来的 就没了后续

https://wwc.lanzouw.com/b0cryfysb 0000
magisk

之前还写写博客，后来谷歌要我提交 ITIN
然后我关站，表示混不下去了

谷歌给我发验证码的号最牛逼，现在见不到了好像
001 8888888888 十年以前吧