我正在考虑创建类似于posterous的服务,用户可以将其发布到post@domain.com等固定地址,然后根据from地址和标题签名的某种组合对帖子进行身份验证。 Posterous似乎做了一些聪明的事情,以便他们能够检测到某条消息是否被欺骗或从未知来源发送。
任何人都知道他们可能在做什么?
答案 0 :(得分:2)
您可以使用一些基本的启发式方法来尝试检测它。
最基本的事情是查看以前电子邮件的原始主机和标题,看看它们是否与之前的电子邮件相匹配。如果海报的电子邮件域使用SPF,您可以验证IP地址是否有权代表该域发送。欺骗电子邮件很容易 - 欺骗电子邮件更加困难,实际上它来自与之前邮件来源相匹配的子网。但这也可以被颠覆。
首先,您发布的电子邮件应该是随机的,与任何显示名称无关。这使得网上的随机陌生人不知道从哪里开始发布。
你也可以走得更复杂,实现一些机器学习的东西(甚至更直接的启发式方法)来接受风格,但要做到这一点会更加困难。
或者只是跛脚,并在收到帖子后,向海报发回一封电子邮件,其中包含验证链接和/或作为主题发回的特殊令牌(如果他们是通过电话发布的等等) 。没有浏览器。)