假设我有一个网站,允许用户将该网站上的文章发送给朋友。
它的工作方式是,当点击“发送给朋友”链接时,会出现一个表单,它允许用户填写详细信息,并将电子邮件发送给他们的朋友。
用户可以将“来自”电子邮件地址和“到”电子邮件地址放入此表单和少量内容中。
收到电子邮件后,电子邮件地址将显示在FROM和REPLY TO。
中该网站还向其用户发送了大量自己的电子邮件通信。
我的问题是:
是否存在允许用户(机器人,攻击等)使用此应用程序从我的SMTP发送电子邮件的风险,以及风险有多大?
我的假设是肯定的,这并不理想。
可能比“不理想”更糟糕吗?
答案 0 :(得分:1)
是的,如果这是任何机器人都可以访问的公共网站,这绝对不是理想的。但是您可以通过简单的方法限制垃圾邮件的使用。
考虑一下这个网站本身,它有非常明确的行动和声誉指南限制你,直到你证明你被信任为止。
答案 1 :(得分:1)
这可能取决于您是否进行任何身份验证以确定允许谁发送电子邮件。如果用户必须登录才能发送文章,那么你可能没问题。机器人将失败,因为它们永远不会登录。
风险会增加您访问网站的流量,是的,这可能不太理想。不受保护的僵尸程序将不可避免地找到您未受保护的表单,并开始从您的服务器发送电子邮件。
但是有一些非常简单的解决方案,最常见的可能是实现Captcha
之类的东西答案 2 :(得分:1)
我不知道机器人使用你的表格。这应该是个问题吗?我不知道..我知道他们使用你的自定义表格和所有人来编程机器人非常聪明。
我知道有些电子邮件服务器会检查FROM电子邮件地址是否与发送邮件的IP具有相同的IP地址。因此,假设我输入了我的Hotmail电子邮件地址,并且邮件服务器看到了您的服务器,它可能会将该电子邮件标记为垃圾邮件。
过去我有一个电子贺卡网络系统。这是一个与我认识的女孩的小型合资企业。她创造了(可爱的)卡片,我建立了她的电子卡系统。该网站非常简单。选择卡,输入电子邮件地址,将发件人电子邮件地址放在FROM中,然后发送您将收到电子卡的电子邮件。
生活很美好......
直到我发现我的整个网络服务器IP被列入三个主要垃圾邮件过滤机制的黑名单。过去从我的网站收到电子贺卡的所有电子邮件收件人中有15%不会收到他们的电子贺卡,因为我的所有电子邮件都被列入垃圾邮件列入黑名单。我们收到许多来自愤怒的“客户”的电子邮件,要求他们的电子卡没有到达。 (我仍然觉得有些人要求这项服务很有趣,特别是因为这是一项免费服务,请参阅图)。我的自动提醒功能告诉他们电子卡仍然没有被查看,他们可能会错误输入电子邮件地址,因此可能会勾选它们:P
这对我的其他客户来说也很烦人,因为他们依赖于发送播放的新闻通讯等,并且打电话给我,超过20%的客户没有收到新闻通讯。
发送电子邮件很难。您还应该查看Jeff's blog。所以,从我的错误中吸取教训,请在FROM中输入与您的电子邮件服务器关联的电子邮件地址。这样可以免除很多麻烦;)
答案 3 :(得分:1)
相当安全。我假设您确实检查了“发件人”地址,如果只是先发送一封(标准!)邮件,并要求该电子邮件地址的所有者确认他们真的是人类?这可以防止大多数机器人查找和滥用您的表单。当然,针对您的验证电子邮件的人员定向攻击仍然会允许发送垃圾邮件。但如果你收到了来自所谓“发件人”地址的至少一份回复,你就会有更好的追踪。
但是,我认为这不会可靠。引入SPF等技术意味着只有来自“.example.com”域中的外发SMTP服务器的邮件才会被接受。如果您使用From:addresses @ example.com伪造电子邮件,则接收SMTP服务器将看到您实际上不属于* .example.com并拒绝该电子邮件 - 并且可能将您的IP范围列入黑名单以获得良好的衡量标准。