Ретранслятор сообщений без аутентификации SMTP в том же домене [закрыто]
Во время тестирования SMTP-сервера я смог успешно отправлять почту с (скрытой) на (скрытой) через telnet без какой-либо аутентификации. С точки зрения риска, я считаю, что это серьезная проблема. Но у некоторых есть представления, что SMTP устроен таким образом. У кого-нибудь есть мысли?
Предполагая, что SMTP-сервер, который вы тестируете, настроен для обработки myserver.com, это совершенно нормально.
Почта передается с сервера на сервер без аутентификации. Так работает SMTP. Только когда вы ожидаете, что сервер будет перенаправлять почту в другое место для вас, вам потребуется пройти аутентификацию.
Любой может подключиться к почтовому серверу, который обрабатывает конкретный домен, и напрямую отправить электронное письмо пользователю в этом домене. Если бы это не сработало, вам пришлось бы настроить имена пользователей и пароли для hotmail, gmail, yahoo и нескольких миллиардов частных почтовых доменов. Это просто не сработает.
Здесь вызывает беспокойство то, разрешит ли он ретрансляцию в домены, которые НЕ должен обрабатывать. Если вы подключаетесь к этому серверу и отправляете электронное письмо на адрес somethingelse@notmyserver.com, вам нужно либо быть в локальной сети, либо сначала пройти аутентификацию.
Также не имеет значения, какой адрес электронной почты отправляет. Хотя некоторые меры защиты от спама помечают электронные письма, отправленные извне с использованием адреса отправителя, который должен приходить только с сервера, как спам.
Очевидно, вы не знаете, как работает SMTP.
Отправка электронной почты НА ваш сервер для ВАШЕГО домена не требует аутентификации.
Отправка электронной почты ЧЕРЕЗ ваш сервер для ДРУГОГО домена требует (или должна требовать) аутентификации.