Является ли электронная почта от домена определенным доказательством того, что электронная почта принадлежит владельцу веб-сайта домена? - PullRequest
Новая
       12

Является ли электронная почта от домена определенным доказательством того, что электронная почта принадлежит владельцу веб-сайта домена?

0 голосов
/ 12 апреля 2020

Можно ли предположить, что электронное письмо типа love@AnExampleReputedBank.com определенно принадлежит домену WWW.AnExampleReputedBank.com? Или любой хакер может отправить любое электронное письмо с любого домена?

Вопрос трудно объяснить, поэтому позвольте мне объяснить проблему, которую я пытаюсь решить.

Я делаю менеджер пакетов для мое настраиваемое приложение. И я позволю каждому публиковать sh свои пакеты для моего приложения, чтобы пользователи могли добавлять новые функции в приложение, просто загружая пакеты. Чтобы решить проблему столкновения пространства имен, я использую доменное имя. [Например. AnExampleReputedBank.com]

Чтобы сообщить моему конечному пользователю, что пакет от проверенного пользователя [Фактический владелец AnExampleReputedBank.com], я предоставлю проверенную отметку для этого пакета.

Знак подтверждения можно получить для пакета, если моя система получает электронное письмо от admin@AnExampleReputedBank.com вместе с кодом подтверждения.

Будет ли это достаточной мерой для обеспечения того, чтобы пакет был из исходной упаковки менеджеры [Для владельцев доменов AnExampleReputedBank.com]?

1 Ответ

1 голос
/ 12 апреля 2020

Нет.

От адресов - это все, что отправитель письма пишет в поле От. Он так же надежен, как и обратный адрес, указанный на обороте физического конверта, который отправляется.

Существуют методы (например, DKIM), чтобы гарантировать, что электронное письмо было отправлено кем-то, уполномоченным отправлять электронную почту с этого домена, но это не доказывает право собственности на домен. У меня есть учетная запись Gmail, но я определенно не контролирую gmail.com.

Большинство попыток подтвердить право собственности на домен используют подходы, используемые Let's Encrypt :

Чтобы начать процесс, агент спрашивает у Let's Encrypt CA, что ему нужно сделать, чтобы доказать, что он контролирует example.com. Let's Encrypt CA рассмотрит запрашиваемое доменное имя и выполнит один или несколько наборов задач. Это разные способы, которыми агент может доказать контроль над доменом. Например, центр сертификации может предоставить агенту выбор:

  • Предоставление записи DNS под example.com или
  • Предоставление ресурса HTTP под известным URI на http://example.com/
...