«Отправить другу» - Риски

Question

Допустим, у меня есть веб-сайт, который позволяет пользователям отправлять статьи об этом веб-сайте другу.

Принцип работы этого метода заключается в том, что при нажатии на ссылку "отправить другу" появляется форма и онапозволяет пользователям заполнять детали, и электронное письмо отправляется их другу.

Пользователь может ввести в эту форму адрес электронной почты "от" и адрес электронной почты "от", а также небольшое количество контента.

Когда электронное письмо получено, в поле ОТ и ОТВЕТ появляется адрес электронной почты от.

Этот веб-сайт также рассылает большое количество своих сообщений электронной почты своим пользователям.

---

Мой вопрос:

Существует ли риск, что пользователи (боты, атаки и т. Д.) Могут использовать это приложение для отправки электронных писем с моего SMTP, и насколько велик риск?

---

Мое предположение - да, это не идеально.

Возможно ли это хуже, чем "не идеально"?

---

Answer 1

Довольно безопасно. Я предполагаю, что вы проверяете адрес «От», если только отправляете сначала одно (стандартное!) Письмо и просите владельца этого адреса электронной почты подтвердить, что они действительно люди? Это предотвращает большинство ботов от поиска и злоупотребления вашей формой. Конечно, направленная атака, когда человек отвечает на ваше письмо с подтверждением, по-прежнему допускает спам. Но у вас гораздо лучший путь, если вы получили хотя бы один ответ с предполагаемого адреса «От».

Однако я не думаю, что это будет работать надежно. Внедрение таких методов, как SPF, будет означать, что письма с «example.com» будут приниматься только в том случае, если они исходят от исходящего SMTP-сервера в домене * .example.com. Если вы фальсифицируете электронные письма с адресом From: address @ example.com, получающий SMTP-сервер увидит, что вы на самом деле не являетесь участником * .example.com, и отклоните электронное письмо - и, вероятно, внесите его в черный список для хорошей меры.

Answer 2

Это может зависеть от того, проводите ли вы какую-либо аутентификацию, чтобы определить, кому разрешено отправлять электронные письма.Если пользователь должен войти в систему, чтобы отправлять статьи, то вы, вероятно, в порядке.Боты потерпят неудачу, потому что они никогда не войдут в систему.

Риск будет увеличиваться с увеличением трафика на ваш сайт, и да, это, вероятно, не идеально.Незащищенный, бот неизбежно найдет вашу незащищенную форму и начнет отправлять электронные письма с вашего сервера.

Однако есть несколько довольно простых решений, наиболее распространенным из которых, вероятно, является реализация чего-то вроде Captcha

Answer 3

Я не знаю, как боты используют вашу форму.Должно ли это быть проблемой?Я не знаю .. Я знаю, что они программируют ботов, чтобы они были достаточно умными, используя ваши собственные формы и все.

Я знаю, что некоторые почтовые серверы проверяют, имеет ли адрес электронной почты FROM тот же IP-адрес, что иIP, с которого было отправлено письмо.Итак, представьте, что я вставил свой адрес электронной почты на hotmail, и почтовый сервер видит ваш сервер, он может пометить письмо как спам.

В прошлом у меня была система электронных карт.Это было небольшое совместное предприятие с девушкой, которую я знал.Она создала (милые) открытки, а я создаю ей систему электронных карточек.Сайт был довольно прост.Выберите карту, введите адрес электронной почты, поместив адрес электронной почты отправителей в ОТ и отправил письмо, которое вы получили бы на электронную открытку.

Жизнь была хорошей ...

Пока я не обнаружил, что весь мой IP-адрес веб-сервера был занесен в черный список по трем основным механизмам фильтрации спама.И что 15% всех получателей электронной почты, которые раньше получали электронные открытки с моего сайта, не получали свои электронные карты, потому что все мои электронные письма были в черном списке как спам с самого начала.Мы получили много писем от недовольных «клиентов» с требованием, чтобы их электронные карточки не пришли.(Я до сих пор нахожу забавным, как некоторые люди требовали эту услугу, тем более, что это была бесплатная услуга, пойди разберись).Моя функция автоматического напоминания подсказывала им, что электронная карта все еще не была просмотрена, и они, возможно, неправильно набрали адрес электронной почты, так что, возможно, их отметили галочкой: P

Это было довольно неприятно и для других моих клиентов,так как они полагались на рассылку разыгрываемых информационных бюллетеней и тому подобное, и называли меня, что более 20% клиентов не получали информационные бюллетени.

Отправка электронной почты является сложной задачей.Вы должны также проверить блог Джеффа об этом.Итак, учитесь на моей ошибке и, пожалуйста, поместите адрес электронной почты, связанный с вашим почтовым сервером, в FROM.Это избавит вас от многих головных болей;)

Answer 4

да, это определенно не идеально, если это общедоступный веб-сайт, доступ к которому может получить любой бот. но есть простые способы ограничить использование спама.

1. ваш код ограничивает любую электронную почту адрес для отправки ~ 50 писем в день и всего ~ 10 час в зависимости от вашего необходимо. бот, вероятно, попытается отправить миллион сразу, так ограничить их на почасовой и ежедневной основе.
2. хранить все сообщения электронной почты в базы данных и придумать хороший программа для мониторинга наиболее активных отправители электронной почты. если вы можете проверить что письмо является доверенным, то пусть они отправляют столько писем, сколько они хочет

Подумайте о самом сайте, он имеет очень определенные действия и рекомендации по репутации, которые ограничивают вас, пока вы не докажете, что вам доверяют.