3

Любой, кто использовал немного PHP для отправки электронного письма, знает, что мы можем использовать любое имя, которое мы хотим, в качестве отправителя электронного письма.

Секретарю конкретного предприятия я могу отправить сообщение с запросом очень конфиденциальной информации о клиенте или компании, которая выглядит точно так, как если бы она пришла от ее начальника, bossname@companyname.com - мне кажется, это очень большая проблема безопасности.

Почему система электронной почты не проверяет адрес отправителя?

Мне кажется, что кто-то подумал бы проверить адрес отправителя так или иначе при разработке инфраструктуры электронной почты.

Еще один серьезный риск, который существует через это:

Я мог бы отправить себе электронное письмо для сброса пароля на Facebook, скопировать формат электронной почты и отправить тот же формат пользователю, замаскированный под Facebook, и сохранить введенный пароль пользователя. Когда это сбивает с толку пользователя, и он / она не может войти в систему с новым паролем, он / она может пойти и фактически сбросить пароль на этот пароль, и теперь у меня есть пароль пользователя на Facebook.

|источник

3 ответа3

1

Цифровые подписи решают проблему олицетворения отправителя (по крайней мере, технически) сквозной:

Цифровая подпись - это математическая схема для демонстрации подлинности цифрового сообщения или документа. Действительная цифровая подпись дает получателю повод полагать, что сообщение было создано известным отправителем, так что отправитель не может отрицать отправку сообщения (аутентификация и отказ от авторства) и что сообщение не было изменено при передаче (целостность). Цифровые подписи обычно используются для распространения программного обеспечения, финансовых транзакций и в других случаях, когда важно обнаружить подделку или подделку

Подписи могут использоваться в электронной почте через сертификаты S/MIME и PGP / GnuPg . Например, Thunderbid имеет популярное расширение Enigmail, взаимодействующее с GnuPG для проверки и подписи сообщений. Outlook поддерживает S /MIME.

Чтобы подписать сообщение, отправитель использует закрытый ключ, который нельзя использовать совместно. Для проверки сообщения получатель использует открытый ключ отправителя, который может быть предоставлен всем, кто заинтересован в проверке сообщений этого отправителя. Такие открытые ключи доступны через серверы ключей. Существуют также ключевые подписывающие стороны, на которых люди физически встречаются, чтобы утверждать, что они являются теми, кем они притворяются, и подписывают цифровые сертификаты друг друга.

Так что дело не в том, что никто не задумывался о проблеме, на самом деле она была детально изучена, решения реализованы и были доступны некоторое время, в том числе и в свободном программном обеспечении.

Для меня вопрос был бы: почему не все уже используют это? Почему крупные почтовые провайдеры, такие как GMail или Outlook.com или Yahoo Mail, не предлагают цифровые сертификаты вместе с учетными записями электронной почты, не поощряют и не помогают своим пользователям подписывать свои сообщения? Почему при вступлении в новую компанию сотрудник обычно получает адрес электронной почты и пароль для отправки / получения сообщений, а не пару цифровых ключей для правильной подписи своих сообщений?

Возможно, мы все вместе слишком удовлетворены или ленивы, чтобы предпринять необходимые шаги. Может быть, это как переключение с IPv4 на IPv6. Мы знаем, что должны это сделать, но мы боимся перемен и усилий и ждем, пока остальной мир сделает это первым, и этого не произойдет.

|источник
0

Протокол SMTP, на котором основывалось электронное письмо, был разработан по меньшей мере за 20 лет до того, как схемы для проведения такого рода проверки стали доступны без ограничений, связанных с патентами, экспортными ограничениями и т.п.

Если вы спрашиваете, почему такая функция не была добавлена - ну, было много попыток добавить такие функции.

|источник
0

Несмотря на то, что вы можете поместить все, что вы хотите, в поле from, IP-адрес, с которого вы отправляете электронное письмо, не может быть подделан, поэтому его всегда можно отследить самозванцу.

Правда, люди немного небрежны и просто предполагают, что любое электронное письмо от кого-то, кого они считают знакомым, принадлежит им, независимо от того, что они просят в этом письме.

У меня на этот раз, когда я получаю электронное письмо, в котором спрашивают информацию, которую человек обычно не спрашивает, возникает внутренняя тревога (я становлюсь подозрительным). Затем я всегда проверяю IP-адрес отправителя, и если я не уверен, я свяжусь с отправителем, чтобы спросить, действительно ли они отправили это электронное письмо.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .