SMTP 协议有缺陷可以伪造发件人 那是不是可以分配给所有员工公私钥 要求所有公司内部邮件都要用 gpg 签名后才能发送 使用企业邮箱后缀的没有用私钥加密过的邮件会全部被邮件服务器过滤掉 这个方案的可行性怎么样?
1
twl007 2020-02-17 08:13:22 +08:00 via iPhone
公司内部邮件服务器都跑在内网上面的…… 就算要发邮件也得用员工账户吧 如果在公司内部的邮件服务器出现了这类事情 相比起来发送伪造邮件 难道不是账户信息泄漏更严重?
|
2
ljiaming19 OP @twl007 伪造邮件不用入侵邮件服务器 只要知道发件人邮箱地址就可以 因为 SMTP 协议没有校验机制
|
3
swulling 2020-02-17 08:24:55 +08:00 via iPhone
@ljiaming19 用 SPF 就行了,不用这么麻烦
|
4
twl007 2020-02-17 08:36:36 +08:00 via iPhone
@ljiaming19 然而你可以追溯邮件的原始发件地址啊 如果有件事从不是你们邮件服务器来的 那肯定是伪造的 怎么可能你们自己的邮件服务器收到一封从不是自己的邮件服务器来的还有一样域名的邮件? 这类邮件应该自动就被标为高危好吧 Gmail 都可以自动过滤类似的邮件
|
5
alphatoad 2020-02-17 09:07:23 +08:00 via iPhone
SPF+DKIM
|
6
st2udio 2020-02-17 11:05:04 +08:00
我们企业邮箱这种邮件都直接自动拦截了。
正常收外部邮件我们都要去申请权限开通的。 |
7
lovedebug 2020-02-17 11:08:52 +08:00
设置 SPF 直接验证就好
解析邮件内部的 MTP 传输路径 在内部邮件使用加密的字符串放在 header 中,邮件服务器解密失败直接拒收 |