Messaggi di posta elettronica falsi tramite l'intestazione Elenco-annullamento sottoscrizione

8

Elenco: l'intestazione di annullamento dell'iscrizione consente al destinatario di annullare automaticamente l'iscrizione alla mailing list:

List-Unsubscribe: <mailto:[email protected]?subject=unsubscribe&body=qwe>

Il servizio di posta elettronica gratuito che creiamo aggiunge il pulsante "Annulla iscrizione" nell'interfaccia utente, che attiverà l'invio di una email a [email protected] con corpo e soggetto specificati. E sarà inviato dall'e-mail del destinatario (utente esterno). E firmato con DKIM.

Un utente malintenzionato può inviare una e-mail al nostro utente che, nel caso in cui venga premuto il pulsante "annulla iscrizione", invierà una posta falsa con un determinato corpo e dal nostro utente, firmata dal nostro DKIM.

Come è possibile proteggere da questo?

Possiamo proibire l'elaborazione delle nostre e-mail nell'intestazione Lista-annullamento dell'iscrizione (Proteggi i nostri utenti da ricevere tali e-mail false).

Ma cosa fare nel caso in cui il provider di posta di terze parti ci mandi tale intestazione? Come possiamo proteggere i nostri utenti dalle email false di invio ? (Inviato dalla nostra rete e protetto da DKIM e SPF)

O è un problema e una responsabilità dei servizi di posta elettronica di terze parti, non delle e-mail inviate con l'intestazione Elenco-Unsubscribe dannoso?

    
posta Karim Valiev 19.01.2014 - 15:52
fonte

1 risposta

6

La maggior parte degli implementatori di pulsanti di annullamento dell'iscrizione non rispetta i parametri "soggetto" e "corpo", esattamente per la ragione che tu dai. Quelli che lo fanno, lo fanno solo in risposta a e-mail convalidate e in cui il dominio dell'indirizzo email di annullamento corrisponde al dominio dell'indirizzo email del mittente convalidato.

Essenzialmente, è necessario implementare un criterio per quando l'intestazione List-Unsubscribe deve essere attendibile.

Solo se:

  • Hai convalidato il dominio del mittente tramite SPF o DomainKeys o un DNS round-trip o un altro metodo corrispondente.

E

  • Il dominio Elenco-Annulla iscrizione corrisponde al dominio del mittente.

Anche in questo caso dovresti fidarti solo dell'oggetto e del corpo se hai autorizzato il dominio del mittente.

Migliore - se l'elenco è [email protected] :

List-Unsubscribe: <mailto:[email protected]>

Migliore: ogni destinatario deve avere un ID di sottoscrizione univoco:

List-Unsubscribe: <mailto:[email protected]>

O qualche cosa VERP:

risposta data 20.01.2014 - 17:30
fonte

Leggi altre domande sui tag