Qual è il rischio, fornendo agli utenti indirizzi e-mail su un nome di dominio? [chiuso]

Naviga le tue risposte
5

Dire che ho un sito web su www.example.org

Per dipingere una storia significativa, dì che darò a ogni utente una pagina web all'indirizzo www.esempio.org/nomeutente e un indirizzo email a [email protected]

Quali sono i rischi che danno agli utenti quell'indirizzo email, a parte la possibilità che possano inviare spam?

Per chiarire, in risposta al commento. All'inizio mi chiedevo se forse essere in grado di accettare email in quel dominio potesse rischiare il dirottamento del dominio in qualche modo, e allora ho vagamente pensato che forse ci sono altri modi in cui le persone potrebbero fingere di provenire dalla compagnia "Example Org", come dimostrato dall'avere un indirizzo in quel dominio. D'altra parte non può essere troppo rischioso, suppongo perché distribuire gli indirizzi email è esattamente ciò che fanno tutti i provider di posta elettronica. È una preoccupazione vaga, ma non volevo non comprendere appieno i potenziali rischi prima di implementarla, quindi la domanda agli esperti di sicurezza.

    
posta Duke Dougal 02.06.2017 - 02:31
fonte

3 risposte

1

Vedo il rischio che le persone possano fingere di appartenere alla società example.org.

Rfc2142 descrive gli indirizzi di posta elettronica da utilizzare quando si contatta il personale di un'organizzazione, ad esempio l'abuso @ example. org per segnalare comportamenti pubblici inappropriati del tuo server come l'invio di spam. Altri indirizzi di posta speciali sono postmaster o webmaster.

Se qualcuno può prendere uno di questi indirizzi c'è il rischio che qualcuno possa impersonare come utente amministrativo. Il rischio risultante dipende da quanto qualcuno si fida di questi utenti. Pertanto mi assicurerei che fosse impossibile usare i nomi utente definiti in Rfc2142.

    
risposta data 08.02.2018 - 09:28
fonte
0

aside from the possibility that they might send spam?

La capacità di inviare e-mail è qualcosa di diverso la possibilità di ricevere e-mail. Quindi è banale eliminare quel rischio. Tuttavia ciò implica che hai molto da imparare prima di essere in grado di garantire la sicurezza del servizio nel suo complesso - e forse più supporto per Q & A qui.

Poi c'è la domanda se intendi fornire l'abilità (e le possibilità) di recuperare la posta dal server (potresti solo eseguire il provisioning) o leggere la posta sul server.

Senza saperne di più sull'infrastruttura e le specifiche dei servizi è impossibile enumerare tutti i problemi creati eseguendo un servizio di posta elettronica e (diversamente dall'elenco separato di potenziali problemi con un servizio di posta elettronica e l'elenco per un servizio web).

    
risposta data 08.06.2018 - 14:03
fonte
0

Alcuni punti a cui posso immediatamente pensare:

    Gli indirizzi email di
  • non devono mai contenere admin, root, master, abuso o proprietario (elenco non esaustivo) o equivalente nella tua lingua / i
    • Gli indirizzi email di
  • non devono fornire la connessione all'account (tramite ssh, telnet o ftp) sul tuo sistema (un vero utente con quel nome non dovrebbe esistere)
  • gli indirizzi email non dovrebbero consentire l'accesso alle risorse condivise sul tuo sistema

Questo è per la protezione del sistema tecnico dagli utenti

Alcuni altri punti:

  • non dovresti mai archiviare le password in formato invertibile, ma solo le hash li formano
  • dovresti identificare chiaramente chi può accedere alle caselle di posta dal sistema
  • dovresti fornire ai tuoi utenti un contratto che indica per cosa sei responsabile, cosa sono autorizzati a fare e come processi i loro dati (indirizzo utente, password, contenuto di posta) e chi può accedere ad esso in quale contesto

Questo è per la tua protezione da possibili azioni legali per non proteggere correttamente la privacy / riservatezza dei tuoi utenti, o non fornire sufficiente disponibilità o garanzia di integrità (disclaimer: I Am Not A Lawyer, quindi ho appena immaginato possibili implicazioni del Triade della CIA)

    
risposta data 08.06.2018 - 14:23
fonte

Leggi altre domande sui tag

Sicurezza globale del protocollo orario della rete Ottenere l'accesso root su un telefono Android sfruttato con MetaSploit