Perché i server SMTP non richiedono solo tutti i mittenti autenticato prima di accettare la posta?
Per lo più la pigrizia. Facilità di configurazione, è più facile per gli amministratori configurare un server SMTP centrale che non richiede l'autenticazione per inviare e-mail, rispetto a uno che lo fa.
Vedrete spesso che questo viene offerto anche dagli ISP per soddisfare i loro clienti più facilmente.
Credo che tu stia facendo la seguente ipotesi:
Questa è solo metà della storia.
L'autenticazione può ( e dovrebbe ) essere applicata quando i client tentano di utilizzare un server SMTP per inoltrare un'e-mail a un utente su un dominio remoto. La mancanza di meccanismi di autenticazione e controllo del destinatario durante questa fase è considerata una cattiva pratica e tali server sono chiamati "open relay" poiché consentono a chiunque di utilizzarli per ritrasmettere le e-mail ovunque.
L'altra metà della storia è quando ricevi e-mail. Il "mittente" in questo caso è un altro server SMTP che si connette al server SMTP e lo usa per inviare un messaggio all'utente. L'applicazione dell'autenticazione durante questa fase significherebbe che ogni server SMTP legittimo sul pianeta dovrebbe avere un account su ogni altro server SMTP legittimo sul pianeta, in modo da poter inviare e-mail a chiunque. Mantenere tutti questi account sincronizzati sarebbe una sfida importante e un sovraccarico amministrativo.
Ad esempio, non molte cose impediscono a Trudy di connettersi a un server SMTP mail-provider-a e di inviare una e-mail a [email protected] mentre elenca bob @ mail -provider-b.com come mittente. mail-provider-a non ha modo di verificare gli utenti del provider di posta elettronica. Questo non è un errore di configurazione, questo è il modo in cui funziona la posta elettronica.
I recordSPF possono essere utilizzati per verificare i server SMTP remoti e mitigare l'attacco di cui sopra, assicurandosi che il mittente sia L'indirizzo IP corrisponde all'indirizzo IP specificato nel record SPF per il dominio che viene rivendicato come origine e-mail. Questo non viene applicato da molti provider di posta elettronica.
Questo è il motivo per cui le persone dovrebbero utilizzare le firme di posta elettronica.
Le date dell'email di una volta precedente. Lo spam non era un problema e la rappresentazione non era un grosso problema, la mancanza di connettività era un problema. Il comportamento normale per un server di posta elettronica era di inoltrare la posta per chiunque lo richiedesse. Oggigiorno l'inoltro aperto ti farà evitare, ma devi capire che l'autenticazione è qualcosa che è stato gradualmente spinto via email, non una parte fondamentale del design.
La posta gestita da un server di posta può essere suddivisa in "incoming" e "outgoing".
La posta "in uscita" verrà inoltrata al server associato all'indirizzo email di destinazione. Per evitare di essere evitato come relay aperto, l'amministratore del server di posta deve implementare una sorta di restrizione su chi può utilizzare il server come relay. Le restrizioni basate su IP sono un metodo comune perché non richiedono alcuna configurazione del client o gestione del database utente.
La posta "in arrivo" può essere archiviata localmente o inoltrata a un altro server di posta interno. Tale posta può provenire da chiunque su Internet, quindi è difficile implementare restrizioni di accesso. Alcuni vorrebbero introdurre restrizioni per cercare di garantire che il mittente fosse chi affermano di essere, ma l'esistenza di mailing list e servizi di inoltro della posta lo rende più complicato.
Leggi altre domande sui tag authentication email encryption network smtp