Stiamo assegnando email al loro account online. Abbiamo scoperto che puoi inviare una email falsa con uno script modificando "da" o "reply-to" nell'intestazione dell'e-mail. Ci deve essere un modo sicuro per testare l'autenticità di questa e-mail - che proviene realmente dal dominio o server di posta elettronica corretto che è autorizzato a inviare questo indirizzo e-mail?
Di seguito è riportato un esempio di un falso indirizzo e-mail che siamo riusciti a inviare alla nostra piattaforma online e guardando il "da" è riuscito ad assegnarlo all'account di quella persona. L'esempio qui falsifica l'[email protected] e riesce a passare attraverso l'account dell'utente tramite lo script IMAP PHP utilizzando l'indirizzo da per allocare l'e-mail all'account dell'utente. Qualsiasi suggerimento su come utilizzare in modo sicuro / automatico questo sarà apprezzato.
Delivered-To: [email protected]
Received: IP with SMTP id GHVKHOHBLL;
Thu, 16 Oct 2014 12:11:16 -0700 (PDT)
X-Received: by IP with SMTP id p3mr4338460wjo;
Thu, 16 Oct 2014 12:11:15 -0700 (PDT)
Return-Path: <[email protected]>
Received: from mymacbook.local (hostipxxxx.btcentralplus.com. [IP])
by mx.google.com with ESMTP id xxxxxxxxx5
for <[email protected]>;
Thu, 16 Oct 2014 12:11:15 -0700 (PDT)
Received-SPF: none (google.com: mymacbook.local does not designate permitted sender hosts) client-ip=IP;
Authentication-Results: mx.google.com;
spf=neutral (google.com: [email protected] does not designate permitted sender hosts) [email protected]
Received: by mymacbook.local (Postfix, from userid 1)
id E6F761687C71; Thu, 16 Oct 2014 20:11:14 +0100 (BST)
To: [email protected]
Subject: testing
X-PHP-Originating-Script: 501:email_spoofing2.php
From: [email protected]
Reply-To: [email protected]
X-Mailer: PHP/5.4.31
Message-Id: <[email protected]>
Date: Thu, 16 Oct 2014 20:11:14 +0100 (BST)
hello