La mia applicazione è un client Windows Form di .NET, una delle cui funzioni è consentire all'utente di inviare e-mail personalizzate per posta elettronica ai destinatari che hanno eseguito l'operazione di installazione e memorizzati nel database.
Le email vengono inviate utilizzando le classi .NET System.Net.Mail, dal computer client su cui è installata l'applicazione, direttamente a un server SMTP all'interno del firewall del client.
Il cliente assicura questo relay di:
- specifica i computer a cui è consentito inviare le email
e facoltativamente da:
- che specifica che l'applicazione client fornisce credenziali utente / password.
Di circa 30 clienti, uno non è soddisfatto di questo accordo con la motivazione che:
- se la macchina client è stata infettata da malware adatto, sarebbe possibile che i computer consentiti fungessero da relay spam.
Ora, mi rendo conto che, in teoria, il malware che conteneva una password grinder poteva eventualmente rompere le credenziali utente / password. Tuttavia, Outlook è già consentito sui computer client, quindi non capisco perché (data l'esistenza di librerie come Outlook Redemption), se consentire a Outlook di inviare posta è sicuro, consentire alla mia azienda di inviare posta è meno sicuro .
Gradirei qualsiasi suggerimento.
Modifica:
Grazie per le risposte finora ... se potessi aggiungere un supplemento:
Ho notato che una coppia ha sottolineato che Outlook non utilizza SMTP. Tuttavia, nemmeno Outlook Redemption , una libreria di classi COM perfettamente legittima che consente, AIUI, comunicazioni MAPI autenticate ai server Exchange.
Quindi, se il malware che aveva rilevato la macchina client poteva alla fine estrarre una password e bypassare (come fa Outlook Redemption) il modello di oggetti di Outlook, e quindi la sicurezza di Outlook contro l'accesso programmatico, non potrebbe causare un gran disastro? / p>
La mia domanda non riguarda tanto la sicurezza assoluta - chiaramente non è mai raggiungibile - è se ci sia una preoccupazione circa l'acquisizione di malware, perché la mia applicazione autenticata dovrebbe essere meno sicura di Outlook.