Invio di e-mail all'elenco di Distro w / Autenticazione?

Naviga le tue risposte
1

Recentemente ho scritto un lavoro programmato invia ogni giorno un rapporto email a una lista di distribuzione (DL).

Tuttavia, quando ho provato a inviare un'email a questo elenco utilizzando la libreria Apache Commons Email , I ha visto il seguente errore:

Your message can't be delivered because delivery to this address is restricted.

Il seguente thread commenti per annullare la verifica della casella di spunta Require that all senders are authenticated - per consentire alla mia e-mail non autenticata di inviare tramite email il DL.

Da un punto di vista della sicurezza, sarebbe corretto deselezionare la casella sopra e aggiungere semplicemente un'eccezione lista bianca per [email protected] ?

In particolare, la mia preoccupazione sarebbe se qualcuno avesse inviato un'e-mail a questo DL, ma includesse un collegamento dannoso.

Forse informare i destinatari del DL che l'e-mail del rapporto non includerà mai alcun collegamento sarebbe utile? E se lo fa, allora dovrebbero avvisarmi immediatamente.

    
posta Kevin Meredith 29.12.2016 - 18:20
fonte

1 risposta

1

Forse tu puoi sapere se nel tuo caso d'uso va bene o no che il DL accetta posta per fonti non autenticate, ma certamente I non posso!

Ad ogni modo, hai molte opzioni di sicurezza:

  • consente a qualsiasi mittente di scrivere sulla lista senza autenticazione - bassa sicurezza dato che chiunque sia a conoscenza del DL può inviare qualcosa lì
  • consentire solo un mittente al DL. Gli attaccanti dovranno falsificare l'indirizzo del mittente per postare, ma non è così difficile - una sicurezza leggermente superiore ma non così elevata
  • consente solo un elenco limitato di mittenti autenticati. Bel livello di sicurezza, ma suppone che il tuo motore di report sia in grado di autenticarsi.
  • non proteggere l'invio di posta, ma firmare - i destinatari dovrebbero semplicemente controllare la firma della posta

Se si tratta di un DL riservato e le informazioni non sono davvero critiche, sei da solo. Detto diversamente, se il rischio è basso, anche la sicurezza può essere bassa. In qualsiasi altro caso d'uso (dati importanti o DL a diffusione ampia) è necessario firmare la posta o autenticare i mittenti (o entrambi)

    
risposta data 29.12.2016 - 18:46
fonte

Leggi altre domande sui tag

Una chiave pre-condivisa trapelata rende vulnerabile la negoziazione iniziale di IKE in fase 1 di Diffie Hellman? come creare script senza dipendenza? [chiuso]