¿Cuál es el riesgo de dar a los usuarios direcciones de correo electrónico en un nombre de dominio? [cerrado]

Navega tus respuestas
5

Diga que tengo un sitio web en www.example.org

Por el bien de pintar una historia significativa, digamos que voy a dar a cada usuario una página web en www.example.org/username y una dirección de correo electrónico en [email protected]

¿Cuáles son los riesgos de dar a los usuarios esa dirección de correo electrónico, además de la posibilidad de que envíen correo no deseado?

Para aclarar, en respuesta al comentario. Al principio, me pregunté si tal vez ser capaz de aceptar correos electrónicos en ese dominio podría arriesgar el secuestro del dominio de alguna manera, y luego pensé vagamente que tal vez hay otras formas en que la gente podría fingir que son de la compañía "Example Org", como lo demuestra el hecho de tener una dirección en ese dominio. Por otro lado, no puede ser demasiado arriesgado, supongo, porque distribuir direcciones de correo electrónico es exactamente lo que hacen todos los proveedores de correo electrónico. Es una preocupación vaga, pero no quería no entender completamente los riesgos potenciales antes de implementarlo, por lo tanto, la pregunta a los expertos en seguridad.

    
pregunta Duke Dougal 02.06.2017 - 02:31
fuente

3 respuestas

1

Veo el riesgo de que las personas puedan fingir que pertenecen a la compañía example.org.

Rfc2142 describe las direcciones de correo de Internet que se usarán al contactar al personal de una organización, por ejemplo, abuso @ ejemplo. org para reportar el comportamiento público inapropiado de su servidor como enviar spam. Otras direcciones de correo especiales son postmaster o webmaster.

Si alguien puede tomar una de estas direcciones, existe el riesgo de que alguien pueda hacerse pasar por un usuario administrativo. El riesgo resultante depende de cuánto confíe alguien en estos usuarios. Por lo tanto, me aseguraría de que sea imposible utilizar los nombres de usuario definidos en Rfc2142.

    
respondido por el 40F4 08.02.2018 - 09:28
fuente
0
  

¿Aparte de la posibilidad de que puedan enviar spam?

La capacidad de enviar correos electrónicos es algo diferente a la capacidad de recibir correos electrónicos. Así que es trivial eliminar ese riesgo. Sin embargo, esto implica que debe aprender mucho antes de estar en condiciones de garantizar la seguridad del servicio en general, y tal vez contar con más asistencia que las preguntas y respuestas aquí.

Luego está la pregunta de si tiene la intención de proporcionar la capacidad (y las facilidades) para recuperar el correo del servidor (solo podría aprovisionar el reenvío) o leer el correo en el servidor.

Sin saber más sobre la infraestructura y los detalles de los servicios, es imposible enumerar todos los problemas creados al ejecutar tanto un servicio web como un servicio de correo electrónico (en oposición a la lista separada de posibles problemas con un servicio de correo y la lista para un servicio web).

    
respondido por el symcbean 08.06.2018 - 14:03
fuente
0

Algunos puntos en los que puedo pensar inmediatamente:

  • las direcciones de correo electrónico nunca deben contener admin, root, master, abuso o propietario (no es una lista exhaustiva), o su equivalente en su idioma (s)
  • las direcciones de correo electrónico no deben proporcionar conexión de cuenta (a través de ssh, telnet o ftp) en su sistema (no debe existir un usuario real con ese nombre)
  • las direcciones de correo electrónico no deben dar acceso a los recursos compartidos en su sistema

Esto es para la protección técnica del sistema de los usuarios

Algunos otros puntos:

  • nunca debe almacenar las contraseñas en formato invertible, solo las hashes las forman
  • debe identificar claramente quién puede acceder a los buzones desde el sistema
  • debe proporcionar a sus usuarios un contrato que indique de qué es responsable, qué están autorizados a realizar y cómo procesa sus datos (dirección de usuario, contraseña, contenido de los correos) y quién puede hacerlo. acceder a ella en qué contexto

Esto es para su protección contra posibles acciones legales por no proteger correctamente la privacidad / confidencialidad de sus usuarios, o no proporcionar suficiente disponibilidad o garantía de integridad (descargo de responsabilidad: No soy un abogado, por lo que acabo de imaginar posibles implicaciones de Tríada de la CIA)

    
respondido por el Serge Ballesta 08.06.2018 - 14:23
fuente

Lea otras preguntas en las etiquetas

Los registros WAF muestran la contraseña de texto sin formato y el inicio de sesión en un encabezado POST enviado a través de HTTPS Seguridad general del protocolo de tiempo de red