¿No es seguro permitir que aplicaciones distintas a Outlook envíen correos electrónicos a través del servidor de Exchange?

Question

¿No es seguro permitir que aplicaciones distintas a Outlook envíen correos electrónicos a través del servidor de Exchange?

#1 de AviD (2 votos)
#2 de Graham Hill (0 votos)

2

Mi aplicación es un cliente .NET Windows Forms, una de cuyas funciones es permitirle al usuario enviar correos electrónicos personalizados a los destinatarios registrados almacenados en la base de datos.

Los correos electrónicos se envían utilizando las clases .NET System.Net.Mail, desde el equipo cliente en el que está instalada la aplicación, directamente a un servidor SMTP dentro del firewall del cliente.

El cliente asegura este relevo por:

especificando las computadoras que tienen permiso para enviar los correos electrónicos

y opcionalmente por:

especificando que la aplicación cliente proporciona credenciales de usuario / contraseña.

De unos 30 clientes, uno está descontento con este acuerdo debido a que:

si la máquina cliente se infectara con un malware adecuado, sería posible que las computadoras permitidas actuaran como retransmisores de correo no deseado.

Ahora, me doy cuenta de que, en teoría, el software malicioso que contenía un esmerilador de contraseñas podría romper las credenciales del usuario / contraseña. Sin embargo, Outlook ya está permitido en los equipos cliente, por lo que no entiendo por qué (dada la existencia de bibliotecas como el canje de Outlook), si se permite que Outlook envíe correo es seguro, permitir que la aplicación de mi empresa envíe correo sea menos segura .

Apreciaría cualquier puntero.

Editar:

Gracias por las respuestas hasta ahora ... si pudiera agregar un adicional:

Me he dado cuenta de que un par ha señalado que Outlook no usa SMTP. Sin embargo, tampoco Outlook Redemption , una biblioteca de clases COM perfectamente legítima que permite, AIUI, comunicación MAPI autenticada a los servidores de Exchange.

Entonces, si el malware que se había apoderado de la máquina cliente podría finalmente eliminar una contraseña y omitir (al igual que la Redención de Outlook) el modelo de objetos de Outlook, y por lo tanto la seguridad de Outlook contra el acceso programático, ¿no podría causar una gran cantidad de estragos? / p>

Mi pregunta realmente no tiene mucho que ver con la seguridad absoluta, claramente eso nunca se puede lograr, es si existe una preocupación acerca de la obtención de malware, ¿por qué mi aplicación autenticada sería menos segura que Outlook?

email spam smtp

pregunta ChrisA 24.02.2012 - 11:11

fuente

2 respuestas

Lea otras preguntas en las etiquetas email spam smtp

Restricción de IP de Tomcat frente a OAuth de dos patas Pago con tarjeta de crédito de iPhone

score 2 · Answer 1

Su cliente no está equivocado, o mejor dicho, podría no estarlo.

Si no hay un requisito de contraseña, cualquier usuario o aplicación en esa computadora puede enviar correos electrónicos, lo que quieran, tanto como quieran, a quien ellos quieran.
Pero incluso más que eso, pueden enviar los correos electrónicos from a quien ellos quieran. P.ej. del CEO, o vicepresidente de recursos humanos, o ...

Por lo tanto, la autenticación siempre debe ser un requisito.
Además, aunque esto puede estar fuera de su alcance, su servidor de Exchange debe ser reforzado, para que nunca permita conexiones no autenticadas.

Ahora, ¿es suficiente una contraseña?
Depende ... ¿puede el malware utilizar mal su aplicación para falsificar y / o hacer spam a través de su intercambio? (Lo más probable es que la respuesta sea sí, ya sea a través de modelos de objetos, DDE, reflejo .NET o incluso simplemente robando la contraseña de su aplicación del almacenamiento).

Con respecto a Outlook, a mi entender, el modelo de objetos requiere la aprobación del usuario antes de enviar correos electrónicos desde aplicaciones externas.

En pocas palabras, puede hacerlo más difícil, pero no imposible, pero no es necesario, ya que el spam ya es bastante barato de generar incluso sin usted, solo debe hazlo lo suficientemente difícil.

score 0 · Answer 2

Si desea controlar quién transmite SMTP a través de un servidor Exchange, tiene dos opciones:

tener una lista blanca de direcciones IP permitidas
restringir la retransmisión solo a conexiones SMTP autenticadas

Si ya tienes ambos encendidos, has agotado los controles técnicos en Exchange. Si queda demasiado riesgo residual, hay que buscar en otra parte.

Outlook no (normalmente) usa SMTP para enviar correo a un servidor de Exchange, por lo que los controles en la retransmisión SMTP son irrelevantes para él, pero el principio general también se aplica a Outlook: si alguien toma el control de un cliente máquina, podrían usarlo para enviar spam.