¿Enviar correos electrónicos a Distro List con autenticación?

Navega tus respuestas
1

Hace poco escribí un trabajo programado que envía un informe por correo electrónico a una lista de distribución (DL) todos los días.

Sin embargo, cuando intenté enviar un correo electrónico a esta lista utilizando la biblioteca Apache Commons Email , vio el siguiente error:

  

Su mensaje no se puede entregar porque la entrega a esta dirección está restringida.

El siguiente hilo comentarios para desmarcar la casilla de verificación Require that all senders are authenticated - para permitir que mi correo electrónico no autenticado envíe un correo electrónico al DL.

Desde un punto de vista de seguridad, ¿sería correcto desmarcar la casilla anterior y simplemente agregar una excepción a la lista blanca para [email protected] ?

En particular, mi preocupación sería si alguien enviara un correo electrónico a este DL, pero incluyera un enlace malicioso.

¿Quizás sería útil informar a los destinatarios de DL que el correo electrónico del informe nunca incluirá ningún enlace? Y, si lo hace, entonces deberían alertarme de inmediato.

    
pregunta Kevin Meredith 29.12.2016 - 18:20
fuente

1 respuesta

1

Tal vez usted puede saber si en su caso de uso está bien o no que el DL acepta correo para fuentes no autenticadas, pero ciertamente I no puedo!

De todos modos, tienes muchas opciones de seguridad:

  • permitir que cualquier remitente escriba en la lista sin autenticación: baja seguridad, ya que cualquiera que sepa sobre el DL podría enviar cualquier cosa allí
  • permite solo un remitente al DL. Los atacantes tendrán que falsificar la dirección del remitente para publicar, pero no es tan difícil, un poco más de seguridad, pero aún así no es tan alto
  • permite solo una lista restringida de remitentes autenticados. Buen nivel de seguridad, pero supone que su motor de informes puede autenticarse.
  • no asegure el envío de correo, sino que los firme; los destinatarios simplemente deben controlar la firma del correo

Si se trata de un DL confidencial y la información no es realmente crítica, usted está solo. Dicho de otra manera, si el riesgo es bajo, la seguridad también puede ser baja. En cualquier otro caso de uso (datos importantes o DL de gran difusión), debe firmar los correos o autenticar a los remitentes (o ambos)

    
respondido por el Serge Ballesta 29.12.2016 - 18:46
fuente

Lea otras preguntas en las etiquetas

¿Está usando password_verify ($ password, “”) para bloquear el acceso a una cuenta de manera segura? ¿Cómo debo cifrar una imagen si quiero que se mantenga como una imagen?