Пока я проводил некоторое тестирование на SMTP-сервере, мне удалось успешно отправить почту с knownid@myserver.com на knownid@myserver.com через telnet без какой-либо аутентификации. С точки зрения риска, я считаю, что это серьезная проблема. Но у некоторых есть представления, что SMTP устроен таким образом. У кого-нибудь есть мысли?
Вы явно не знаете, как работает SMTP.
Отправка электронной почты К ваш сервер для ВАШ домен не требует аутентификации.
Отправка электронной почты ЧЕРЕЗ ваш сервер для ДРУГОЙ домен требует (или должен требовать) аутентификации.
Предполагая, что тестируемый вами SMTP-сервер настроен на обработку myserver.com, это совершенно нормально.
Почта передается с сервера на сервер без аутентификации. Вот как работает SMTP. Только тогда, когда вы ожидаете, что сервер будет пересылать почту в другое место для вас, вам может потребоваться аутентификация.
Любой желающий может подключиться к почтовому серверу, который обслуживает конкретный домен, и напрямую отправить электронное письмо пользователю в этом домене. Если бы это не сработало, вам пришлось бы настроить имена пользователей и пароли для hotmail, gmail, yahoo и нескольких миллиардов частных почтовых доменов. Это просто не сработает.
Это вызывает беспокойство, если он разрешит ретрансляцию в домены, которые НЕ должен обрабатывать. Если вы подключаетесь к этому серверу и отправляете электронное письмо на адрес somethingelse@notmyserver.com, вам необходимо либо быть в его локальной сети, либо сначала пройти аутентификацию.
Также не имеет значения, какой электронный адрес отправляет. Хотя некоторые меры защиты от спама помечают электронные письма, отправленные извне с использованием адреса отправителя, который должен приходить только с сервера, как спам.