用网易邮箱二十年了,最近这些年垃圾邮件越来越少,还是很满意的。但是今天收到的一个垃圾邮件,让我觉得有些诧异。
刚才发现一封名为《系统退信》的邮件,通常说来这种名称的邮件我都会当作垃圾邮件看都不看一眼直接删,但是因为今天是登录的邮箱网页版,所以看到发件人是网易的图标、地址是 [email protected] 时,我还是点进去看了一下。然后就觉得真的很有趣了:1 、这真的是网易系统邮件; 2 、退信时间是今天 04:59 ,我在睡觉的时候。虽然觉得自己密码不太可能泄漏,但还是立刻在邮箱的自主查询处检查了邮箱的使用情况,结果当然是今天清晨并没有登录和发信的记录。
我下载了被“退回”的邮件,并直接查看源码。邮件内容很简单,但是我发现“Return-Path”字段是我的邮箱地址,这似乎不太寻常。查了一下这个字段的资料,发现确实是可以被用作垃圾邮件攻击的方法,事情这下就清楚了,网易在拒收这个垃圾邮件时,给伪造的 Return-Path 发送了退信通知,从而将邮件内容以这种非常规的方式送达了他想要的收件人。
我还发现,很多年前在网上就有人在讨论网易邮箱的这个问题了(比如 https://www.zhihu.com/question/19816712 ),所以为什么网易还有这样的空子可以被钻呢?
1
ztmzzz 2023-12-19 11:28:33 +08:00 via iPhone
刚刚发现我也收到一封一样的垃圾邮件
|
2
lisxour 2023-12-20 09:55:05 +08:00
网易邮箱的团队我都不想说了,我很早以前提过反馈,加一个纯文本回复的功能(邮件直接回复 github issue ,不支持任何 html 代码,所以需要纯文本写信息),从来没有回复过,就像漂流瓶沉入大海一样的感觉。
|