1
Track13 2023-01-23 08:11:15 +08:00 via Android
我也是,QQ 数字邮箱发给字母邮箱。
|
2
milukun 2023-01-23 09:01:08 +08:00
大概是 2008 年左右,买了一本 Adobe AIR3 开发指南的书,带的光盘里面有个 AIR 发送邮件的 DEMO 应用程序,用那个应用给 QQ 邮箱发送邮件,发件人会显示自己,收件人也会显示自己。
当时我还给同学恶作剧,假装是十年后的他们,给他们的 QQ 邮箱发邮件。 当时我当时也不懂为什么显示的发件人也是收件的邮箱。难道这个 BUG 到现在还没有修复吗 😂 |
3
caomu 2023-01-23 09:06:35 +08:00 via Android
邮件发件人什么的都是可以伪造的,但是也是可以识别出来的,正常的邮箱应该要屏蔽或者放进垃圾箱,QQ 邮箱连这一点都做不好吗
|
4
leonshaw 2023-01-23 09:28:46 +08:00
不是已经放垃圾箱了吗
|
5
fengleiyidao 2023-01-23 09:34:53 +08:00
@caomu 看截图
|
6
salor 2023-01-23 09:36:52 +08:00 via iPhone
|
7
imdong 2023-01-23 09:45:05 +08:00 via iPhone
伪造邮件,可以理解,但是怎么同时泄露数字与别名的?
难道是伪造数字发给数字,被 QQ 邮箱自动转换为别名了? |
8
caomu 2023-01-23 09:45:06 +08:00 via Android
@fengleiyidao 好吧,没注意。放进垃圾箱那就比较合理。毕竟随意拦截等下又可能引起收不到其他邮件。
|
10
Marionic0723 2023-01-23 10:11:26 +08:00 via Android
有意思。我记得折腾域名邮箱的时候看到过,可以出现发件人伪造,但是证书对不上,开一个 dlim ? dmarc ?还是 spf ?反正是身份验证的,加密就好了。我托管在微软上,域名解析交给 Cloudflare ,往谷歌邮箱一发,都是 Pass ,不容易被判定成垃圾邮件,应该不会被伪造了。
|
11
Deplay 2023-01-23 10:19:58 +08:00
@Marionic0723
@caomu @milukun 可以看一下这篇 paper:《 A Large-scale and Longitudinal Measurement Study of DKIM Deployment 》 这个是比较高级的 DKIM 伪造,之前 qq 邮箱甚至连最基本的都识别不了,还一直没修,不知道现在修了没 |
12
Shiroka 2023-01-23 10:38:56 +08:00 via iPhone 1
mail.qq.com 似乎确实不上心,应该把重心转移到 exmail.qq.com 上边了,比如最近上线了 dkim ,算是国内比较靠前的。
|
13
leonshaw 2023-01-23 10:52:11 +08:00
@Marionic0723 配了 DMARC 才会校验 From 和发送方域名一致性。
应该是伪装 hotmail.com 服务器的身份发了这封邮件,看了一下 hotmail.com 的 SPF 是策略 ~all ,qq.com 的 DMARC 是 quarantine ,所以放到垃圾箱是没问题的。 |