Мы сталкиваемся с трудностями при отправке писем через Netcore (ранее Pepipost). Если кратко: при генерации писем с помощью их сервиса адрес для ответов (reply-to) помещается в поле «От кого» (From).
Когда мы обратились к ним с этой проблемой, получили следующий ответ. Будем признательны, если кто-то сможет подтвердить точность этого утверждения.
—————
Мы провели несколько раундов тестирования, и вот наши наблюдения:
Формулировка проблемы
Когда Discourse устанавливает SMTP-соединение с внешним ESP (например, Netcore, Mailgun или другими), он отправляет адрес для ответов (например, reply+reply_id@reply.mamapedia.com) в поле «От кого» (From) при вставке письма.
Эта конфигурация не контролируется Netcore, как показано в логах, которые мы ранее предоставили. Примечательно, что Discourse использует такую же конфигурацию при подключении к другим платформам.
Результаты
- Проверка домена со стороны Netcore:
- Netcore проверяет, активен ли домен в поле «От кого» в вашем портале Netcore.
- Тестирование с несуществующими доменами:
- Мы протестировали отправку писем через Mailgun с использованием несуществующих доменов, таких как messages1.mamapedia.com и messagestest.test.com. Эти письма были доставлены, несмотря на то что домены не были добавлены в аккаунт Mailgun. Тестовые письма приложены для справки. Это может быть серьезной уязвимостью безопасности.
- В отличие от этого, Netcore добавляет дополнительный уровень защиты для предотвращения мошенничества. Если запрос отправляется с неактивного домена (не подтверждённого в вашем аккаунте Netcore), запрос отклоняется.
Эта дополнительная защита помогает предотвратить ситуации, когда злоумышленник может использовать ваши SMTP-учётные данные для отправки писем с несанкционированных доменов (например, apple.com, gmail.com или любых других).
