Wir hatten Schwierigkeiten, unsere E-Mails mit Netcore (früher Pepipost) korrekt zu versenden. Zusammenfassend lässt sich sagen, dass die von uns mit ihrem Dienst generierten E-Mails die Reply-To-Adresse in die From-Adresse einfügen.
Als wir sie darauf aufmerksam machten, erhielten wir folgende Antwort. Wenn jemand die Richtigkeit dieser Aussage bestätigen kann, würden wir uns freuen.
—————
Wir haben mehrere Testrunden durchgeführt und hier sind die Beobachtungen:
Problemstellung
Wenn Discourse eine SMTP-Verbindung mit einem externen ESP (z. B. Netcore, Mailgun oder anderen) herstellt, sendet es die Antwortadresse (z. B. reply+reply_id@reply.mamapedia.com) im From-Feld der E-Mail während der Injektion.
Diese Konfiguration wird nicht von Netcore gesteuert, wie in den von uns zuvor geteilten Protokollen gezeigt. Insbesondere verwendet Discourse dieselbe Konfiguration, wenn es sich mit anderen Plattformen verbindet.
Ergebnisse
- Domain-Validierung durch Netcore:
- Netcore validiert, ob die From-Domain in Ihrem Netcore-Portal aktiv ist.
- Test mit nicht existierenden Domains:
- Wir haben versucht, E-Mails mit nicht existierenden Domains wie messages1.mamapedia.com und messagestest.test.com über Mailgun zu versenden. Diese E-Mails wurden zugestellt, obwohl die Domains nicht dem Mailgun-Konto hinzugefügt wurden. Die Test-E-Mails sind als Referenz beigefügt. Dies kann ein ernstes Sicherheitsproblem darstellen.
- Im Gegensatz dazu verfügt Netcore über eine zusätzliche Sicherheitsebene zur Betrugsprävention. Wenn eine inaktive Domain (nicht in Ihrem Netcore-Konto validiert) eine Anfrage sendet, wird die Anfrage abgelehnt.
Diese zusätzliche Sicherheit hilft, Szenarien zu verhindern, in denen ein bösartiger Akteur Ihre SMTP-Anmeldeinformationen verwenden könnte, um E-Mails von nicht autorisierten Domains zu senden (z. B. apple.com, gmail.com oder etwas anderes).
