Stiamo riscontrando problemi nell’invio corretto delle nostre email utilizzando netcore (precedentemente pepipost). In sintesi, le email che generiamo con il loro servizio inseriscono l’indirizzo reply-to nell’indirizzo from.
Quando abbiamo portato la questione alla loro attenzione, questa è stata la risposta ricevuta. Se qualcuno può confermare l’accuratezza di questa affermazione, lo apprezzeremmo.
—————
Abbiamo condotto più cicli di test e queste sono le osservazioni:
Dichiarazione del problema
Quando Discourse stabilisce una connessione SMTP con un ESP esterno (ad es. Netcore, Mailgun o altri), invia l’indirizzo di risposta (ad es. reply+reply_id@reply.mamapedia.com) nel campo From dell’email durante l’invio.
Questa configurazione non è controllata da Netcore, come mostrato nei log che abbiamo condiviso in precedenza. In particolare, Discourse utilizza la stessa configurazione quando si connette ad altre piattaforme.
Risultati
- Validazione del dominio da parte di Netcore:
- Netcore valida se il dominio From è attivo nel tuo portale Netcore.
- Test con domini non esistenti:
- Abbiamo testato l’invio di email utilizzando domini non esistenti come messages1.mamapedia.com e messagestest.test.com tramite Mailgun. Queste email sono state consegnate anche se i domini non erano stati aggiunti all’account Mailgun. Le email di test sono allegate per riferimento. Questo può rappresentare un grave problema di sicurezza.
- Al contrario, Netcore include un ulteriore livello di sicurezza per prevenire frodi. Se un dominio inattivo (non validato nel tuo account Netcore) invia una richiesta, la richiesta viene rifiutata.
Questa sicurezza aggiuntiva aiuta a prevenire scenari in cui un attore malintenzionato potrebbe utilizzare le tue credenziali SMTP per inviare email da domini non autorizzati (ad es. apple.com, gmail.com o qualsiasi altro).
