Netcore(旧Pepipost)を使用してメールを正しく送信するのに苦労しています。彼らのサービスで生成しているメールは、返信先アドレスを差出人アドレスに入れています。
この件を彼らに指摘したところ、次のような返答がありました。この記述の正確性を確認していただけると幸いです。
—————
複数回のテストを実施した結果、以下の点が確認されました。
問題提起
Discourseが外部ESP(例:Netcore、Mailgunなど)とSMTP接続を確立する際、メールの送信時に「From」フィールドに返信先アドレス(例:reply+reply_id@reply.mamapedia.com)を送信します。
これは、以前共有したログに示されているように、Netcoreによって制御される設定ではありません。注目すべきは、Discourseが他のプラットフォームに接続する際にも同じ設定を使用していることです。
調査結果
- Netcoreによるドメイン検証:
- Netcoreは、「From」ドメインがNetcoreポータルでアクティブかどうかを検証します。
- 存在しないドメインでのテスト:
- Mailgun経由で、messages1.mamapedia.com や messagestest.test.com のような存在しないドメインを使用してメールを送信するテストを行いました。これらのメールは、ドメインがMailgunアカウントに追加されていなくても配信されました。テストメールは参考のために添付します。これは深刻なセキュリティ問題となる可能性があります。
- 対照的に、Netcoreは詐欺防止のための追加のセキュリティレイヤーを備えています。無効なドメイン(Netcoreアカウントで検証されていないドメイン)からリクエストが送信された場合、そのリクエストは拒否されます。
この追加されたセキュリティは、悪意のある攻撃者がSMTP認証情報を使用して、不正なドメイン(例:apple.com、gmail.com など)からメールを送信できる状況を防ぐのに役立ちます。
