Temos tido dificuldades em enviar nossos e-mails corretamente usando o netcore (anteriormente pepipost). Para resumir, os e-mails que geramos com o serviço deles colocam o endereço de resposta no campo de remetente.
Ao chamarmos a atenção deles, esta é a resposta que recebemos. Se alguém puder confirmar a precisão desta declaração, agradeceríamos.
—————
Realizamos várias rodadas de testes e aqui estão as observações:
Declaração do Problema
Quando o Discourse estabelece uma conexão SMTP com um ESP externo (por exemplo, Netcore, Mailgun ou outros), ele envia o endereço de resposta (por exemplo, reply+reply_id@reply.mamapedia.com) no campo De do e-mail durante a injeção.
Esta configuração não é controlada pelo Netcore, como mostrado nos logs que compartilhamos anteriormente. Notavelmente, o Discourse usa esta mesma configuração ao se conectar a outras plataformas.
Achados
- Validação de Domínio pelo Netcore:
- O Netcore valida se o domínio de remetente está ativo em seu portal Netcore.
- Teste com Domínios Inexistentes:
- Testamos o envio de e-mails usando domínios inexistentes como messages1.mamapedia.com e messagestest.test.com através do Mailgun. Esses e-mails foram entregues, embora os domínios não estivessem adicionados à conta do Mailgun. Os e-mails de teste estão anexados para referência. Isso pode ser um grave problema de segurança.
- Em contraste, o Netcore inclui uma camada adicional de segurança para prevenir fraudes. Se um domínio inativo (não validado em sua conta Netcore) envia uma solicitação, a solicitação é rejeitada.
Esta segurança adicional ajuda a prevenir cenários em que um ator malicioso poderia usar suas credenciais SMTP para enviar e-mails de domínios não autorizados (por exemplo, apple.com, gmail.com ou qualquer outro).
