(散分)sendmail 身份验证漏洞
服务器配置
sendmail+MailScanner+Macfee+spamassassin
sendmail配置是要求身份验证后才可以收发邮件。
现在出现如下问题:
例:机器上有三个用户 分别为 a@123.com b@123.com c@123.com
三个都可以通过身份验证正常收发邮件,现在a用户在outlook里把自己的邮件地址
改为b@123.com 在身份验证那里仍用a的用户名和密码,发邮件给
c@123.com c@123.com收到邮件后看到的地址是a发的,请问如何把验证
姓名和邮件地址结合起来认证。即用什么身份验证的就只能用属于该身份的邮件地址
来发邮件。
问题点数:50、回复次数:13Top
1 楼ruffianly(痞子)回复于 2005-04-03 10:11:33 得分 0
这个问题不能沉下去啊,很多企业服务器都存在这个问题的Top
2 楼msenb(.)^_^(.)回复于 2005-04-03 22:37:55 得分 0
++Top
3 楼rardge(Rardge)回复于 2005-04-04 10:29:57 得分 30
我觉得是不是你想的有些偏了?
你的意思是不是B用户只能用B自己的账号密码来通过验证?但是,身份验证的时候,传送到服务器的只是账号和密码,并不把B用户的email地址传送过去的啊,服务器端也不关心这个。
既然用了A用户的名字和密码来验证,邮件服务器就认为是A用户在发信,这个无可厚非啊。
我是这么理解的。你可以尝试在sina、163上试验,是不是他们也是这样的?Top
4 楼ruffianly(痞子)回复于 2005-04-05 09:18:14 得分 0
我试过的,一般的网站都不接受这样的验证。如果这样的话,公司任何一个员工都可以用领导的邮件地址来发邮件了。Top
5 楼wyj_215(卡诶)回复于 2005-04-05 09:46:14 得分 20
记得以前用SMTP写过一个程序,只要验证通过,收信人的地址正确,发信人的地址可以随便写什么都可以。Top
6 楼fengyv(qjz)回复于 2005-04-05 10:05:36 得分 0
呵呵Top
7 楼MyRee(老大)回复于 2005-04-05 17:04:36 得分 0
接分Top
8 楼ruffianly(痞子)回复于 2005-04-06 11:57:36 得分 0
发件人地址随便填写这是不行的啊,是漏洞来的。要以公司领导名义发一封邮件,通知今天放假,要是大家都走了怎么办?Top
9 楼ruffianly(痞子)回复于 2005-04-08 10:46:30 得分 0
自己顶一下Top
10 楼chnj1981(怡红公子)回复于 2005-04-08 10:51:09 得分 0
upTop
11 楼Stefine(CSDN最菜滴猩猩)回复于 2005-04-08 11:14:57 得分 0
接分Top
12 楼ruffianly(痞子)回复于 2005-04-08 13:08:07 得分 0
分不是问题啊,问题是解决验证的事!Top
13 楼gaoxianfeng(高)回复于 2005-04-08 15:45:30 得分 0
gzTop
