2020-12
16

免费午餐的噩梦

By xrspook @ 16:51:53 归类于: 烂日记

从前的世界,邮箱地址就是一切,注册所有东西都必然从邮箱地址开始,所以注册一个邮箱很重要,想一个邮箱的用户名也很重要。一开始我用的是163的邮箱,然后换成了雅虎中国的邮箱,接着雅虎中国挂了,貌似邮箱变成了阿里云的。当时的阿里还没有现在这么强大,我对那一点都不感兴趣。过后的一段日子,貌似我一直都在用奇妙的邮箱,但是Gmail的邮箱从一开始就注定了中国人几乎用不了。一开始很难注册,能比较容易注册的时候登录就得用技巧了,一切都是那么的艰辛。接着,我开始自己建立网站,有了域名,所以我选择了域名邮箱。免费的域名邮箱网易跟腾讯都有,在试用过两边的邮箱以后,我选择了网易的。因为其实在那之前我已经用过好长一段时间163和126的邮箱了。过去好多年,我把自己的域名绑在了网易的免费企业邮箱上,我甚至已经忘记了当初有没有把我的手机绑定进去,但估计需要这么做吧。

昨天我无意之中到我的域名邮箱看看,一个醒目的网易标题把我吓到了,打开进去,内容更是让我震惊。因为邮件是说我的邮箱被禁止了发送邮件的功能,原因有3,我觉得大概是第3条,因为我发送了大量垃圾邮件。但我为什么会发送大量垃圾邮件呢?上个月底到现在,我根本就没有发送过任何邮件,网易的企业邮箱每个月通常我只用一次,在月尾的最后一天。于是我就到发件箱里面一看,简直震惊。里面有183封邮件,打开最新的一封,果然是个广告。那你显示发送的第一封邮件是12月9日。从邮件的标题就知道,我肯定是被破解了。上面有我的邮箱地址,密码和163的邮箱端口。第一封邮件是a1,第二封邮件是test。第二封邮件用的是163的另外一个邮箱端口,收件人是同一个东西。第三封也是一个测试邮件。邮件的内容很正常,就是一些无聊的测试东西,但是不是垃圾的范围。这三封邮件以后的,180封全部都是卖药的英文垃圾邮件。先是12月9日,然后是12月11日,最后一封垃圾邮件发送于12月15号凌晨1点多,北京时间哦!这几封邮件的操作时间一律都是在北京时间的凌晨。毋庸置疑,我的邮箱肯定是被破解了!为什么邮箱会那么容易被破解?就一个账号,给你个密码就能做所有事。官方当你做了这些事到了一定程度的时候突然给你一个禁止邮件,他们是不是应该当那些垃圾邮件发送到一定数量比如说20或者50封的时候就暂停我的发送功能,必须要我去激活才能继续发送呢?他们没有给我账号登录地点的提醒以及垃圾邮件的垃圾发送提醒。同时,邮箱的后台也无法设置不允许通过163端口的方式接发邮件。同样邮箱的登录,除了密码以外,没有任何保护手段/没有验证码,没有二步登陆,也没有其它保护措施。如果我的邮箱被盗,能怪谁呢?与其说163被伤害了,不如说是客户被伤害了,客户的东西放在那里,他们有义务保证客户资料的安全。某封邮件里面把邮箱地址,密码以及所有端口信息都写成标题,为什么这种如此敏感的东西他们居然允许发送出去呢?!正常情况下,这些东西是应该被截留。如果对方真的要这么干的话,他们起码得通过其它绕一点的手段,而不是这般赤裸裸。

我不知道现在被完全禁用发信功能的邮箱还能做什么?只是收信吗?如果只能收信的话,起码我还能接收各种验证码,但显然,还用这个邮箱接收验证码会非常危险。但如果不用这个邮箱的话,我应该用什么邮箱呢?什么邮箱是安全的呢?很多东西理论上他们应该为客户着想,但实际上他们没有。如果可以把邮箱的所有东西全部都保存导出,我愿意注销那个在163的免费企业邮箱。

163的免费邮可以设置禁止端口也有二步验证,但免费企业邮箱里却没有,里面甚至连取消代收邮件的按钮都是实效的。用了这么多年网易的免费企业邮箱,现在我才明白到自己有多危险……

PS:今天我彻底注销了腾讯的企业邮箱管理账号

2018-06
22

我们都要成长

By xrspook @ 9:37:02 归类于: 烂日记

折腾了一个下午的社区动力到后台发验证邮件。结果最终还是没办法用SMTP的功能。傍晚去练篮球之前,我开通了PHP发送邮件,那是推荐使用,的确可以发邮件,的确那些邮件也可以收到,但问题是qq邮箱除外。这是相当恶心的一件事!社区动力是腾讯的。用户注册时先用邮箱认证是一个阻挡垃圾注册的最好方法,但问题是QQ邮箱用户都收不到,这怎么整啊!这些邮件用163的普通邮箱、163的免费企业邮箱,gmail都收到了,但发送给QQ邮箱的却毫无音信。这真的是好大一盘棋啊!关于邮箱的设定,以前我也有做过,因为在我的WordPress里就设置了只要我做了回复,系统就会发一封信给评论的人。至于他们有没有收到,我就不知道了。最早的时候,我试过用自己的邮箱测试,是可以收到的。因为有这个功能,所以,在我blog评论的人只要我回复了,他们又有正确填写了邮箱地址,就能理论上收到我的回复。我一直觉得这个功能非常简单。但经过一个下午加一个晚上的尝试以后,我觉得这实在太难了。之所以这次社区动力会这么困难是因为这关系到钱,而且是很多很多钱,如果只是一个普通的blog,一天的评论无论如何都是有一定量的,虽然累积起来成千上万也很正常,但问题是对一个论坛来说,一天发成百上千封的邮件太正常了尤其是被攻击的时候。所以在进行邮箱认证的时候我觉得非常有必要用上白名单。设置白名单以后基本可以挡住非常多国外的垃圾注册。

连续两天早上起来我都发现论坛被刷屏了,第一天被刷了5000个回复以上,第二天被刷了500个以上。被刷5000的时候,我怀疑是不是因为我之前修改了后台的设置,把每小时的发帖量就改成了每天。但第二次当我把原设置改回去以后,还是发生这种事,我简直无语了。因为这种事是在六个多小时以内发生。也就是每个小时80个回复以上,而防灌水设置里面其实也写得明白,超过120秒才能再次进行发帖或者回复,也就是两分钟。所以理论上一个小时顶多只能发30贴。我不知道那个用新浪邮箱的人到底是如何做到的,他为什么要这么做,而且他为什么只在一个版块里做这种事。显然,我觉得他一定是用了非常规的手段。要堵住这种漏洞,我们要把论坛的后台升级。我觉得很暴力的做法之一是禁止要新浪邮箱的新注册用户。一开始我们的设想是把注册用户限定为QQ邮箱和gmail,但后来发现QQ邮箱简直就是悲剧中的战斗机。直到晚上很晚的时候,我才发现原来一直负责这个东西的人根本不知道我们的服务器状况,不知道哪些端口是开通的。不知道端口状况又怎么可能设置SMTPNE 发送邮件呢?!好不容易我翻回邮箱里好几年前我注册印坛的内封激活邮件,是他们从新浪邮箱里发出来的。当时我第一次尝试的是163的企业邮箱,但收不到邮件,所以就用了QQ邮箱。当时他们的论坛后台用的是phpwind。一直以来,他们都用得很顺手,直到现在换成了社区动力就撞墙了。之所以这样,我觉得一定程度是因为他们用得太顺手了,所有东西都变得理所当然,但实际上,他们自己并没有搞懂其中有些为什么会那样。我们的进步总是在不断的逼迫下发生的。

我需要成长,印坛的那些老管理员也需要成长。

© 2004 - 2024 我的天 | Theme by xrspook | Power by WordPress