最近,当我在某个网站上订阅电子邮件时事通讯时,我很惊讶没有收到确认电子邮件。当然,我也将我的邮件别名注册到时事通讯中,以验证它是否是预期的行为。它是。
这让我想知道 - 不要求订阅用户确认他们的订阅有什么危险和缺点?
我可以想到一种可能的情况:
发送服务器/网站可以这样被攻击吗?在什么情况下这会导致网站被列入发送电子邮件的黑名单?
这会导致与在源或目标服务器周围部署的类似 IPS/IDS 的系统相关的问题吗?例如,考虑到目标邮件列表将专门使用@company.com 域,并且攻击者想要破坏被攻击的网站/服务器向上述公司发送电子邮件的能力?攻击者将执行攻击,company.com 的服务器会将邮件来自的邮件服务器/域列入黑名单。有没有考虑的可能?
最后——你能想到这可能带来的其他安全问题吗?
在无法取消订阅公司通讯的情况下,我看到了其中一种可能的不便。攻击者以编程方式订阅了许多真实用户。该公司像往常一样向订阅用户发送时事通讯。一些自己没有订阅的用户可能会使用时事通讯中包含的正确链接取消订阅。有些人可能只是将邮件移至垃圾邮件。然后,攻击者可以(定期)确保所有目标用户都再次订阅。
但我不确定这种攻击的效率以及它对被攻击公司造成真正法律后果的可能性有多大。尽管如此,该公司最终可能会发送大量垃圾邮件。
在德国,如果您不使用双重选择加入,您会遇到额外的合规问题。从安全角度来看,您的担忧是正确的。但是:对于这种威胁,您无能为力。当然,您可以阻止类似 DDoS 的自动注册,使用验证码尽量避免自动注册,只允许签名和发件人授权的电子邮件......即使这样,您也无法避免风险。攻击者总是可以通过使用虚假电子邮件发件人地址进行虚假注册来扰乱 / ddos 用户。他可以通过以您的名义发送垃圾邮件,将您的服务器列入任何黑名单。他不需要你的服务器。目前,我们正面临着一大波垃圾邮件浪潮,其中包含完全欺骗的发件人地址。并且收件人总是知道发件人。幽灵般的...
我认为,如果公司受到攻击并且发送了成千上万封电子邮件通讯,我能想到的主要影响之一就是公司将遭受的声誉损害。
一是公司无法保护自己免受攻击,二是人们因收到他们不想要的垃圾邮件而对公司形成负面看法。