我看到人们可以假装自己来自 example.org 公司的风险。

Rfc2142描述了联系组织人员时使用的 Internet 邮件地址，例如，abuse@example.org 以报告服务器的不当公共行为，例如发送垃圾邮件。其他特殊的邮件地址是 postmaster 或 webmaster。

如果有人可以使用这些地址之一，则存在有人可以冒充管理用户的风险。由此产生的风险取决于人们对这些用户的信任程度。因此，我将确保不可能使用 Rfc2142 中定义的用户名。

除了他们可能发送垃圾邮件的可能性之外？

发送电子邮件的能力与接收电子邮件的能力不同。因此，消除这种风险是微不足道的。但是，这确实意味着在您能够确保整个服务的安全性之前，您需要学习很多东西 - 并且可能更多地支持这里的问答。

然后是您是否打算提供从服务器检索邮件的能力（和设施）（您可以只提供转发）或读取服务器上的邮件的问题。

在不了解基础设施和服务细节的情况下，不可能列举出同时运行 Web服务和电子邮件服务所产生的所有问题（与邮件服务的潜在问题的单独列表和邮件服务的列表相反）网络服务）。

我可以立即想到的几点：

• 电子邮件地址不得包含管理员、root、master、abuse 或 owner（非详尽列表）或您的语言中的等效项
• 电子邮件地址不应在您的系统上提供帐户连接（通过 ssh、telnet 或 ftp）（不应存在具有该名称的真实用户）
• 电子邮件地址不应授予对系统上共享资源的访问权限

这是为了保护用户的技术系统

其他几点：

• 您永远不应该以可逆格式存储密码，而只能以哈希形式存储它们
• 您应该清楚地确定谁可以从系统访问邮箱
• 您应该向您的用户提供一份合同，说明您的职责、允许他们做什么、您如何处理他们的数据（用户地址、密码、邮件内容），以及谁可以在什么情况下访问它

这是为了保护您免受因未正确保护用户的隐私/机密性或未提供足够的可用性或完整性保证而可能采取的法律行动（免责声明：我不是律师，所以我只是想象中情局三合会的可能影响）