С помощью CDO.Message я могу отправлять электронные письма с любого адреса электронной почты компании. Это нормально или это дыра в информационной безопасности?
Это кажется небезопасным, но я не знаю, нормально ли это для компаний, которые используют общий сервер и имеют SMTP. Это что-то стандартное или в информационной безопасности есть дыра, о которой я должен кого-то уведомить?
2 ответа
Я использовал это в моих тестовых сценариях. Например: у меня есть один, который скажет мне, когда хост подключается к сети, так что мне не придется сидеть там и смотреть пинг.
Мне разрешено делать это в качестве администратора Exchange, поскольку я разрешил iP анонимному доступу моего компьютера к нашему серверу клиентского доступа (Exchange 2010).
Все остальные узлы требуют базовой проверки подлинности SMTP. Если бы они не использовали его, им бы не разрешили.
При этом возможно, что вам предоставляется это право в зависимости от того, какой у вас IP или подсеть. В конечном счете, это то, что должно контролироваться ИТ, хотя вы можете отправлять почту, как хотите, что может быть опасно.
Нет, я не думаю, что это было "нормально" в течение многих лет. SMTP-серверы обычно требуют аутентификации для предотвращения спама. Например, посмотрите эту десятилетнюю статью Microsoft: http://support.microsoft.com/kb/324285.