邮件发送和接收协议的问题

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 4319 天前的主题，其中的信息可能已经有所发展或是发生改变。

我们知道SMTP协议用来发送邮件，比如[email protected]，通过自己的帐户认证就可以从[email protected]到[email protected]；我们还知道POP协议用来检索自己的邮箱信件。

问题来了

1、gmail在收到用户通过smtp协议发送的邮件后，肯定转发到domain.com的smtp服务器上，那么domain.com的服务器是不是不需要来自Gmail服务器的认证信息（因为domain.com没法确认来自[email protected]的邮件是不是本人发出），直接明文发送内容为from ... to... Subject... Content这样的邮件。

2、如果domain.com需要来自gmail邮箱的身份确认，那么确认的机制是什么（SSL只能认证对方的身份，自己主动连接对方服务器的时候出示client的证书）？

3、如果无法确认，是不是可以这样理解，gmail用户发送到gmail服务器通过的是SMTP协议，并且有身份认证，但是两个电子邮箱服务器之间，虽然也是使用SMTP服务器，但是没有身份认证？

4、如果3是正确的，那么我是不是可以直接使用SMTP协议，伪造一个 [email protected] ，然后直接发送到 [email protected] ？

com

Gmail

domain

10 条回复 • 1970-01-01 08:00:00 +08:00

sunsongxp

2013-01-18 15:48:13 +08:00

更新下，是smtp.gmail.com不是[email protected]

cloudcn

2013-01-18 16:01:09 +08:00

关键是怎么伪造呢？
就像伪造ip一样，说起来简单。

BOYPT

2013-01-18 16:16:25 +08:00

SMTP服务器之间没有严格的身份认证机制，因为协议太古老，必须向下兼容，只有通过一些侧面去猜测是不是，最常见有是：

1. domian.com发来SMTP的来源IP，和domian.com的域名解释是否相近；
2. 来源IP是否可以revert-dns查询到记录；
3. domian.com是否包含SPF记录；

BOYPT

2013-01-18 16:17:55 +08:00

这些属于反垃圾邮件规则了，因为最开始的SMTP发信就是随便扔的，垃圾邮件泛滥后才开始有这些规则出现，但是SMTP依然不变。

sunsongxp

2013-01-18 16:25:00 +08:00

感谢@BOYPT的回复，我刚才找到一篇博客

http://php.js.cn/blog/smtp-mail/

上面写明了，原来接受方的mail server会检查发送方mail server的DNS记录中spf记录，比如文中例子：

“首先需要设置 php.js.cn 域名的 txt 记录为：v=spf1 ip4:173.230.145.228 ~all 。意思是增加一个spf记录，允许173.230.145.228ip发送邮件。邮件服务器收到邮件的时候会检查这个。”

这样一句话就解释了所有问题