V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
shijingshijing
V2EX  ›  程序员

网易邮箱会劫持 Apple ID 验证邮件

  •  2
     
  •   shijingshijing · 2022-03-20 15:29:53 +08:00 · 6532 次点击
    这是一个创建于 977 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前面已经被这个垃圾坑过一次,清理了一次银行信用卡账单等重要账户绑定,改成了其他邮箱。没想到在 Apple ID 上还是翻车了。

    这次 Apple 要重新验证账户,选了邮箱验证,用的也是网易自家的邮件大师接收的,居然强制要求 Web 登陆,不知道是什么样的脑回路想出这样的业务逻辑,没有十年脑血栓搞不出这样的风控措施。下次估计强制要求手机 App 登陆什么妖蛾子都给你整出来。

    回复估计也有说为了安全考虑的,其实也没必要,历史上网易邮箱就不知道被脱了几次裤子了,现在是你的 Web ,你的 App ,你的桌面应用反正都是你自家的,还提示安全什么的,呵呵。现在真不知道是你自己的桌面客户端更安全,还是你的 Web 页面更安全,还是你的手机邮件大师 App 更安全。而且我也没看微软 Outlook ,Protonmail 什么的三天两头要你装这个,绑定那个,真心就是垃圾,不用洗也没得洗。

    而且撇开安全不说,网易肯定是扫我这封邮件内容了,我真谢谢你。

    45 条回复    2022-03-22 21:08:55 +08:00
    x86
        1
    x86  
       2022-03-20 15:34:01 +08:00   ❤️ 18
    我收垃圾站邮箱验证就用的网易,垃圾配垃圾,完美
    SingeeKing
        2
    SingeeKing  
       2022-03-20 15:34:54 +08:00 via iPhone
    尊敬的用户,我们的电脑客户端不如网页版安全,请以后尽可能使用网页版查看邮件。
    dingwen07
        3
    dingwen07  
       2022-03-20 15:41:01 +08:00
    强制要求手机登录可以是 希望提升手机 app 用户的比例
    但是要求用网页版登录应该只是为了防止那种解激活锁的奸商
    毕竟强制网页没有什么利益

    绝大多数邮件提供商为了反垃圾都会扫描邮件,你要不用 GPG S/MIME 不然真没办法
    当然“劫持”邮件内容太容易引起争议了,就算要做也应该是 SMTP 不返回这封邮件,并在第一次触发的时候给用户发邮件提醒,绝对不应该篡改邮件内容。
    shijingshijing
        4
    shijingshijing  
    OP
       2022-03-20 15:41:29 +08:00
    @x86 我这个号大概是 1999 年就申请 了,解除各种绑定确实是需要一段时间,里面还有高考,考研报名,毕业照等各种有记念意义的邮件,都是过眼云烟了,现在是铁了心与这个垃圾决裂。
    Damn
        5
    Damn  
       2022-03-20 15:48:12 +08:00
    网易是真不行了,前段时间用家里的容器里搞了一个监测网页变化的程序,本来说启用一下 smtp ,用来做通知用。
    结果因为我绑定的 GV ,提示发送频繁还是超出限制来着,不给开启。
    Damn
        6
    Damn  
       2022-03-20 15:49:02 +08:00
    @Damn 后来注册了一个没被墙的国外邮箱,秒秒钟设置成功。。
    Dvel
        7
    Dvel  
       2022-03-20 15:56:19 +08:00
    网易让你上网不易
    skiy
        8
    skiy  
       2022-03-20 15:56:42 +08:00
    我一直都用 outlook.com 。网易邮箱太多广告了。
    客户端用网易大师还不如用阿里邮箱。

    ---

    另外,目前正在将邮件绑定的账号改绑到个人邮箱。对互联网服务的保障性有点担心。当然,域名也有可能被停止解析,但可控。

    Yahoo 邮箱把中国大陆 IP 注册(或登录)的邮箱还是简体中文注册的邮箱一刀切,关停了。gmail 都没有这么干。
    juggtt213
        9
    juggtt213  
       2022-03-20 16:02:31 +08:00   ❤️ 1
    我感觉网易收不到任天堂,ea 等游戏公司的邮件
    FrankHB
        10
    FrankHB  
       2022-03-20 17:27:32 +08:00
    @shijingshijing 我 1999 年注册的号隔几年就不存在,敢情直接给我吃了……
    bsfmig
        11
    bsfmig  
       2022-03-20 17:38:49 +08:00 via iPhone
    @skiy 是邮箱账户也关掉了,还是不再允许大陆 ip 访问邮箱了(挂代理可以)呢?
    shijingshijing
        12
    shijingshijing  
    OP
       2022-03-20 18:04:21 +08:00
    @bsfmig 账户自动注销,邮件全部删除,网易的 ToS 里面写的,几个月不登陆就自动执行骚操作,当然也有一定几率不执行。
    bsfmig
        13
    bsfmig  
       2022-03-20 18:24:48 +08:00 via iPhone
    @shijingshijing 哦,我想问的是雅虎,抱歉没说清楚。
    skiy
        14
    skiy  
       2022-03-20 18:33:04 +08:00
    @bsfmig 是关停了(不过关停之前的邮件通知)。我当时是挂梯子去注册的,但可能是将地区设置为“中国”了。界面也是用中文。

    当时是打算寻找 gmail 和 outlook 外的其它平台的邮箱作备用的。后来,还找到了个 mail.com 。不过听说 mail.com 也一样会直接关停中国大陆的账户。

    我现在担心将来,中美真正交恶时,gmail 和 outlook 也会因为美国管制的问题,直接关停中国的用户。
    lecia
        15
    lecia  
       2022-03-20 19:45:07 +08:00
    mail.com/gmx.com 国内 ip 的账号会被 ban
    x86
        16
    x86  
       2022-03-20 19:50:07 +08:00
    @lecia #15 我的 @usa.com 用了 1 年左右被 ban 了,19 年注册的
    lafuerza
        17
    lafuerza  
       2022-03-20 19:52:42 +08:00
    @skiy 我用 mail.com 好几年了,没出过问题啊。难道是因为我都用梯子的原因?
    nG29DOMuRYTWfcSr
        18
    nG29DOMuRYTWfcSr  
       2022-03-20 19:59:51 +08:00
    我曾经 GitHub 账号密码忘记了,当时用网易邮箱进行验证找回,结果验证邮箱直接拒收了,我也无法回复,后来好不容易找回账号,果断放弃继续使用 163 邮箱了。
    sickoo
        19
    sickoo  
       2022-03-20 20:07:49 +08:00
    @SingeeKing 这真顶啊,我都没注意到这个点
    yhxx
        20
    yhxx  
       2022-03-20 20:09:41 +08:00   ❤️ 8
    这个应该是真的为你好
    正常为了自己的推广都会要求你下载桌面端、装手机 APP 才给用
    这个应该是怕你设备丢了邮件发过来弹出一个通知直接把验证码暴露了
    yincheng
        21
    yincheng  
       2022-03-20 20:11:51 +08:00
    国内还是 QQ 邮箱吧,矮个子里拔高个。
    bsfmig
        22
    bsfmig  
       2022-03-20 20:24:14 +08:00
    @skiy Outlook 或许?但 Gmail 的话……现在就是全程梯子,也不好分辨啊。而且似乎这两家到现在都还没有关俄罗斯的用户。
    Tianao
        23
    Tianao  
       2022-03-20 20:26:54 +08:00
    @x86 #1 绝了,可惜现在垃圾站都改手机短信验证了。
    nbndco
        24
    nbndco  
       2022-03-20 20:33:16 +08:00   ❤️ 1
    网易这么做是有道理的,倒不是为了逼大家用网页或者 app 。

    网易的安全么,过去可以说是没有(现在就不知道了),被拖了多少次库也不知道了(一个明文存密码的公司,安全肯定是完全没有的),所以当年是有一大堆 iPhone 用网易邮箱当 Apple ID 被锁的例子的(先用网易邮箱找回 Apple ID 密码)。所以网易就逼着不得不做二次验证,但是 imap/pop3 肯定是没法二步验证的,所以当年还全部禁用过,想要重新登陆必须手机验证+改密码。估计现在网易也没缓过来,所有的关键邮件就全部都要通过能够二步验证的手段。
    nbndco
        25
    nbndco  
       2022-03-20 20:35:05 +08:00
    这个邮件大师肯定是不支持按邮件进行二步验证的,所以就被拦住了
    lecia
        26
    lecia  
       2022-03-20 20:50:44 +08:00
    @x86 注册 ip 要欧洲或者北美,平时登录 ip 也必须是这些地区的,如果好长登录时间 ip 是国内会被封,尝试也很难解封,据说是因为大量外贸之前注册了非常多的 mail 邮箱,用来发垃圾邮件,然后被 ban 了(未考证)
    ZE3kr
        27
    ZE3kr  
       2022-03-20 21:03:54 +08:00 via iPhone
    网易就是个笑话 https://v2ex.com/t/834980#reply10
    shijingshijing
        28
    shijingshijing  
    OP
       2022-03-20 21:20:57 +08:00
    @nbndco 我琢磨着,他自己这个邮件大师不也是 web 套壳?自己的客户端都不信任,手机 App 也不行,到头来还是 Web ,综合来讲 Web 被劫持更容易吧,客户端弄个私有协议啥不是国内流氓软件的常规操作么?自己的私有协议都不信任?更不谈这个客户端有多垃圾,邮件列表上一页下一页都没有,按时间排序没有,整个残废,还要这么多乱七八糟的玩意儿干嘛?当初还非得绑定这玩意儿重新激活帐号,现在又当个废品不信任,真是脑子有病。
    nbndco
        29
    nbndco  
       2022-03-20 21:30:40 +08:00
    @shijingshijing 他不是不相信客户端的安全性,他是被拖库拖到已经没法用用户名+密码的方法来验证用户身份了。平时就装疯卖傻装自己还安全,但是敏感邮件这样就要出事。所以用什么方式不重要,重要的是要支持二步验证,而这个邮件大师还没实现这个功能。你也说了这个邮件大师做的烂,估计就没资源去做二步验证。
    skiy
        30
    skiy  
       2022-03-20 21:42:06 +08:00
    @bsfmig 我主 outlook 。gmail 之前界面有广告,也丑。今天登 gmail 改密码,新版比之前的清爽多了。inbox 最美观,可惜关停了。

    谁知道呢,“万一”这事,挺难讲的。假如冲突加剧,谁知道会不会有下一波制裁。而且如果被相关政客注意到,企业也是没办法不做的吧。

    再者,假如俄罗斯被切断西方互联网了,那也 GG 了。未雨绸缪吧。假如因政治原因,域名被域名商 hold 了,还能去跟 ICAAN 申诉。
    archean
        31
    archean  
       2022-03-20 22:41:36 +08:00
    @shijingshijing 其实邮件发进来被修改正文内容时是在网关等边缘设备上,理论上是不知道你后面看邮件是在什么终端的。
    我认为大概是这样的逻辑:考虑到你看邮件时可能在第三方客户端里,或者用类似 POP 等通用协议下载的邮件,所以只能给一个它认为最安全的查看途径。
    楼上也有人说了,这样做其实没有什么好处,所以从这件事上来说,网易邮箱应该不是在作恶。
    jim9606
        32
    jim9606  
       2022-03-20 22:54:00 +08:00   ❤️ 4
    @shijingshijing
    因为担心下发的邮箱验证码直接推送到被盗的 iphone 上了,即使是自家的邮件大师也没法控制推送是否一定不会把正文内容显示在锁屏通知上,小偷可能可以通过恶意重设 apple id 解除 iphone 锁机。Web 版至少保证不会把正文暴露在锁屏通知上。

    网易肯定要扫你的邮件内容的,至少反垃圾反病毒需要这个吧?而且使用协议肯定有约定。?顺带一提 Gmail 也这么干。

    而且图里这个其实是网易给你发了一封特殊的邮件,至少发件人是网易不是 Apple ,原始邮件并没有丢失。

    另外,这算是说明了不能拿邮箱+手机当成 2FA 验证的原因,这些所谓的多因子很有可能都等于手机这一个因子,例如手机验证码+邮箱验证码(但可以用手机验证码登录)=手机单一因子。
    TossPig
        33
    TossPig  
       2022-03-20 23:42:27 +08:00   ❤️ 3
    还有给网易这种操作洗地的?简直丧心病狂~

    手机号不说了,成本内只有用三大运营商的

    但邮箱这种东西,还是用域名邮箱靠谱,国内外厂商没个是干净的

    我现在的方案是

    一个 com 的域名一年也就六七十块钱,随便挂靠一个服务商,现在挂的 google apps ,前段时间说要收回,现在有没消息了。要跑的时候,直接改解析,再换一个地方挂靠,不涉及资料迁移。

    邮件客户端也不用服务商的,用黑群晖的 mailplus ,送了 5 个授权,自己也就只用一个够了。

    服务商只是帮我收发信,数据都在群晖上,由 mailplus 管理

    mailplus 也设置好收信,防止措手不及的时候,先临时挂在群晖上,免得丢信

    设置好 catch ,域名邮箱下,所有的邮件归你,每注册一个网站,就换用户名,数据泄露,也大概能猜到谁被脱裤了

    比如今天的日志,tuodou 、178 ,嗯嗯,又是开心的一天

    shijingshijing
        34
    shijingshijing  
    OP
       2022-03-21 00:09:48 +08:00
    @jim9606 你这样说的话,所有手机 App 都有这个问题,除非是 App 绑定手机号和手机号对应 sim 卡分离,特别是国内这些热衷于扫码登陆的大环境下。

    只能说是安全这一块各个做的都是一泡污,支持 2FA 什么的国内也是认死理只支持手机验证码,其他 yubikey 什么的也没见哪个互联网大厂正儿八经支持过,倒是银行都有支持 USB Key 。

    我们本不需要如此恶心,反正后面我都转到自建+Protonmail 上去了,爱咋咋地。
    tomari
        35
    tomari  
       2022-03-21 00:19:00 +08:00
    三年前网易邮箱大师有一次把我的邮件全部搞乱了,之后就再没用过。。现在用 gmail+spark 。。
    Damn
        36
    Damn  
       2022-03-21 00:57:34 +08:00
    @TossPig mailplus 就是个网页版的邮件客户端?截图里的日志怎么回事?
    bsfmig
        37
    bsfmig  
       2022-03-21 01:09:18 +08:00 via iPhone
    @skiy 我用一部分 Outlook ,然后全时段挂代理。
    hanksun
        38
    hanksun  
       2022-03-21 03:09:22 +08:00
    网难邮箱
    Zien
        39
    Zien  
       2022-03-21 03:23:17 +08:00
    我注销都注销不了😵‍💫
    TossPig
        40
    TossPig  
       2022-03-21 08:38:00 +08:00
    @Damn

    mailplus 是一个群晖提供的套件,准确的说是服务端和客户端都有,客户端除了网页版也提供手机 app ,支持 pop 收信,最初是想着家里翻墙,出门手机节约电不翻墙也能及时的收 gmail 。
    参考介绍 https://www.synology.cn/zh-cn/dsm/feature/mailplus

    日志截图就是被扫描了,随手看了两个 ip 一个美国,一个俄罗斯

    我在注册网站的时候,习惯性填写邮箱为网站的二级域名,作为邮箱号来收验证和通知邮件

    比如 https://tudou.com/ ,我就用 [email protected] 去注册

    同时,我的域名 mx 记录里面有一段为了快速跑路指向我 mailplus stmp 服务的记录

    有人买到了的社工库里有 [email protected] 的地址,以及我在 tudou 的密码,就肯定想能不能爆我邮箱嘛,都是程序扫,没特别智能,因为有做了 catch-all ,tudou 并不是我邮箱的登录账号,所以日常就能在 mailplus 里看到这样的日志
    totoro625
        41
    totoro625  
       2022-03-21 09:11:48 +08:00
    @TossPig 你好,查询了你的 MX 记录,4 个都是 Google Workspace 的 MX

    mailplus 收信是如何配置的?

    以及“为了快速跑路指向我 mailplus stmp 服务的记录”是怎么设置的
    shuspieler
        42
    shuspieler  
       2022-03-21 11:50:05 +08:00
    @totoro625 同想知道最后那个怎么设置的
    kingfalse
        43
    kingfalse  
       2022-03-21 15:03:29 +08:00
    网易:客户你好,我是你爹
    TossPig
        44
    TossPig  
       2022-03-22 08:46:34 +08:00
    @totoro625 在子域名里面已经有 v 友试了
    emma3
        45
    emma3  
       2022-03-22 21:08:55 +08:00 via Android
    几乎网易一出免费邮箱我就开始用了。许多年之前就要求绑手机号码,绑的是我之前的手机,我也没去管,反正不怎么影响使用,因为基本都是用来注册帐号用,不重要。去年某天,突然 imap 收信失败,android 和 ios 设备都一样。于是登上网页看看到底怎回事,好家伙,直接没任何提示,把我 imap 收信关了。想打开?验证手机吧,手机号换了有 10 年不止了。申诉?要装什么 APP ,还要真人手持身份证拍照等待审核,才“有机会”‘取回?算了,这个邮箱对你网易这么重要,那我还是还给你吧。转头我就在 VPS 研究邮件服务器怎么部署了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1340 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 17:41 · PVG 01:41 · LAX 09:41 · JFK 12:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.