Security

Postfix/Dovecot(ssl)/Apache/Roundcube(non-ssl) 設置如何洩露電子郵件地址?

  • April 28, 2010

我有一個 linux box 電子郵件伺服器,其中 Postfix 作為 MTA,Dovecot 作為 IMAP 伺服器,Apache 使用 Roundcube 作為 webmail。

在我的 /etc/postfix/aliases 中,我有超過一百個不同的別名,它們在我的域中產生了盡可能多的電子郵件地址。我每個網站使用一個地址,因此我可以輕鬆關閉垃圾郵件出沒的地址。

在我進行此設置的半年左右期間,我收到了來自 2 個來源的 3 封垃圾郵件。因為我確切地知道我在哪裡輸入了這個地址,所以應該很容易查明電子郵件洩露的網站和服務。

但是,據我說,這些來源不太可能是電子郵件賣家。讓他們中的一個人兩次出售我的電子郵件?我聯繫了其中一位消息人士,他們堅持認為他們的系統很嚴密。他們建議可能是我的伺服器正在洩漏。

所以,我的問題是:

我的郵箱洩露電子郵件地址的可能性有多大,如何洩露?
  • 我不會在我的系統中的任何地方儲存完全限定的電子郵件地址,除了在我的郵件目錄中。
  • 我使用 SSL 連接到 IMAP
  • 不在網路郵件上使用 https

我唯一能想到的是 SMTP 驗證命令,它允許遠端伺服器檢查電子郵件地址是否有效。請參閱http://www.postfix.org/postconf.5.html#disable_vrfy_command

我從來沒有聽說過 MTA “洩露”電子郵件地址,除非整個伺服器都受到威脅,在這種情況下,他們將獲得您的所有地址,而不僅僅是兩個別名。

我個人覺得更有可能的是:

  1. 垃圾郵件發送者只是隨機尋找一個電子郵件地址
  2. 知道這些電子郵件地址的公司犯了一個誠實的錯誤

當然,沒有公司會承認洩露您的電子郵件地址,但有時這些事情是偶然發生的。也許他們將您在一大塊文本中的電子郵件地址複製/粘貼到網路表單上,或者您的電子郵件地址可能在轉發給地球一半人口的電子郵件的“抄送”部分。

地獄,它甚至可能是世界某個地方的受感染路由器,您的電子郵件碰巧通過了,而有權訪問路由器的人正在掃描數據包以查找電子郵件地址。

總而言之,3 個人垃圾郵件真的不是太糟糕了。要是我們都能擁有那麼一點垃圾郵件就好了。

引用自:https://serverfault.com/questions/136437