qmail中可以冒名发信

雨杉

我现有的qmail系统中有个漏洞，如果知道系统一下用户的密码（因为加了SMTP认证）就可以冒充其他用户进行发信。
举例：
  如果系统中有两个用户aaa@test.com    bbb@test.com
   我知道aaa@test.com
   我就能通过系统以bbb@test.com进行发信。
  
方法是，所有的信息都填bbb@test.com  但在SMTP认证中写上aaa@test.com和密码。
   这样信就能正常发送，对发将会收到bbb@test.com发来的信。


请都大家有什么好的方法堵住吗？

kingboysxf

你试验过你说的那样可以马???

我感觉,,如过你输入的EMAIL地址与验证的不一致的话,,不能发信啊,,,,,,

love100

是的！

akid

以前gladfly写过一个patch是针对这个问题的，使得同一域的邮件转发需要认证，你可以在这个版的精华区找找。

BTW：好久没见到gladfly了，强烈思念中！

雨杉

验证过，完全可以发送！

kingboysxf

linux 还有这中问题?????????????????

xiaohua

感觉QMAIL问题多多

aspbiz

主要是Qmail作者不更新了,

其实,一个软件做出来,总要根据时代做些更新,

很多问题,相对Qmail来说,其实不难,作者不知干什么去了,

把所有补丁合并一下,,再升级一些功能,不就好了吗?

aspbiz

不知道作者以后会不会更新这个软件.

我好象看到过作者说会出2.0版的,

xiaohua

问题作者是个白痴狂人