Особенность обработки писем роботом быстрого управления
Здраствуйте товарищи !
Я тут в привате интересный вопрос получил
Надеюсь разъяснения будут полезны всем
"Все имена персонажей и события вымышлены и любое
совпадение с реальность случайно" ;)
А кто-такой ACJ пытливые могут все ж догадать
приз - 5.000 очков первому.
s> Я послал письмо отписаться/подписаться на subscribe@subscribe.ru
s> При этом обратным адресом являлось *****@s*****.ru
s> А в поле отправитель стояло acj@*****
s> А робот воспринял это как предложение отписать/подписать адрес
s> *****@s*****.ru на который ничего никогда не было подписано.
s> Ведь если подумать логически, то отправитель желает произвести
s> действие, а поле обратный адрес существует только для того, чтобы туда
s> отправить ответ. Кроме того там в ответе было написано:
s> s> Кто-то, возможно вы, написал письмо с адреса acj <acj@*****>
s> на адрес робота управления подпиской по почте code-unsub@subscribe.ru
s> Такое письмо означает, что требуется ОТПИСАТЬ адрес
s> *****@s*****.ru от информационной рассылки "3DNews".
s> s> получается странная вещь - отписывается обратный адрес, а не адрес
s> отправителя.
видишь ли в чем дело
вот есть письмо от ACJ@***** с обратным адресом HAC@*****
что это должно означать ?
то что ACJ пытается отписать HACc ?
или HAC пытается отписать ACJ ?
так как робот должен на письмо ответить
а адрес ответа задается в Reply-To (при наличии)
то именно адрес из Reply-To и будет считаться "жертвой"
с которой хотят что-то сделать
и именно "жертве" уйдет код подтверждения
Если же жертвой считать From:, а код подтверждения действия
слать (как требует RFC) на Reply-To, то можно похакать чужой адрес
