使用 PHP (5.2.17) 和 PEAR (CVS: $Id: Mail.php 294747 2010-02-08 08:18:33Z clockwerx $) 测试返回路径功能。原因:客户端因未发送的消息而被“失败通知”消息淹没。
我的发现:任何使用 PEAR 的人都可以将任何电子邮件 ID插入到 Header Return-Path 中,并且所有失败通知都会不受限制地路由到该路径!看起来有人可以简单地通过产生一系列消息来淹没一个帐户,这些消息1)针对不存在的电子邮件ID,以及2)将“返回路径”设置为他们不幸的目标。
希望我错过了什么吗?
问问题
178 次