【发布时间】:2014-10-15 13:11:59
【问题描述】:
我将构建一个 lil' 应用程序 (PHP/MySQL),它将接收转发的电子邮件并提取一些数据。如何检查转发的电子邮件是否真的来自原始来源/电子邮件服务器并且没有被篡改?例如,第三方公司 Foo, Inc 和 Sprockets, LLC 将他们的日常数据通过电子邮件发送给用户,然后该用户将该每日电子邮件转发到我的应用程序/系统。我想确保他们向我发送了原始电子邮件,并且没有向我发送包含经过处理的数据/统计信息的重新创建的电子邮件。
【问题讨论】:
-
由于您没有与要验证的源的连接,并且没有发送散列以允许您进行验证,因此我不确定是否存在这种方法。为什么不让他们连接他们的 Foo/Sprockets/Whatever 帐户直接向您发送电子邮件?
-
您需要对原始邮件进行数字签名。
-
如果没有更多信息,您的问题将无法解决。如果没有关于信任边界的任何信息,您唯一可以信任的就是您自己的系统。在这种情况下是否有您可以信任的外部系统,它们是什么,以及消息何时从其他受信任的来源传输到不受信任的区域?如果您有 DKIM 等,您可以做这些事情,或者至少对它们进行推理,但我发现很难相信在这种特殊情况下存在定义明确的受信任的另一方。
-
所以没有马马虎虎或穷人的做法吗?即使通过检查电子邮件标题中的几件事?