来自域的电子邮件是否可以确定电子邮件来自实际域网站的所有者？

Question

发一封love@AnExampleReputedBank.com 之类的电子邮件，可以假定肯定来自该域 WWW.AnExampleReputedBank.com ? 或者任何黑客都可以从任何域发送任何电子邮件？

这个问题很难解释，所以让我解释一下我要解决的问题案例。

我正在为我的可配置应用程序制作包管理器。我将允许每个人为我的应用程序发布他们的包，这样用户就可以通过下载包来为应用程序添加新功能。为了解决命名空间冲突的问题，我使用的是域名。[例如。 AnExampleReputedBank.com]

为了让我的最终用户知道某个包来自经过验证的用户 [AnExampleReputedBank.com 的实际所有者]，我将针对该包提供经过验证的勾选标记。

如果我的系统收到来自 admin@AnExampleReputedBank.com 的电子邮件以及验证码，则可以为包裹获取验证标记。

这是否足以确保包来自原始包管理器[对于 AnExampleReputedBank.com 的域所有者]？

Answer 1

没有。

发件人地址是电子邮件发件人在“发件人”字段中写入的任何内容。它与邮寄的物理信封背面潦草的寄信人地址一样可靠。

有一些方法（例如 DKIM）可以确保电子邮件是由有权从该域发送电子邮件的人发送的，但这并不能证明该域的所有权。我有一个 Gmail 帐户，但我当然无法控制 gmail.com。

大多数验证域所有权的尝试使用Let's Encrypt 使用的方法：

要启动该过程，代理会询问 Let's Encrypt CA 它是什么 需要做才能证明它控制着 example.com。让我们 加密 CA 将查看正在请求的域名并发出一个 或更多的挑战。这些是代理的不同方式 可以证明对域的控制。例如，CA 可能会给 代理可以选择：

• 在 example.com 下配置 DNS 记录，或
• 在http://example.com/ 上的知名 URI 下配置 HTTP 资源