现在,如果有人购买了该域名并创建指向自己邮件服务器的mx记录,他就可以阅读我所有的机密电子邮件人们向我发送邮件是正确的吗?
不,我无法告诉他们停止发送机密邮件,因为我无法与他们联系。
有防止这种情况的方法还是我唯一的选择就是在死之前支付域名费用?
#1 楼
现在,如果有人购买了该域名并创建指向自己邮件服务器的mx记录,他可以阅读别人正确发送给我的所有机密电子邮件吗?
如果他们注册域名,他们将收到从那时起发送给它的所有电子邮件。他们将无法追溯访问以前发送的电子邮件。没有什么可以从根本上防止这种情况发生。
是否有办法防止这种情况发生?或者,我唯一的选择就是在死之前为该域名付费?
您可以要求与您联系的所有联系人都使用您的公钥来加密与PGP的通信,这将阻止以后获得该域的任何人阅读新消息,但是这要求人们实际使用PGP,这不太可能如果您要将地址分配给名片中的普通人。但是,如果您维护或至少续订了20年,那么任何人都有可能认真地将电子邮件发送到如此古老的地址?
我在Law Stack Exchange上问了一个问题,是否可以向使用您域名的人提供任何法律追索权,答案是否定的:https://law.stackexchange.com/q/35917/15724
评论
除非OP已经碰巧拥有一个,否则注册商标的费用要比注册域名的费用高得多。
– Federico Poloni
19年1月3日,9:53
@FedericoPoloni您不需要明确注册商标。只需在徽标或短语旁边使用商标符号(™),您将在许多国家获得一定程度的保护。但是,获得注册商标(®)确实要花钱。但是,缺少注册商标可能会阻止您在美国根据15美国法典§1117要求赔偿,并且保护会更弱。另请参阅此处。
–森林
19年1月3日,9:55
防止他人注册域名的商标保护有其局限性。它将与lego.newtld对抗,因为Lego是一个全球性品牌和注册商标,尽管在创建newtld时他们可能必须声明它以确保拥有它。即使有一家名为Speterson的商标公司,它也可能不适用于speterson.com。如果史蒂文·彼得森(Steven Peterson)注册了该商标并将其用于与该商标没有冲突的事物,那么Speterson公司将没有简单的案例。
–弯曲
19年1月3日,10:21
“他们将无法追溯访问以前发送的电子邮件。”该声明应该带有一些警告。假设OP在某个地方有一个Webmail帐户,该帐户与该域绑定以便进行密码恢复。除非OP非常确定要从Webmail帐户恢复过程中删除该电子邮件地址,否则控制域可能会使攻击者控制该Webmail帐户,从而可以访问该Webmail帐户中存储的所有旧电子邮件。现在,这是否是一个特别可能的场景?我会说不。但这是可能的。
–用户
19年1月3日在16:28
@ hiburn8那是不正确的。有专门针对此类情况的域名争议流程,并且恶意使用域名(例如,从lego.com出售假乐高玩具)显然是将域名从其当前所有者手中夺走的原因。
–mbrig
19年1月3日在20:25
#2 楼
正如其他人已经提到的那样:是的,保留域名是确保没有人会收到发送到那里的电子邮件的唯一方法。话虽如此:
仅保留域名通常比使用域名便宜
当然,一切都取决于提供商,但据我了解,您目前拥有1种以上的服务(域名,重定向?,电子邮件服务器?,托管空间?)。
当您唯一的目标是阻止他人接收您的电子邮件,仅续订域名就足够了,您可以避免任何其他服务的费用。
#3 楼
假设有人肯定会购买您的域名,因为域名搜寻器试图锁定并转售人们忘记续订的价格过高的域名。不需要MX记录即可将邮件传递到某处。感谢@Criggie,如果未设置MX记录,则邮件传输代理将尝试指向该域的根A记录并打开一个连接到其25号端口。因此,响应新买家的Web服务器还必须具有邮件服务器的功能。
现在,我们需要估算某人有效监视电子邮件地址的可能性。
我个人认为,除非您是一个值得出于人类利益而定位的人,否则买方公司最好的办法就是只是出于不必要的批量广告目的(即垃圾邮件)抓取发件人的电子邮件地址。不检查真实内容。
更新:非科学统计信息
我尝试对过去拥有的5个域执行ping操作。其中有一家在2015年被一家看起来像对域名有意义的公司收购了,并且他们创造了MX记录。其他4个都不存在。
是否有办法防止这种情况出现?或者我唯一的选择就是为直到死之前支付域名费用?
宽限期一词
表示逐渐停用该域。暂时保留它,例如续订2年,但也许会建立自动回复(或自动拒绝)电子邮件,例如
Greetings,
电子邮件地址me@mydomain.tld的使用期限为[现在]。谨请您更新通讯簿,然后再次将电子邮件发送至me@mydomain.biz。
为了保护双方的隐私,请务必尽快实施此更改。
最后一句话说明了问题,但对于非安全专家而言,很难理解。
我希望发送到mydomain.tld的电子邮件会逐渐减少。不要忘了立即更新您的名片并开始使用新名片。
最终,在宽限期到期后,仍然会有人(可能只有少数人)使用您的旧电子邮件地址。怎么办?
这就是数学的来历:将旧域名的终身拥有总成本与万一在未经授权的情况下泄露机密邮件给您带来的经济损失进行衡量。我说您的损失是因为,如果您的客户/发件人是一个混蛋,并且不断将敏感材料发送到错误的地址,则可能与您无关。
评论
我个人从一开始就不喜欢这个问题。 ISP(包括发件人)拥有对纯文本电子邮件的完全访问权限,法律可能会要求其中的某些保留数月或数年(“数据保留”)记录。最后,纯文本电子邮件不是处理敏感内容的最佳选择。
最终,我们信任主要的ISP来保护我们的隐私。我们相信他们能够...
评论
确实,纯文本电子邮件远非理想,但至少需要主动攻击或特权才能访问内容。但是任何人都可以在域名过期并被释放后对其进行注册。
–森林
19年1月4日在21:26
请注意,如果域名的名称服务器未使用特定的MX记录进行答复,则MTA应该尝试连接到域的根A记录(如果有)。域抢注者经常会指向根域和www。在网络服务器上作为广告托管。
–松脆
19年1月5日在10:27
#4 楼
域名丢失实际上是我在“野外”看到的最大的安全漏洞之一。它可能不会在Blackhat上对研讨会的话题进行评级,但是这种威胁具有巨大的表面积,对业务有很高的影响,当我向一个小型组织的董事会通报情况时,这种威胁就位居榜首。
因此,如果您认真对待域名,请计划将其保留一生。如果您不重视域名,请不要在上面加上电子邮件。如此简单。
不要像对待年度订阅那样对待您的(严重)域名。
域名可以提前10年进行预注册。我自己的域名将于2025年到期,因此我变得草率。 :)很久以前,我会重新审视它,并将其再次推向最大。当我调查小型企业的域到期时,我发现只有大约一半的企业将过期超过2年。
域名的销售方式鼓励您将其视为杂志订阅或Netflix会员,并认为它们可以随时更新。他们失效,一个月后返回,发现有人为该域名的现金价值注册了该域名。
此问题通常是由于人们将其域名注册与虚拟主机捆绑在一起引起的。域名每年仅需12美元。他们通常会“免费赠送”带有昂贵的$ 180至$ 600 +托管计划。这对于网络托管服务商来说非常好,因为他可以控制您的域,并且可以在发生计费争议(例如由于社交媒体爆炸而导致带宽超支2000美元)时将其赎金。如果您在错误的30天期限内使Web托管失效,则该域名可以永久消失。托管人不在乎,为什么他们会花一天多的时间把钱存入注册表中?
他们如何通过盗窃域名获利
当您让域失效并且宽限期结束时(以毫秒为单位),至少有十二个不同的参与者的自动化脚本会触发它,所有脚本都试图做同样的事情。这就是它们的作用。
能够利用自然流量(链接和书签)到您的网站(以及保持的任何Google / Bing流量)获利(在其上投放广告)。
,以受益于您的网站多年来通过搜索引擎获得的PageRank和其他指标。在Web的链接经济中,来自信誉良好的站点的链接价值不菲。网络垃圾邮件发送者使用此工具来增强其垃圾邮件,骗局或糟糕的网站。
通过直接在您的域名上托管垃圾内容来欺骗Google。
利用恶意软件,Flash或PDF漏洞攻击等来攻击网站的自然/搜索访问者。他们通常使用较旧的漏洞攻击来锁定不更新系统的人员。
一家小公司丢失了一个网站,该网站以其早期内容重新出现。真。目的是说服Google以前的所有者仍处于良好的控制之下,因为(他们假设)Google知道要注意内容的突然更改。添加了几页广告Acai Berry药丸。看看这是如何工作的?该网站比公司的新真实网站好几年了。*通常,网络垃圾邮件散布者的操作规模要大得多,并带有成千上万的门户页面,但是这个家伙是小土豆。
拦截电子邮件到您的站点只是为了收集电子邮件地址。
要使用他们对您电子邮件的控制来进行密码重置/控制您的Web帐户。当这些供应商发送例行促销电子邮件时,他们会在较小,受保护程度较小的供应商处发现您的帐户。
通过人工电子邮件筛选到您的站点,以寻找欺诈游戏或社交黑客的机会。
#5 楼
是的,所描述的方案是可能的。例如,谷歌在2015年失去了对google.com的控制权,而微软在2003年凭借hotmail.co.uk失去了控制力。那些域名被购买了。对于Google的情况:...他还收到了电子邮件,其中包含内部信息,自从向Google的安全团队报告以来,他一直在使用该信息。Ved说。
/> ...不过,他对Google.com的运营是短暂的。 Google Domains
一分钟后取消了销售...
对于Microsoft来说,他失去了对电子邮件服务域的控制权,可能使成千上万的情况陷入了上述状况:
[Microsoft]设法联系hotmail.co.uk的新所有者,对他们的错误感到沮丧,并弄清了问题所在。根据所有帐户,hotmail.co.uk将在几天后退回。
确保机密电子邮件不泄漏的唯一方法是拥有无限期地域。但是,如usr-local-ΕΨΗΕΛΩΝ所述,如果机密电子邮件泄漏和长时间拥有该域的成本,您可以在可能造成的损失之间进行权衡。
实际上,您可以做的是更换您在注册站点上具有到期域的电子邮件。另外,通知您的联系人避开您的旧电子邮件(或域,或两者兼而有之)。
作为另一步骤,请保留该域一年或五年,并故意对您的MX记录进行黑洞处理,以便没有收到(或无法得到)备忘录的发件人会被错误打招呼。对于Gmail,示例为
#6 楼
是的,新所有者将能够接收和阅读您的所有电子邮件。避免这种情况的唯一方法是继续为该域名付费。不必保留主机-只需要支付域名。如果您预付款10年,则.com域的价格约为90美元或更低。重要的是要记住10年后的有效期和密码。如果该域不是com / net / org,则价格会更高。#7 楼
有什么方法可以防止这种情况,或者我唯一的选择就是在死之前为域名付费?
取决于谁托管了您的电子邮件,您也许可以设置自动响应器。
通常可以使用某种休假响应器。
如果是新邮件,请回复“此帐户不再有效,请将您的电子邮件重定向到.....”或“此服务不可用”。不再可用,请停止发送电子邮件。“
与假期响应者相同。
https://tools.ietf.org/html/rfc1846
521不接受邮件(请参阅rfc1846)
我不知道是否可以配置邮件服务器以执行521响应。
大约一年后,无论如何,每个人都应该明白这个主意,并停止发送电子邮件。
#8 楼
所有技术方面的问题都已经得到解决,但只是在上面稍有不同就可以了...如果搬家,您会将邮件重定向到新地点,但不是无限期地。最终,您必须假设任何重要的人都知道您的住所并可以向您发送邮件。而且,如果他们不这样做,那么发送到旧地址的邮件可能会被其他人打开。
我建议旧域也是如此-更改您的回复地址,以便新域,保留足够长的时间,以便能够回复在那里向您发送邮件的任何人,并尽力与您想要保持联系的每个人进行联系。
最终,该邮件发送到旧域名将毫无滴漏,在这种情况下的某个时候,您将很乐意停止重新注册该域名。
如果那一刻再也没有,那么您将有机会就像其他人所说的那样,永远保留域名。
评论
轶事:我确实收到了针对我目前住所的先前居民的纸质邮件,至少在他们离开后十年有余,每年都有。大约五年后,我不再费心将其退回USPS并丢弃了。
–dave_thompson_085
19年1月10日,11:14
评论
约14美元。对于一个学生来说还是差不多。但是,谢谢您的回答。我可能还需要再花5年的时间,然后我才能让它过期。一年14美元可算不上什么。在10年内支付140美元,算不了什么(您永远不会成为学生!)。每三个月只有一天一次放弃一杯咖啡,它会无限期收回成本。
您是否考虑过再花几年时间并设置“不在办公室”或“休假自动回复”,说该域名将在X年后失效?这是我与Google离婚时对Gmail帐户所做的事情。它不能保证100%,但是有多少人可能5年不联系您,然后在那之后突然联系您?我想这取决于是现实生活中的问题还是仅仅是学术问题。
@SkiddieHunter用于发送信用卡信息的电子邮件从来都不是明智的选择。网站应使用基于TLS的HTTP GET / POST来交换信用卡信息。对于学生时期的副业,您确实应该使用诸如PayPal之类的东西,而您根本不需要知道或接触客户的信用卡信息。即使您继续拥有该域,电子邮件也从来不是一种安全的信息交换方式。传输路径上任何地方的任何人通常都不会对其进行加密和查看。另外,SMTP大约有37年历史了,不到50岁。:)
@SkiddieHunter:回复:“为什么没有废除电子邮件,而用例如基于安全性的更新更好的东西代替电子邮件?”您如何期望保留标识符的所有权,而无需某种等同于域名注册的系统,就可以通过几十年来永久的方式来访问标识符?仍可以访问25年前注册的域中的电子邮件地址。老实说,您是否会从任何提供旨在替代电子邮件的私人控制笑话服务的人那里得到这种帮助?