Почтовые серверы, на которые наша почта может не приходить

Milar

Не отправляется почта с маил.ру. А приходит ли с нее?

Тогда технологию смены почты можно дополнить, оставив безопасность.

1. Так называемая "майл.ру фикс": Просьба смены почты-анкета-просьба прислать с mail.ru письмо на ***@motronline.com, указав в теме сообщения игровой логин, а в письме - сгенерированный на сайте код. Почта подтверждена.
2. "Альтернативная отправка". Заводится домен, вида mailfix.motronline.com. Создаем к этому поддомену mx записи для зарегистрированного аккаунта в google (все бесплатно). Почтовые адреса выглядят как ***@mailfix.motronline.com. Если юзер выбрал альтернативный способ, то анкета-отправка на поддомен фикса. На этом поддомене выполняется раз в час perl скрипт, отправляющий почту, где в 1 строке указан адрес назначения.
3. Совершенно альтернативный домен любого названия.

Готов помочь в реализации

polikoliutr

@"Milar":

1. Так называемая "майл.ру фикс": Просьба смены почты-анкета-просьба прислать с mail.ru письмо на ***@motronline.com, указав в теме сообщения игровой логин, а в письме - сгенерированный на сайте код. Почта подтверждена.

Согласен с этим методом,Довольно простой и не запутанный,лично во 2 и 3 случае я ничего не понял:))))))))))^_^,Но мб лучше не код прислать вместе с логгином?А просто заместо кода написать какие были персонажи на аккаунте?

Faderer

@"Milar":

1. Так называемая "майл.ру фикс": Просьба смены почты-анкета-просьба прислать с mail.ru письмо на ***@motronline.com, указав в теме сообщения игровой логин, а в письме - сгенерированный на сайте код. Почта подтверждена.
   Тебе прислать письмо на твой адрес с твоего же адреса? Ну или с любого адреса на майл.ру, даже с вполне валидными клуджами?

Увы, это очень слабая затычка по безопасности смены адреса, и в данном случае предстоит полагаться на знание анкеты и регистрационного емайла.
Т.ч. реальных вариантов для пользователей майл.ру два:

1. менять емайл банальной формной на сайте по данным анкеты и указанию "текущего" емайла.
2. на время "акции" по смене емайлов поднять SMTP-анонимайзер, на каком-нить домене и сетке, с которыми у майл-ру проблем нет. Анонимайзер будет банально полностью вырезать заголовки мотра из письма и отправлять на майлру пиьсмо от имени <!-- e --><a href="mailto:robot@alt-motr.domain.xxx">robot@alt-motr.domain.xxx</a><!-- e -->. Что позволит юзеру получить код (или ссылку) для подтверждения смены пароля и емыла.

Первый вариант потенциально "дыряв".
Второй вариант оставляет на прежнем уровне безопасность аккаунтов, и прозрачен для пользователя.
Да и реализуется на базе того же сендмейла элементарно.
Опять же не думаю, что для админов мотра будет проблемой найти сервер где можно на пару недель поднять сенмейл в этом режиме.

Dangerous Mind

У меня вопрос:
Как можно решить проблему, о восстановлении пароля на форуме мотра? Просто моя девушка разлогинилась, а пароль забыла. Пыталась восстановить через mail.ru , письмо с новым паролем так и не пришло.

Milar

Faderer, при условии, что почта с маил.ру приходит на мотронлайн - написать письмо с почтового адреса, к которому был привязан аккаунт (и только с него) с определенными параметрами кодов. Логин нужен в случае, если на почту зарегистрирован не один аккаунт. А код - как лишняя проверка того, что владелец почты действительно самостоятельно проводит эту операцию. Ничем не менее безопаснее обычного способа. После прихода этого кода становится возможность привязки аккаунта к другой почте.

polikoliutr

Milar, Дело говоришь!Если бы было так-то было бы замечательно,я думаю....вот тока когда это сделают:*(Извените за флуд,но всё таки так и тянет написать:)

Faderer

Milar, еще раз.
Вводная: есть злоумышленник, который знает анкету акка и email к которому он привязан, но не имеет доступа к этому ящику.
Так получилось что ящик - на майл.ру, и злоумышленник хочет его сменить на свой ящик.

Так вот я не вижу принципиальных отличий вариантов:

1. вводим анкету и старый емайл, получем поле для ввода нового емайла
2. вводим анкету и старый емайл, и получаем код подтверждения, который надо отправить на мотр тупо подставив в заголовке в поле "From" старый емайл (естесно через правильный сервер).

Во втором варианте старый емайл вводить придется по любому: на мотре емайлы, если не ошибаюсь, case sensetive: <!-- e --><a href="mailto:vasya@mail.ru">vasya@mail.ru</a><!-- e --> и <!-- e --><a href="mailto:vAsya@mail.ru">vAsya@mail.ru</a><!-- e --> - разные емайлы.

Alamo

@"Faderer":

<!-- e --><a href="mailto:vasya@mail.ru">vasya@mail.ru</a><!-- e --> и <!-- e --><a href="mailto:vAsya@mail.ru">vAsya@mail.ru</a><!-- e --> - разные емайлы.

нет, ето одно название

Nexterum

В ситуации с mail.ru в основном всё уже сказано, но для предотвращения повторов этого хотелось бы предложить ввести возможность указать резервный e-mail, где-то я видел такое...

При регистрации или после ввода анкеты дается возможность указать e-mail на случай потери доступа к основному, который служит только для смены основного, и экстренной блокировки аккаунта при взломе. При смене основного e-mail`а используя запасной высылаются письма на оба ящика, на основной с ссылкой отмены, а на резервный с подтверждением и дается например неделя на отмену, если попытка сменить исходила не от владельца аккаунта.
p.s. сори если непонятно написал

Ruffness

Это все хорошо конечно, но мне непонятно почему так затягивают с решением вроде такого простого вопроса.

Milar

Faderer, ты снова немного не понял суть моего предложения. Смотри:

1. Я зашел на сайт, захотел сменить пароль.
2. Я ввел верно свою анкету. Т.к. motronline определил, что мой почтовый адрес находится на mail.ru он выдал мне страницу, на которой написано: Ваша почта находится на mail.ru. Чтобы продолжить процедуру смены почтового адреса вы должны зайти на почтовый ящик mail.ru и отправить письмо на адрес ***@motronline.com, в теме которого указать ваш точный игровой логин, а в сообщении письма написать в первой строке этот код: ххххххххххххххххххххххххх
3. Я зашел на почту, отправил письмо так как мне сказали.
4. Снова залогинился на сайт, ответил еще раз на анкету. Если мое письмо успешно пришло (тем самым подтвердилось, что я владею почтовым ящиком) открывается второй этап - введение адреса нового почтового сервиса, отправка туда письмо со ссылкой на активацию.
5. Захожу в новый почтовый ящик (письмо пришло - подтверждается что сервис работает должным образом), захожу на ссылку и мой почтовый адрес изменен.

Но, увы, это будет работать только если письма С этого **** майла.ру доходят до мотра. Если нет - програмим другой подход.

Ruffness, как не просто это описывается - на реализацию подобного скрипта нужно, как минимум, неделя. Для всех тестов, идеальности работы, проверки безопасности, гарантированной работы. Если ввести, то оно должно работать как часы, иначе существуют риски взлома аккаунтов, риски получить кучу глюков не верно заполненной бд, кучу убитых аккаунтов. А неделя - еще больше растягивается, ибо надо еще активно заниматься поддержкой и других проблем сервера. Не менее важных, чем эта. Добавить к этому, что мотр - сервис высокой нагрузки и время написания и тестирования любого массового скрипта увеличивается на квадрат. Так что ждите -). Доверяйте своим адмиинстраторам, они точно знают больше, чем все мы и больше знают что и как осуществится. Какая проблема актуальнее. То, что не говорят сроки - нормально. Как сделается - так сделается. В серьезном программировании сроки - самый варьирующийся параметр. Никогда не известно какие сложности и на сколько серьезные могут возникнуть.

Faderer

@"Milar":
3. Я зашел на почту, отправил письмо так как мне сказали.

4. Снова залогинился на сайт, ответил еще раз на анкету. Если мое письмо успешно пришло (тем самым подтвердилось, что я владею почтовым ящиком)
   А вот тепреь расскажи мне, что мешает в этом алгорит в п.3 зайти на СВОЮ/ЛЮБУЮ почту, поменять адрес в поле From на нужный и отправить письмо якобы с адреса майлру.
   Естесно что в п.4 оно будет замечательно полученно сервером, но это не будет означать что ты владеешь этим почтовым ящиком.

Если я тебе сейчас отпавлю письмо с адреса <!-- e --><a href="mailto:president@whitehose.gov">president@whitehose.gov</a><!-- e --> - это значит что я негр?
По ходу это может сделать любой пользователь аутлука или тхебата.
Подделать клуджи чуть сложнее (если на мотре заморочаться их проверкой), но в случае с майл.ру это решается за 3-5 минут.

Milar

Поле from будет какое угодно, а сервер отправителя не изменишь. Эта информация есть в полном тех.отображении параметров письма. Словами - пришло письмо с адресом отправителя ***@mail.ru, отправлено с помощью example.com. Разумеется, если домены не совпадают, письмо не должно приниматься.

Даже в веб-интерфейсе gmail информация сервера-отправителя отображается. На скрине письмо-уведомления с вконтакта, посланное на gmail-ящик. Второй скрин - пересланное сообщение с gmail.com на marsell.ws. Соответственно, в 1 письме отправляющий домен - вконтакте.ру, во-втором - gmail.com. Хотя во-втором случае адрес отправителя письма сохранился.
](link)](link)

Если все равно не согласен, что авторизация однозначная - пришли мне письмо с <!-- e --><a href="mailto:faderer@motronline.com">faderer@motronline.com</a><!-- e --> с сервером отправителя motronline.com на <!-- e --><a href="mailto:guest@marsell.ws">guest@marsell.ws</a><!-- e -->

Faderer

@"Milar":
Поле from будет какое угодно, а сервер отправителя не изменишь. Эта информация есть в полном тех.отображении параметров письма.
В том то и дело, что в случае майл.ру нет проблем отправить письмо с правильной тех. информацией.
В приват расскажу сейчас как

Если все равно не согласен, что авторизация однозначная - пришли мне письмо с <!-- e --><a href="mailto:faderer@motronline.com">faderer@motronline.com</a><!-- e --> с сервером отправителя motronline.com на <!-- e --><a href="mailto:guest@marsell.ws">guest@marsell.ws</a><!-- e -->
Лень возиться - под это мне какой-нить "эксперементальный" сервер поднять надо.
А вот с какого-нить левого mail.ru ящика я тебе пришлю, для этого вполне хватает старых майлрушных дыр и банального the bat.

Milar

Хм... верно. Допускаю то, что маил не только глючный, но и не безопасный

Солнцеворот

Тех.поддержка мэйла в тупую отмазывается и валит вину на мотр...скорее бы решили проблему.

Prokurator

@"Faderer":
Milar, еще раз.

Вводная: есть злоумышленник, который знает анкету акка и email к которому он привязан, но не имеет доступа к этому ящику.
Так получилось что ящик - на майл.ру, и злоумышленник хочет его сменить на свой ящик.

Если человек знает анкету акка - то как он может оказаться не владельцем акка? Если бы это был злоумышленник, то откуда он узнал ответы на вопросы анкеты, подобрал что ли? Я всегда думал, что анкета как раз для того и нужна, что однозначно идентифицирует владельца акка, чтобы в случае чего восстановить права на аккаунт.

Shraik

Обратитесь в службу поддержки mail.ru для устранения проблем с доставкой наших писем на ваш ящик - это ответ мотра
мы не будем заниматься решением проблемы - это ответ mail.ru
выход есть!
Создавайте новые аккаунты на нормальных почтовиках и качайтесь заново!

Солнцеворот

Возник вопрос(в этой теме я не разбираюсь)...удержаться не смог:
На сколько реально\проблемно создать хостинг для почты @motronline.com для обычных пользователей и произвести принудительный\добровольный перевод регистраций мэйл.ру>мотр.ком?

Must Die

Написано много букв...но нет ни слова со стороны администрации...
о1 или ruro оповестите нас,хоть начали разбираться с данной проблемой...И хоть примерные сроки когда исправят данный баг или придумают смену имеила...