Gibt es eine Liste von E-Mail-Adressen, die aus Sicherheitsgründen für öffentliche E-Mail-Dienste wie Google Mail / Yahoo reserviert sind?


8

Ich bin gerade dabei, diese Idee einer WebApp zu konzipieren, wenn dies als eine völlig neue Variante für die Bereitstellung von E-Mail-Diensten für Verbraucher in Domains bezeichnet werden kann, die ich besitze. Die Idee ähnelt der von Yahoo, indem sie mir eine myname@yahoo.comE-Mail-Adresse oder dieselbe mit Google Mail usw. zur Verfügung stellt. Abgesehen von der gesamten Infrastruktur besteht das Hauptanliegen darin, eine Liste kritischer / wichtiger und sicherheitsrelevanter E-Mail-Adressen zu erstellen , die nicht angegeben werden an den Verbraucher.

Zum Beispiel:

  • admin@example.com
  • administrator@example.com
  • webmaster@example.com
  • root@example.com

Gibt es eine erschöpfende Liste dieser Art?


3
Die Website zum Austausch von Informationssicherheitsstapeln enthält hier eine Liste: Welche E-Mail-Adressen werden als vertrauenswürdig behandelt? Es scheint jedoch nicht vollständig zu sein.
Stephen Ostermiller



Was auch immer Sie tun, jede Blacklist-Filterung muss einige Namen übersehen und sich im Laufe der Zeit ändern. Es ist auch stark vom Kontext abhängig. Schafft contact@oder support@oder corp@oder ceo@schafft sie beispielsweise unter anderem ein Problem? Sie müssen auch über die Wiederverwendung von E-Mails nachdenken (wenn ein Kunde X nimmt und dann löscht, kann ein anderer es erhalten? Sofort oder nicht?). Der Problembereich ist riesig. Möglicherweise müssen Sie angeben, wie Kunden ihre E-Mails auswählen sollen, welche Art von Service sie haben usw.
Patrick Mevzek

Antworten:


10

Hier ist eine Liste von Adressen, die Sie möglicherweise als reserviert behandeln möchten:

  • Missbrauch 1,4
  • admin 2,3,4
  • Administrator 2,3,4
  • Hostmaster 1,2,3,4
  • info 1,3
  • ist 3
  • es 3
  • Liste 1
  • Listenanfrage 1
  • Majordomo 4
  • Marketing 1
  • mis 3
  • Nachrichten 1
  • Postmeister 1,2,3,4,5
  • Wurzel 3,4
  • Verkäufe 1
  • Sicherheit 1
  • ssl-admin 4
  • ssladmin 3
  • ssladministrator 3
  • sslwebmaster 3
  • Unterstützung 1
  • Systemadministrator 3
  • Ärger 1
  • Usenet 1
  • uucp 1
  • Webmaster 1,2,3,4

  1. Wird in RFC 2142 als Postfachname für einen allgemeinen Zweck aufgeführt
  2. Wird von Comodo zur Ausstellung von SSL-Zertifikaten verwendet
  3. Wird von RapidSSL fälschlicherweise zum Ausstellen von SSL-Zertifikaten verwendet
  4. Wird von Google Groups als reservierter Gruppenname behandelt
  5. Gelistet in RFC 822 - Standard für ARPA-Internet-Textnachrichten als reservierte Adresse

In diesem Artikel wird vorgeschlagen , alle Postfächer zu reservieren, die mit "admin", "Administrator", "Webmaster", "Hostmaster" oder "Postmaster" beginnen. Wenn ich das tun würde, würde ich auch "ssl" zu meinen Starts mit Regel hinzufügen. Basierend auf dem, was RapidSSL getan hat, wäre es sinnvoll, auch eine "Ends with" -Regel zu implementieren.

RFC 822 weist auch darauf hin, dass bei Postfächern die Groß- und Kleinschreibung im Allgemeinen nicht berücksichtigt wird. Sie sollten Versionen in Klein-, Groß- und Großbuchstaben reservieren:

Hinweis: Dieser reservierte lokale Teil muss ohne Empfindlichkeit für alphabetische Groß- und Kleinschreibung abgeglichen werden, damit "POSTMASTER", "Postmaster" und sogar "poStmASteR" akzeptiert werden.


Wenn Sie die Antwort auf meine Antwort unten (mit Codebeispiel) verschieben möchten, kann dies hilfreich sein, da dies ziemlich verwirrend sein kann.
Niftylettuce

2

Dies könnte eine leicht verwandte Liste sein, obwohl sie nicht für Google Mail, sondern für Google Groups für G Suite gilt:

https://support.google.com/a/answer/6093413?hl=de

Reservierte Gruppennamen:
Wir reservieren bestimmte Namen, die nicht verwendet werden können, wenn Sie eine Gruppe mit Google Groups oder Google Groups for Business erstellen. Sie können diese Namen jedoch verwenden, wenn Sie eine Gruppe mithilfe des Gruppensteuerelements in der Administratorkonsole erstellen.

Missbrauch
Admin
Administrator
Hostmaster
Majordomo
Postmaster
Root
SSL-Admin
Webmaster

Die Namen Missbrauch und Postmaster sind vorbehalten. Sie können sie jedoch abonnieren und alle an diese Adressen gesendeten E-Mails erhalten.


Vielen Dank Kumpel genau die Antwort, die ich brauchte. Ich frage mich nur, wofür majordomosteht. Abgesehen von den Systemnamen würde ich auch das Generikum einmal hinzufügen, wie Verkauf, Info, CEO, Manager usw. Aber es ist ein langer Prozess.
Maharshi Raval

1
Gern geschehen :) .. Nur ein langer Gedanke, haben Benutzer E-Mail-Adressen von einzelnen gebräuchlichen englischen Wörtern auch bei Google Mail? Wie Löwe @ oder Flugzeug oder Auto. Ich bin sicher, dass viele davon sofort gestoppt werden können, wenn Sie eine Benutzernamenrichtlinie mit mindestens 7 Buchstaben durchsetzen. Und was ist mit üblen Worten? 7 Wort wird dick @ stoppen, aber nicht dickhead @
DavChana

@ MaharshiRaval Majordomo = en.wikipedia.org/wiki/Majordomo_(software)
Steve

1
@DavChana yupp .. das macht sehr viel Sinn. Ich würde mich darum kümmern, vielen Dank, dass Sie es angesprochen haben. Schätzen Sie Ihre Zeit.
Maharshi Raval

2

Basierend auf früheren Antworten und meinen Recherchen an anderer Stelle habe ich dieses GitHub-Repository kompiliert, das eine aktualisierte JSON-Datei sowie ein auf JavaScript / Node.js basierendes Codebeispiel für die Implementierung enthält.

https://github.com/forwardemail/reserved-email-addresses-list

Liste von mehr als 1250 E-Mail-Adressen, die aus Sicherheitsgründen reserviert sind

npm install reserved-email-addresses-list email-addresses

Die Zeichenfolge, mit der Sie vergleichen, muss in Kleinbuchstaben konvertiert und von Leerzeichen abgeschnitten werden. Der Grund, warum wir in Kleinbuchstaben konvertieren, ist, dass das Wörterbuch der Wörter, mit denen wir vergleichen, alle Kleinbuchstaben sind. Um eine strikte Gleichheit zu erreichen, müssen wir übereinstimmende Groß- und Kleinschreibung haben.

Es wird außerdem dringend empfohlen, die strikte Gleichheit zu überprüfen. Für eine Liste der Benutzernamen im Zusammenhang mit dem Administrator sollten Sie die strikte Gleichheit prüfen, mit Vergleichen beginnen oder auch mit Vergleichen beginnen.

const reservedEmailAddressesList = require('reserved-email-addresses-list');
const reservedAdminList = require('reserved-email-addresses-list/admin-list.json');
const emailAddresses = require('email-addresses');

const email = '"Admin***!!!"@example.com';
const parsed = emailAddresses.parseOneAddress(email);

if (parsed === null)
  throw new Error('Email was not a valid address');

const str = parsed.local.toLowerCase();

let reservedMatch = reservedEmailAddressesList.find(addr => addr === str);

if (!reservedMatch)
  reservedMatch = reservedAdminList.find(
    addr => addr === str || str.startsWith(addr) || str.endsWith(addr)
  );

if (reservedMatch)
  throw new Error(
    'User must be a domain admin to create an alias with a reserved word (see https://forwardemail.net/reserved-email-addresses).'
  );

Verweise:


"Die Zeichenfolge, mit der Sie vergleichen, muss in Kleinbuchstaben konvertiert, von Leerzeichen abgeschnitten und nur in alphanumerische Zeichen konvertiert werden." Technisch gesehen befindet sich die linke Seite einer E-Mail-Adresse unter der Kontrolle des empfangenden MTA und kann zwischen Groß- und Kleinschreibung unterscheiden, wenn dieser MTA dies entscheidet. Daher kann es ein Problem sein, E-Mail-Adressen standardmäßig zu verkleinern. Auch jetzt sind E-Mail-Adressen internationalisiert, also nicht nur ASCII. Die Regex in Ihrem Codebeispiel würde sogar nicht zulassen -oder .in der E-Mail-Adresse!
Patrick Mevzek

Ich habe das Beispiel so korrigiert, dass es Punycode für ASCII verwendet.
Niftylettuce

"Ich habe das Beispiel so korrigiert, dass es Punycode für ASCII verwendet." Dies behandelt nur die RHS (das ist der Domain-Teil), hat also keine Auswirkungen auf die LHS, die durch EAI-Regeln geregelt wird.
Patrick Mevzek

Wenn Sie im Beispiel feststellen, dass ich die Konvertierung in AZ entfernt habe, nur 0-9. Und der lokale Teil ist in der const strErklärung offensichtlich .
Niftylettuce

Auch @PatrickMevzek - dies dient nur zum Vergleich, um die genaueste / wahrscheinlichste Übereinstimmung zu finden, wenn Personen versuchen, Systeme wie Schreiben admin1oder Schreiben zu missbrauchen admin_.
Niftylettuce
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.