网易邮箱会劫持 Apple ID 验证邮件

前面已经被这个垃圾坑过一次，清理了一次银行信用卡账单等重要账户绑定，改成了其他邮箱。没想到在 Apple ID 上还是翻车了。

这次 Apple 要重新验证账户，选了邮箱验证，用的也是网易自家的邮件大师接收的，居然强制要求 Web 登陆，不知道是什么样的脑回路想出这样的业务逻辑，没有十年脑血栓搞不出这样的风控措施。下次估计强制要求手机 App 登陆什么妖蛾子都给你整出来。

回复估计也有说为了安全考虑的，其实也没必要，历史上网易邮箱就不知道被脱了几次裤子了，现在是你的 Web ，你的 App ，你的桌面应用反正都是你自家的，还提示安全什么的，呵呵。现在真不知道是你自己的桌面客户端更安全，还是你的 Web 页面更安全，还是你的手机邮件大师 App 更安全。而且我也没看微软 Outlook ，Protonmail 什么的三天两头要你装这个，绑定那个，真心就是垃圾，不用洗也没得洗。

而且撇开安全不说，网易肯定是扫我这封邮件内容了，我真谢谢你。

nbndco

2022-03-20 20:33:16 +08:00

网易这么做是有道理的，倒不是为了逼大家用网页或者 app 。

网易的安全么，过去可以说是没有（现在就不知道了），被拖了多少次库也不知道了（一个明文存密码的公司，安全肯定是完全没有的），所以当年是有一大堆 iPhone 用网易邮箱当 Apple ID 被锁的例子的（先用网易邮箱找回 Apple ID 密码）。所以网易就逼着不得不做二次验证，但是 imap/pop3 肯定是没法二步验证的，所以当年还全部禁用过，想要重新登陆必须手机验证+改密码。估计现在网易也没缓过来，所有的关键邮件就全部都要通过能够二步验证的手段。

lecia

2022-03-20 20:50:44 +08:00

@x86 注册 ip 要欧洲或者北美，平时登录 ip 也必须是这些地区的，如果好长登录时间 ip 是国内会被封，尝试也很难解封，据说是因为大量外贸之前注册了非常多的 mail 邮箱，用来发垃圾邮件，然后被 ban 了（未考证）

shijingshijing

2022-03-20 21:20:57 +08:00

@nbndco 我琢磨着，他自己这个邮件大师不也是 web 套壳？自己的客户端都不信任，手机 App 也不行，到头来还是 Web ，综合来讲 Web 被劫持更容易吧，客户端弄个私有协议啥不是国内流氓软件的常规操作么？自己的私有协议都不信任？更不谈这个客户端有多垃圾，邮件列表上一页下一页都没有，按时间排序没有，整个残废，还要这么多乱七八糟的玩意儿干嘛？当初还非得绑定这玩意儿重新激活帐号，现在又当个废品不信任，真是脑子有病。

nbndco

2022-03-20 21:30:40 +08:00

@shijingshijing 他不是不相信客户端的安全性，他是被拖库拖到已经没法用用户名+密码的方法来验证用户身份了。平时就装疯卖傻装自己还安全，但是敏感邮件这样就要出事。所以用什么方式不重要，重要的是要支持二步验证，而这个邮件大师还没实现这个功能。你也说了这个邮件大师做的烂，估计就没资源去做二步验证。

skiy

2022-03-20 21:42:06 +08:00

@bsfmig 我主 outlook 。gmail 之前界面有广告，也丑。今天登 gmail 改密码，新版比之前的清爽多了。inbox 最美观，可惜关停了。

谁知道呢，“万一”这事，挺难讲的。假如冲突加剧，谁知道会不会有下一波制裁。而且如果被相关政客注意到，企业也是没办法不做的吧。

再者，假如俄罗斯被切断西方互联网了，那也 GG 了。未雨绸缪吧。假如因政治原因，域名被域名商 hold 了，还能去跟 ICAAN 申诉。

archean

2022-03-20 22:41:36 +08:00

@shijingshijing 其实邮件发进来被修改正文内容时是在网关等边缘设备上，理论上是不知道你后面看邮件是在什么终端的。
我认为大概是这样的逻辑：考虑到你看邮件时可能在第三方客户端里，或者用类似 POP 等通用协议下载的邮件，所以只能给一个它认为最安全的查看途径。
楼上也有人说了，这样做其实没有什么好处，所以从这件事上来说，网易邮箱应该不是在作恶。

jim9606

2022-03-20 22:54:00 +08:00

@shijingshijing
因为担心下发的邮箱验证码直接推送到被盗的 iphone 上了，即使是自家的邮件大师也没法控制推送是否一定不会把正文内容显示在锁屏通知上，小偷可能可以通过恶意重设 apple id 解除 iphone 锁机。Web 版至少保证不会把正文暴露在锁屏通知上。

网易肯定要扫你的邮件内容的，至少反垃圾反病毒需要这个吧？而且使用协议肯定有约定。？顺带一提 Gmail 也这么干。

而且图里这个其实是网易给你发了一封特殊的邮件，至少发件人是网易不是 Apple ，原始邮件并没有丢失。

另外，这算是说明了不能拿邮箱+手机当成 2FA 验证的原因，这些所谓的多因子很有可能都等于手机这一个因子，例如手机验证码+邮箱验证码（但可以用手机验证码登录）=手机单一因子。

TossPig

2022-03-20 23:42:27 +08:00

还有给网易这种操作洗地的？简直丧心病狂~

手机号不说了，成本内只有用三大运营商的

但邮箱这种东西，还是用域名邮箱靠谱，国内外厂商没个是干净的

我现在的方案是

一个 com 的域名一年也就六七十块钱，随便挂靠一个服务商，现在挂的 google apps ，前段时间说要收回，现在有没消息了。要跑的时候，直接改解析，再换一个地方挂靠，不涉及资料迁移。

邮件客户端也不用服务商的，用黑群晖的 mailplus ，送了 5 个授权，自己也就只用一个够了。

服务商只是帮我收发信，数据都在群晖上，由 mailplus 管理

mailplus 也设置好收信，防止措手不及的时候，先临时挂在群晖上，免得丢信

设置好 catch ，域名邮箱下，所有的邮件归你，每注册一个网站，就换用户名，数据泄露，也大概能猜到谁被脱裤了

比如今天的日志，tuodou 、178 ，嗯嗯，又是开心的一天

shijingshijing

2022-03-21 00:09:48 +08:00

@jim9606 你这样说的话，所有手机 App 都有这个问题，除非是 App 绑定手机号和手机号对应 sim 卡分离，特别是国内这些热衷于扫码登陆的大环境下。

只能说是安全这一块各个做的都是一泡污，支持 2FA 什么的国内也是认死理只支持手机验证码，其他 yubikey 什么的也没见哪个互联网大厂正儿八经支持过，倒是银行都有支持 USB Key 。

我们本不需要如此恶心，反正后面我都转到自建+Protonmail 上去了，爱咋咋地。

TossPig

2022-03-21 08:38:00 +08:00

@Damn

mailplus 是一个群晖提供的套件，准确的说是服务端和客户端都有，客户端除了网页版也提供手机 app ，支持 pop 收信，最初是想着家里翻墙，出门手机节约电不翻墙也能及时的收 gmail 。
参考介绍 https://www.synology.cn/zh-cn/dsm/feature/mailplus

日志截图就是被扫描了，随手看了两个 ip 一个美国，一个俄罗斯

我在注册网站的时候，习惯性填写邮箱为网站的二级域名，作为邮箱号来收验证和通知邮件

比如 https://tudou.com/ ，我就用 tudou@tossp.com 去注册

同时，我的域名 mx 记录里面有一段为了快速跑路指向我 mailplus stmp 服务的记录

有人买到了的社工库里有 tudou@tossp.com 的地址，以及我在 tudou 的密码，就肯定想能不能爆我邮箱嘛，都是程序扫，没特别智能，因为有做了 catch-all ，tudou 并不是我邮箱的登录账号，所以日常就能在 mailplus 里看到这样的日志

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/841639

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.