“Tek kullanımlık e-posta hizmeti” engelleme listesinin sahipleri, listeye Firefox Relay’i eklemeye karar vererek hizmetin birçok kullanıcısını üzdü.
Firefox Relay, kullanıcıların gerçek e-posta adreslerini korumalarına ve dolayısıyla istenmeyen e-postaları sınırlamalarına olanak tanıyan, gizlilik odaklı bir e-posta hizmetidir.
Firefox Relay, tek kullanımlık e-posta engelleme listesine girecek
Kasım 2021’de başlatılan Firefox Relay, kullanıcıların gizliliklerini korumalarına ve kendilerine yönlendirilen e-posta spam miktarını sınırlamalarına yardımcı olmak amacıyla oluşturuldu.
Ücretsiz ve premium bir teklif olarak sunulan hizmet, kullanıcıya kullanmaları için bir takma ad vererek kimliklerini korumaya yardımcı olmak için kullanıcının gerçek e-posta adresini gizler.
Tek kullanımlık e-posta adresi hizmetleri, kullanıcılara postaları gerçek gelen kutularına “aktaran” geçici, ara bir e-posta adresi sağlayarak çalışır.
Firefox Relay’e kaydolan kullanıcılar, atanmış bir @*.mozmail.com postalarını gerçek e-posta adreslerine ileten e-posta takma adı.
Tek kullanımlık e-posta hizmetleri, bir e-posta adresi gerektiren ücretsiz Wi-Fi portallarına ve kullanıcılara pazarlama e-postaları gönderme olasılığı yüksek hizmetlere giriş yaparken kullanıcılara gönül rahatlığı sağlasa da, hizmet sağlayıcılar için de sıkıntı yaratabilir.
Örneğin, e-ticaret ve çevrimiçi bankacılık hizmetleri sunan kritik öneme sahip siteler, tek kullanımlık e-postaların kullanımına izin verirlerse tehdit aktörleri tarafından kötüye kullanıma açık hale gelebilir.
Bu nedenle, yazıcı e-posta hizmetleri tarafından kullanılan etki alanlarının engellenen listeleri, üçüncü taraflarca derlenir ve korunur.
Bunlara, tek kullanımlık bir e-posta adresi sunan kullanıcıların hesap kayıtlarını reddetmek için zaman zaman çevrimiçi hizmet sağlayıcılar tarafından başvurulabilir.
Bugün BleepingComputer tarafından görüldüğü gibi, liste, GitHub deposunda aynı adla bulunan “tek kullanımlık e-posta alanları”, aşağıdakiler gibi bilinen yazıcı e-posta hizmetlerini içerir: 10dakika posta, GerillaMail, ve postacı.
Bu domainlerin yanında, röle.firefox.com ayrıca birkaç gün önce eklenmesi önerildi:
Sağlanan bir e-posta adresinin bir yazıcı olup olmadığını kontrol ederken, hizmet sağlayıcıların tümünün veya kaçının “tek kullanımlık e-posta-alanları” listesine başvurduğu açık değildir.
Ama dikkat edin biz görmedik *.mozmail.com henüz listedeki alan adları: “mozmail.com”, Firefox Relay tarafından oluşturulan e-posta takma adları tarafından kullanılan işlevsel alan adıdır.
Kasım 2021’de Firefox Relay’in ekip lideri talep edilen ayrı bir yazıcı e-posta listesinin sağlayıcısı, “yakıcı-e-posta sağlayıcıları” belirli etki alanını engelleme listesinden muaf tutmak için:
Mozilla’nın gizlilik ve güvenlik mühendisi Luke Crouch, Kasım ayında “Relay’i, bu takma adların oluşturduğu riskleri azalttığını düşündüğüm bir dizi özellikle çalıştırıyoruz” dedi.
İlk olarak, eğer bir @mozmail.com takma ad kullanıcı tarafından devre dışı bırakılır, takma ada gönderilen e-postalar geri döndürülmez, bunun yerine hizmetin HTTP web kitabı tarafından döndürülen 404 hata mesajıyla birlikte atılır, dedi Crouch.
İkinci olarak, Relay’de yerleşik olarak bulunan kötüye kullanıma karşı korumaların, ücretsiz kullanıcıları toplam beş takma adla sınırladığını ve daha fazla hız sınırı premium müşterilerini, örneğin otomatikleştirilmiş için büyük ölçekli atılabilir takma adlar oluşturarak hizmeti kötüye kullanmamalarını sağladığını açıkladı. web servislerine kaydolur.
Bu mantıkla, mozmail.com hızlıydı kaldırıldı bu engelleme listesinden. Görünüşe göre, “tek kullanımlık e-posta alan adlarının” yaratıcıları da şimdilik bu maddeyi onurlandırdı.
Kullanıcılar karara üzüldü
Firefox Relay’in ana etki alanının tek kullanımlık e-posta sağlayıcılarının engelleme listesine eklenmesini önerme hareketi, birçok kullanıcının kafasını karıştırdı ve memnun etmedi ve listenin bakımcılarını, GitHub tartışmasını kilitle “çok ısınmadan” önce.
“Pekala, güzel turşu. Bunu bize neden yapıyorsun Firefox? Diğer şeylerin yanı sıra, bu, orijinal (gerçekten çok sağlam olmayan) etki alanı seviyeleri hakkında akıl yürütmede bir anahtar atıyor. burada — bu yüzden doğru sırada olsa bile CI’mızı bozuyor,” diye sordu engellenenler listesinin deposuna katkıda bulunanlardan biri olan yazılım geliştiricisi Martin Cech.
“Bunu dahil etme sebebim, mozmail alan adına sahip bir e-postanın asla birincil e-posta olmayacağı ve her zaman başka bir adrese iletileceğidir,” yanıtladı listenin ortak yöneticisi ve aynı zamanda bir Google açık kaynak güvenlik ekibi üyesi olan Dustin Ingram.
Ancak takma adlı GitHub kullanıcılarından biri, kazlar dünyası Bu tür engelleme listelerinin, kullanıcıları e-posta adreslerinin sızdırılmasına ve kullanıcıların posta kutularını spam ile doldurmayı bekleyen tehdit aktörlerine karşı “sahip oldukları birkaç savunmadan” birini ortadan kaldırabileceği konusunda uyardı.
“Bunu yapamaz mısınız? Son derece kötü oyunculara benziyorsunuz. Lütfen güvenli olmayan bir internete katkıda bulunmayın” yazdı. kazlar dünyası.
“Özel Aktarımı, bir spam aracı olarak değil, kişisel posta adresimi korumak için kullanıyorum. Kullanıcılar bir Aktarma adresiyle e-posta zincirleri başlatamadığından, yalnızca postalara yanıt verdiğinden, bir kullanıcının Özel Aktarımı spam için nasıl kullanacağından bile emin değilim. bu adreslere teslim edilir.”
Başka bir GitHub kullanıcısı çağırdı Firefox Relay’i engelleme listesine alma kararının, hizmet olarak yeniden değerlendirilmesi, kişisel e-posta adreslerinin veri ihlallerinde ortaya çıkmasını ve spam gönderilmesini önleyen önlemlerden biri.
İlginç bir şekilde, Fastmail gibi gizlilik odaklı e-posta hizmetleri, birincil etki alanları (yani @fastmail.com) aracılığıyla hem gerçek hem de rastgele oluşturulmuş e-posta takma adlarının oluşturulmasına izin verir.
“Maskeli adresler kullanarak azınlığı engellemeye çalışarak yüz binlerce Fastmail kullanıcısını engellemede iyi şanslar,” meydan okundu Hacker News yorumcusu.
BleepingComputer tarafından görüldüğü gibi, fastmail.com izin verilenler listesi “tek kullanımlık e-posta alanları” deposu içinde.
Bazıları, ek bir çabayla kötü niyetli aktörlerin Firefox Relay gibi bir hizmete yönelmek yerine Gmail gibi meşru e-posta sağlayıcılarını da kötüye kullanmayı seçebileceklerini ve bu nedenle bu tür engelleme listelerini boşa çıkarabileceklerini tahmin etti.
Firefox Relay ve tek kullanımlık e-posta hizmetlerinin etkinliğine kefil olanlar ile istenmeyen e-posta engelleme listelerini sürdürmek gibi zahmetli bir göreve sahip olanlar arasındaki ayrım sert görünüyor.
“Tek kullanımlık e-posta adreslerinin var olmasının ve popüler olmasının nedeni, hizmetlerin kullanıcıların bu e-postaları gölgeli reklam gelirleri ve pazarlama planları için kullanmama güvenini kötüye kullanmasıdır.” yazar Hacker News’de bir kullanıcı.
“Bu, insanların kişisel e-posta adreslerinin sızdırılmasına ve güvenliği ihlal edilmiş listelere maruz kalmasına yol açan kalitesiz güvenlikle daha da karmaşık hale geliyor. İnsanlar spam veya saldırıya uğramak için kişisel e-posta adreslerinden vazgeçmek istemiyor. Hizmetler daha iyi olana kadar (ör. Beni ucuza satmayın) Kullanıcıların düşman olduğu web sitelerinize kaydolmak için en son tek kullanımlık e-posta adresini kullanmaya devam edeceğim.”
E-posta aktarma hizmetlerinin sağladığı gizliliğin, bunların kötüye kullanılmasından kaynaklanan risklerden daha fazla olup olmadığı, devam eden bir tartışma olmaya devam ediyor.