05-04-2016, 04:05 PM
Les headers des mails sont usurpables (on peut les définir en PHP), et il en sera surement de même pour Received From (qui sert à indiquer les maillons de la chaine ayant envoyé le mail).
Toutefois, pour l'usurper, il faut le connaitre, ce qui est déjà une difficulté (surtout si on n'a pas accès à un mail authentique). De plus, c'est un header standard, donc potentiellement distinguable des autres (genre, il est dans les N premières lignes).
A mon avis, c'est une protection suffisante contre le SPAM (SMTPS pourrait aussi aider). Sinon, tu peux aussi ajouter un header custom au message ("x-user-token") et vérifier que celui-ci est valide (+SMTPS). S'il est spécifique à chaque utilisateur, cela évitera que l'un d'eux soit source de fuites pour les autres.
Toutefois, pour l'usurper, il faut le connaitre, ce qui est déjà une difficulté (surtout si on n'a pas accès à un mail authentique). De plus, c'est un header standard, donc potentiellement distinguable des autres (genre, il est dans les N premières lignes).
A mon avis, c'est une protection suffisante contre le SPAM (SMTPS pourrait aussi aider). Sinon, tu peux aussi ajouter un header custom au message ("x-user-token") et vérifier que celui-ci est valide (+SMTPS). S'il est spécifique à chaque utilisateur, cela évitera que l'un d'eux soit source de fuites pour les autres.