前言
首先先问大家个问题,大家知道自己平时使用电子邮箱发邮件时,会泄露自己的ip地址这件事知道嘛?
不管是本地发信还是用服务器发信 都是会泄露出一个ip地址
危害
其实我们大家日常使用也就是 国内的这些主流邮箱:QQ、163、139、189、新浪等。发送的邮件都可能无意中向对方共享了自己的IP地址。
懂行的人知道 显示邮件原文/源代码 会在邮件中插入发送端的IP地址。
那么随着网络安全越来越被人重视,但确实在很多用户都不知情的情况下存在隐私和安全风险。
下面是图片展示
![图片[1]-如何防止发信泄源-易艾云博客](https://ei-i.cn/wp-content/uploads/2025/01/1.webp)
![图片[2]-如何防止发信泄源-易艾云博客](https://ei-i.cn/wp-content/uploads/2025/01/2.webp)
对于众多普通网民来说,电子邮箱早已成了我们“接收验证码”的工具,不像北美等地区 对Eamil的依赖性很强。如果你平时只看邮件,不回复其实倒没什么必要,例如你从事的行业特殊,你可以使用国内知名的一些 企业邮箱、或者是Gmail谷歌邮箱、作为主力邮箱。会较好的保证隐私,具体还需要大家自己测试。亦或者使用HTTP代理形式,当然较麻烦一些 所以大家懂就好,需不需要还得看自身情况而定。针对站长们就很需要注重了,开网站的朋友可能需要用到smtp协议,关联邮箱 用途一般在于服务网站用户(注册、改密、订单通知)等需求,都是要用到邮箱的,那有一部分站长有安全意识,他们知道使用CDN来隐藏站源ip,避免遭受ddos攻击的可能,但却不知道通过Email邮箱已经悄悄的泄露出IP了。
解决方案
1.不使用邮件发信改为短信模式[费钱]
2.搭一个属于自己的邮局 用邮局中转来防止泄露源站ip [得保证邮局抗打,费钱]
3.使用其他发信产商[谷歌(操作麻烦) 阿里云企业邮箱(推荐) 腾讯云企业邮箱(末知)]
讲解危害
防止SSL证书泄露你的源站IP,主要内容包括一、生成IP证书、二、配置默认证书、三、效果检查、四、结语、基本概念、基础应用、原理机制和需要注意的事项等,并结合实例形式分析了其使用技巧,希望通过本文能帮助到大家理解应用这部分内容。
有的时候,我们套CDN是为了保护相对较为脆弱的源站,在CDN上平台上实现对DDoS、CC之类攻击的防护;所以相应的,我们也不希望它被泄露出去,一旦攻击者绕过CDN直接攻击源站,我们在CDN上构建的防御措施便成了摆设,直接快进到“后院起火”。
如果你有心的话,可能会听说过Censys这个网站,查一下自己套了CDN的站点是不是被他扫到了?
不知道你们的结果如何,我身边的朋友是有几个中招的了……
想要不被他看穿也很简单,总而言之就一句话:减少默认证书携带的信息。
- Censys地址 https://censys.io/ipv4
解决方法
- 用宝塔面板的看方法2简单
- 1 手动
一、生成IP证书
通过证书特征去匹配服务器,首要的就是其中包含的域名,其次是签发的CA以及详细的证书信息。之前有人提到过自己OpenSSL签发自签名证书,但是如果自签名证书特征比较明显,就还可以通过证书的信息大致筛查可能是你持有的其他服务器。
拿我的一个反例给大家看,通过MySSL这一CA关键词,就能轻松揪出我在用的某几台服务器。
所以用作保护服务器的默认证书要符合以下两个条件:
第一:不包含任何域名信息,所以配置为服务器的IP证书最佳 第二:CA下的同类型证书足够大众,不易被特征匹配到
如果执意要自签名的话,推荐以下两个:
MySSL:
https://myssl.com/create_test_cert.html
MkCert:
https://github.com/FiloSottile/mkcert
经过对这些的思考之后,我觉得还是签发一个有效的IP证书对于隐藏源站最有效。目前能免费提供90天的IP证书的商家就两个,一个ZeroSSL,另一个是环智中诚的Encryption365。前者已经免费的够久了,签发量极大;后者推出来没多久,还只能用API或者宝塔客户端签发,所以无脑推荐前者ZeroSSL。
ZeroSSL的WEB端限制诸多,而ACME端则与LE几乎一致,但是很遗憾我尝试了通过ACME并不能签发他家的IP证书,所以还是WEB端处理吧。
整个签发流程非常流畅,将你的服务器IP填写在域名一栏即可,由于是IP证书因此仅支持HTTP校验,将对应的验证文件放置到其.well-known下pki-validation文件夹即可,提交CA扫描成功后几乎是秒下发。
这个默认的证书过期了也无所谓,保持它作为默认证书部署着就可以了,反正目的也不是用它来进行访问。
二、配置默认证书
我的服务器用的是NGINX,直接单独新建一个vhost比如
default.com,为它配置好将刚才签发的证书。然后在配置文件server段中添加default_server参数,让其作为默认主机去响应,同时加上return 444,让此vhost不对外提供内容。
#指定默认vhostlisten 80 default_server;listen 443 ssl http2 default_server;server_name default.host;index index.html;root /wwwroot/
default.com; #指定返回444return444;
- 2宝塔版 已准备好ssl证书复制粘贴就好
1.首先我们创建一个叫 www.www.www 的站点,域名随便填一个
![图片[3]-防止SSH证书与邮箱发信泄源-易艾云博客](https://ei-i.cn/wp-content/uploads/2025/01/7-1024x912.png)
2.将默认站点改为刚刚创建的站点
![图片[4]-防止SSH证书与邮箱发信泄源-易艾云博客](https://ei-i.cn/wp-content/uploads/2025/01/9-1024x708.png)
3.配置好这个站点的ssl证书
![图片[5]-防止SSH证书与邮箱发信泄源-易艾云博客](https://ei-i.cn/wp-content/uploads/2025/01/8-1024x998.png)
对应宝塔的 密钥(KEY)
对应宝塔的 证书(PEM格式)
直接复制粘贴保存
4.推荐给源服务器禁ping
![图片[6]-防止SSH证书与邮箱发信泄源-易艾云博客](https://ei-i.cn/wp-content/uploads/2025/01/6.png)
结语
解决这种泄露源站的问题还有几种其他的方案,比如只监听并以IPv6为源站、只允许CDN段访问你的服务器等,这都是绝佳的解决方案。但是实际情况中特别是网站多了情况愈加复杂,一味地去应用白名单也可能给自己带来一些不必要的麻烦。
还有就是屏蔽Censys扫描的IP段,其实这是一种掩耳盗铃的做法,据我所知包括国内的
IPIP.NET以及一众安全厂商都在做这样的全网扫描,单单去屏蔽是屏蔽不完的。
暂无评论内容