회원가입 메일인증이 작동안할때

2020.01.25 14:26

406

CMS/프레임워크	Rhymix 1.9
개발 언어	PHP 7.2

메일건 사용중이고

라이믹스 설정에서 메일인증 가입허용 체크중인데

가끔씩 메일인증이 되지 않았는데도 회원가입이 자동승인되고 있네요 (가입하자마자 승인상태)

이런경우는 왜 생기는 걸까요

그리고 메일건은 다음메일에서 무조건 스팸메일함으로 꽂히는거 같은데요

발송자체도 5분이상 느리게 가고..

원래이런건가요? 타 메일사이트들은 잘만 가는거 같은데 ㅠ

benny Lv. 1

기진곰

2020.01.25 14:58 #1328629

소셜XE나 그 밖의 다른 경로로 가입한 것 아닐까요? 아니면 정말 가입하자마자 인증메일 받아서 클릭했거나...

다음 한메일은 메일 제대로 도착 안 하는 것으로 오래 전부터 악명이 높습니다. 한메일 주소로는 가입받지 않는 사이트가 한때 많이 있었던 것이 결코 우연이 아니지요. hanmail.net으로는 하도 가입이 안 되니까 한메일 측에서 hanmail2.net, daum.net 등 대체도메인으로 메일을 받을 수 있도록 꼼수를 부리기도 했고요. (그러면 뭐하나요? 자기네가 문제인데...) 특히 해외 서비스를 통해 발송하면 막히거나 지연되기 일쑤입니다. 예전에 아마존 SES 쓰다가 한메일이 모조리 반송되어서 관둔 기억이 나네요.

추천 1
benny

2020.01.25 15:11 #1328643

소셜xe 사용안하구 있습니다. ㅠ 제가 직접 테스트가입도 했는데 가입하자마자 승인된 상태네요. 메일은 도착도 안한상태에.. 연관이 있는지 모르겠지만 다음메일일때만 그런 현상이 있었습니다.

추천 0
기진곰

2020.01.25 15:19 #1328647

이상하네요. 메일이 도착하는지 안 하는지는 다음 쪽에서 결정하는 문제인데 그 과정을 님 사이트에서 어떻게 알고 버그를 일으켜서 승인시켜 버리는 건지...

한 가지 의심되는 것은, 다음에서 사용하는 스팸 필터가 메일에 있는 링크를 모두 한 번씩 클릭해 보는 게 아닐까 하는 생각이 듭니다. 혹시 악성코드가 발견되면 스팸으로 처리하려고요. 만약 이게 원인이라면 가입 직후에 엉뚱한 IP에서 인증 링크를 방문한 로그기록이 남아 있을 거예요.

추천 1
benny

2020.01.25 15:31 #1328652

어렵군요.. 어차피 다음메일에 스팸으로 꽂히는걸 고칠수 없다면 다음주소로는 인증안되게 하는게 나을거 같네요 ㅠ

추천 0
기진곰

2020.01.25 15:33 #1328656

네, 그런 방법도 있지요. 위에 말씀드린 보조도메인들도 차단하시고요. 라이믹스 회원설정에서 간단하게 막을 수 있습니다. 한메일 사용자라면 가입 막히는 것도 익숙할 거예요 ㅠ

추천 1
sanvit

2020.01.25 15:40 #1328661

기진곰님 생각이 맞는 것 같네요. 저도 테스트삼아 제 다음메일로 링크 하나 보내봤는데 (존재하지 않는 페이지), 보내자 마자 바로 로그에 해당 링크 접속 내역이 남아있네요.

추천 0
기진곰

2020.01.25 15:44 #1328665

이거 심각한 문제네요. 받는이의 메일 주소가 존재한다면 인증이 되는 것 자체는 큰 문제가 아니라고 볼 수도 있겠지만, 정작 사람이 인증 링크를 클릭하면 이미 한 번 방문했으니 링크가 만료되어서 에러 메시지가 나올 것 아니예요? 혼란스럽지요.

혹시 다음에서 자동으로 링크에 접속할 때 어떤 user-agent가 남던가요? 사람이 클릭한 것과 구분할 수 있다면 빨리 로직을 추가해야겠습니다.

추천 0
sanvit

2020.01.25 16:20 #1328673

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_2) AppleWebKit/600.3.18 (KHTML, like Gecko) Version/8.0.3 Safari/600.3.18

일단 BunnyCDN에 남은 로그는 이걸로 돼 있는데 왜 굳이 매킨토시로 해놓은건지는 모르겠네요... 이건 클플 통한거라서 혹시 클플 안통하면 UA값이 변하는지 확인 한 후 추가답변 달아 드리겠습니다!

추천 0
sanvit

2020.01.25 16:30 #1328682

일단 새로 보낸거는
Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
로 표시되는데, 이거도 링크를 클릭 하는 경우가 있고, 클릭하지 않는 경우도 있네요. 해당 요청은 182.162.206.103 에서 전송돼었습니다.
다음메일은 안쓰는게 최선이겠네요...

추천 0
기진곰

2020.01.25 16:42 #1328686

User-Agent로도 구분이 어렵고, 접속한 IP도 다음(카카오) 소유가 아니네요. 스팸필터에서 확인할 때만 악성코드를 숨기는 꼼수를 막기 위해서일까요?

만약 메일 발송 즉시 접속을 시도한다면 인증메일 발송 후 일정 기간 동안 승인이 이루어지지 않도록 막는 방법이 그나마 쓸만할 것 같습니다. 30초면 충분할지...

일단 라이믹스 깃허브에 이슈 등록했습니다. 좋은 아이디어가 있으면 말씀해 주세요.

https://github.com/rhymix/rhymix/issues/1232

추천 0
sanvit

2020.01.26 00:01 #1328726

인증 링크는 특정 시간 (1시간) 동안 무한 번 접속 가능하고, 링크 접속후 아이디와 비밀번호를 재입력 후 확인 버튼을 눌러야 이메일 인증이 되도록 하는 건 어떤가요?

추천 0
기진곰

2020.01.26 00:07 #1328734

1시간은 너무 짧다는 의견도 있더군요. 인증 링크 접속 후 아이디와 비번을 재입력하도록 하는 것이 가장 확실할 텐데, 회원 모듈 쪽에 화면이 추가되면 서드파티 회원 스킨에서도 모두 지원해 주어야 한다는 부담이 있습니다. 그냥 적당한 메시지를 출력한 후 세션에 저장하고 로그인 화면으로 넘어간다면 괜찮을지도...

추천 0
시니어

2020.01.26 03:52 #1328777

회원자동인증은 모르겠지만 스팸차단 관련해서 저 경우는
언젠가 관리자 페이지를 들어가보니 회원가입은 여럿 있는데 전부 승인불가라서 확인을 해보니
네이버 빼고는 전부다 막히더군요. G메일은 차단되거나 한 30분뒤에 스팸함으로 간혹 들어가고,
다음은 거의다 차단되고 어쩌다 한번 스팸함으로 들어가고 네이트는 아예 완전히 차단되더군요.
그래서 구글링을 해보니 외국구글에 무슨 글을 하나보았는데, 요즘은 메일 보안을 ssl이 아닌 거의가 tls를 사용한다고 써 놨더군요. tls사용 안하는 메일은 스팸으로 처리 된다고...
저는 사이트 도메인 카페24 메일을 고급메일발송 모듈 smtp로 사용을 하는데
ssl을 tls로 바꾸니 하나도 차단 안되고 받은 메일함으로 총알같이 가더군요.

추천 0