¿Por qué SendGrid me permite enviar correos electrónicos desde cualquier dirección?

Tengo un archivo python local que estoy usando para enviar correos electrónicos a través de SMTP de sendgrid:

gmail_sender = "example@gmail.com" server_username = "apikey" server_password = prod.CONFIG['sendgrid_SMTP'] server = smtplib.SMTP_SSL('smtp.sendgrid.net', 465) server.login(server_username, server_password) email_information['From'] = gmail_sender server.sendmail(email_information['From'], email_information['To'], email_information.as_string()) 

Estoy confundido acerca de quién está enviando el correo electrónico. Reemplazé gmail_sender con varios correos electrónicos diferentes, y sin tener que dar la contraseña a esos correos electrónicos, pude enviar un correo electrónico a través del SMTP de sendgrid. En la sección desde el correo electrónico que envié, dice el correo electrónico que puse como gmail_sender más “a través de sendgrid.net”. Puedo hacer que parezca que alguien envió el correo electrónico, ¿no es esto un problema de seguridad?

Cualquier orientación es apreciada 🙂

La alternativa es bastante desalentadora. Tendría que demostrarles técnicamente que todas las direcciones que desea enviar son realmente suyas.

Algunos servicios requieren que demuestres que un dominio es tuyo al darte una cookie única y decirte que lo publiques en los registros DNS del dominio. Si tiene control sobre el DNS para un dominio, tiene el control sobre el dominio. Pero no existe un mecanismo similar para el correo electrónico, simplemente puede falsificar el remitente en el correo electrónico, lo que se supone que prueba que usted es el propietario de la dirección.

De todos modos, pasar por esta prueba para cada dominio que quieras usar ya es una tarea. Imagine lo que significaría para los clientes que desean usar docenas, cientos o incluso miles de direcciones de remitentes diferentes.

Los términos de servicio de Sendgrid tienen un lenguaje general sobre el abuso de la red, que probablemente se aplique al uso de la dirección de correo electrónico de otra persona. No pude encontrar nada específico sobre la falsificación de direcciones en sus ToS. Tener una restricción legal en un contrato (¡y hacerla cumplir!) Los libera de la necesidad de implementar una restricción técnica.