SUBMAIL如何保证短信验证码接口的安全？

如何保证短信验证码 API 接口的安全性，SUBMAIL 赛邮短信平台是这样做的：

1.网络防护

全站采⽤先进的 HTTPS 和 SSL/TLS 安全加密传输协议(包含网站、API、以及内网传输)，层层加密，确保用户使用时的安全与稳定。

2.系统防护

通过 IP 白名单、黑名单过滤、接入保护、密钥管理、补丁升级、漏洞防护、多账户管理等多维度解决方案来防护。

IP 白名单

设置 IP 白名单，保护您的 App ID 不被非法劫持后滥用。前往 SUBMAIL -> 短信 -> 创建/管理 APPID 页面，设置 IP 白名单。

黑名单过滤

黑名单过滤功能可以有效的防止您的短信 API 被滥用。点击了解详情：设置黑名单过滤

3.安全设置

用户通过 SUBMAIL 可自主设置模板每日请求限制、App ID 每日请求限制、号码每日请求限制、频率控制等，来保护用户接口安全，有效防止被刷的风险。

模板每日请求限制

设置验证码模板的单日请求上限，设置一个合适的数值，这样每个手机号码单日超过这个上限数量的验证码请求会被 SUBMAIL 直接过滤。

号码每日请求限制

用户请求验证码时，记录请求的 IP 和手机号码，并对发送频率做限制，例如每分钟/单个 IP/单个手机号仅能请求一次。如果脚本无法获取用户的真实 IP，请直接过滤这类请求。

4.SUBHOOK 实时状态回调

SUBHOOK 是 API 事件推送通知接口，实时推送事件动态。

SUBHOOK 类似于一个 API 端口，但不同的是，开发者不需要请求 SUBHOOK API，而是设置一个或多个回调 URL，来接收 SUBHOOK 推送的通知。SUBHOOK 推送事件通知时，采用 HTTP POST 方式，请在脚本中接收 POST 数据。

5.SUBMAIL 主动防御机制

上面这些措施已经可以严密保证接口安全，为了确保万无一失，SUBMAIL 为短信验证码接口植入了主动防御机制，提供了更强大的保护措施。

SUBMAIL 主动防御机制会在以下 3 种情况中被触发：

1：空号率触发安全机制：当用户请求发送的手机号码空号率达到一定的百分比之后，触发防御机制；

2：手机号码高频率请求触发安全机制：当单个手机号高频率的请求验证码时，到达一定比例，触发防御机制；

3：历史黑名单命中率触发安全机制：当命中历史黑名单到达一定比例时，触发防御机制。

SUBMAIL 主动防御机制被触发后，将会自动设置合适的安全级别，防御恶意请求。例如非常请求仅能获取 3 次验证码，如超过 3 次，将会被列入临时保护黑名单。

除了以上方式之外，在云通信、运营商、用户风控等方面 SUBMAIL 也建立了各种举措守护安全，多层级提高短信平台的安全性。