禁止 Outlook 邮箱域名

为了应对持续的批量机器人账号注册，Outlook 域名 outlook.com 和 hotmail.com 现在禁止与 PyPI 账号关联。这包括新的注册以及添加为附加地址。

如果您一直在我们的博客或新闻中关注 PyPI，那么恶意软件和滥用行为一直是我们日常关注的问题，这并不奇怪。

为了应对这些问题，我们为系统添加了越来越多的保护层，以阻止滥用行为。这些升级包括通过验证码改进机器人防御，要求经过验证的电子邮件地址才能对新账户执行操作，更改我们的 2FA 入门流程，以及速率限制和其他“基本”方法。

我们目前拥有的一项最有效的机制是禁止使用已知的“一次性”电子邮件域名在索引中创建账户。我们目前使用 disposable-email-domains 列表以及我们自己的内部列表来阻止使用这些域名注册或关联 PyPI 账户。

在过去的一年中，随着恶意软件活动变得越来越复杂和协调，这些禁令已被证明非常有效，但有一个主要例外。

在今天的一场活动中，包括 160 多个项目 *和* 相关的新用户注册，这些账户使用 outlook.com 和 hotmail.com 电子邮件地址注册。过去规模类似的活动也具有类似的特征。

这表明 Outlook 电子邮件服务在防止自动化、机器人和批量注册新账户方面落后于其他主要电子邮件提供商。

过去的活动也显示出类似的特征，那些希望绕过我们保护措施的人倾向于使用或付费使用机器人农场，这些机器人农场能够绕过 Outlook 电子邮件账户的自动化检测，从而在 PyPI 上建立看似可信的电子邮件账户。

我们希望这种改变不需要永久存在，考虑到我们目前对响应和工具的能力，这是我们目前可以采取的下一步。