【除夕大抽奖】电邮设定两漏洞变“垃圾”　旅发局聘独立顾问检讨

香港旅游发展局于2019除夕夜举办历来首次倒数大抽奖，但期间参加系统出现问题。旅游发展局总干事程鼎一今日（4日）透露，是由于技术问题导致参加者无法收取验证码，电邮供应商误以为是垃圾邮件，出现大量验证码延误，现已聘请独立顾问公司全面检讨，如董事会及政府认为有人需就事件负责会跟进。
其中就变成垃圾邮件，有专家透露，发现系统在发出电邮步骤上有两步漏洞，属于电邮供应的常识。有专家指出，当局临阵将SMS短讯形式改为用电邮接收验证码，其实都是要面对无法短时间内海量传送的问题，不解为何须设置验证码。

广寄电邮需三个设定　互联网供应商：属常识

互联网服务供应商协会主席叶旭晖表示，广寄电邮有三个设定作为凭证，可减少被电邮供应商封锁或当成垃圾邮件的风险：第一步是设置SPS提供IP位址；第二步设置DKIM签署功能，透过域名系统发布；以首两步为基础，第三步是设定DMARC，让电邮供应商在出现问题时联络到发布者。不过据资料显示，旅发局的验证码电邮系统未有设置最后两步，结果大量电邮被当成垃圾邮件。

叶旭晖表示，电邮供应商不会容许发布者一秒钟内寄出大量邮件，做足该三步设定，不等于不会被电邮供应商阻截，但提供足够凭证，会被视为可靠的发布者，有助减低风险，属电邮供应的常识。他指，在相关政策上，Google比雅虎更严谨，应在测试阶段涵盖电邮系统负荷问题，便会知道什么数目程度会触动到电邮供应商。

方保侨指错在设验证码：系多余

香港资讯科技商会荣誉会长方保侨形容延误事故是“火烧连环船”，指当局在临开波时，将手机接收SMS认证短讯改为以电邮收取，料是考虑到SMS中心每秒传送有上限，但其实短时间内大量发送电邮，伺服器亦需要排队处理，更因技术上的认证问题被当成垃圾电邮，甚至被封锁。他认为，既然最后都是须由得奖者亲身领奖，亦有个人身分证为依据，“系唔需要验证码，系多余。”事件亦令人质疑当局是否懂得制定对承办商的要求及监督能力。

旅发局总干事：进入网页压力测试无出现问题​

旅发局总干事程鼎一今日（4日）在电台节目上解释，在网站压力测试时，假设每分钟有300万人次进入都无出现问题，但由于活动需要电邮验证码，短时间内大量收发电邮，被电邮供应商误以为是垃圾邮件。他强调，所有收集资料均加密储存在新加坡一间著名供应商的云端。系统供应商今日（4日）亦向公众致歉，指程式由测试伺服器搬迁到上线伺服器出现技术问题，以及短时间内的电邮认证超出收发容量限制，引致抽奖活动延误。