+ Responder ao Tópico



  1. #1
    biribaa
    Senhores

    Estou tendo um problema aqui recentemente, referente a utilização do
    postfix e tambem da função mail do php.
    O que tenho hoje he um postfix instalado em um servidor web mail no qual
    atendo alguns clientes atraves de um suporte php. Recentemente notei que
    estava sendo forçados na fila de emails, uma serie de emails para o
    dominio aol.com, sendo que vinham de alguns clientes meus. Fiz uma busca
    na queue e vi que os emails estavam sendo colodos na fila atraves de uma
    falha no tratamento do usuario quando ele utiliza a função mail que nao
    valida os campos, sendo que passa para a função o que for ejetado via
    formulario.

    As perguntas são:
    - tem como fazer algum tratamento diferente da funcao mail do php ao
    inves de simplesmente ejetar o email atraves do sendmail na query?

  2. #2
    eyglys
    Não conheço nenhuma forma direta de tratar o conteúdo do mail (sem interferir na programação do usuário).

    Alternativa:
    Crie um módulo que acesse o seu servidor smtp (ou pegue em algum site por aí, por exemplo phpclasses.org) e acrescente as funções para tratar exatamente o que vc deseja.

    Disponibilize manuais sobre como utilizar esses módulos (falo módulo, mas pode ser um conjunto de funções, classes, etc, escritas em php) e disponibilize para eles.

    e no php.ini, desabilite o uso da função mail.

    Dessa forma, vc força o usuário a utilizar o seu módulo, ou outro módulo qualquer que ele tenha, e abandonar o uso não tratado da função mail.



  3. Isso realmente eh uma falha de tratamento no formulario de envio, por exemplo se vc tem o formulario com um combobox para selecionar o email de destino e tiver o register globals do php.ini ativo vc sera alvo de um ataque como esta acontecendo, basta a pessoa fazer algo do tipo:

    http://seusite.com.br/form.php?email...&cont=sdfasfds etc etc etc

    recomendo vc desabilitar o register globals e recuperar o formulario da seguinte forma

    $email=$_POST["campodoform"];

    e pra melhorar ainda mais, nao utilize os emails no combo, utilize codigos, por exemplo
    1 = diretoria
    2 = vendas
    3 = suporte

    ai na pagina que vai receber o formulario vc monta um case pra verificar qual eh o email de destino, e se tiver algum valor que nao esteja especificado vc nao manda nda






Tópicos Similares

  1. Respostas: 3
    Último Post: 26-06-2009, 09:05
  2. Respostas: 8
    Último Post: 06-05-2009, 08:39
  3. Forward de mail com copia para o destinatario
    Por fred_m no fórum Servidores de Rede
    Respostas: 2
    Último Post: 08-04-2005, 10:07
  4. Vroot usado para invasao de maquina
    Por aspenbr no fórum Servidores de Rede
    Respostas: 0
    Último Post: 03-06-2004, 16:54
  5. redirecionamento de e-mails com cópia para outra conta.
    Por simonekb no fórum Servidores de Rede
    Respostas: 3
    Último Post: 06-04-2004, 12:44

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L