+ Responder ao Tópico



  1. 24-01-2006, 19:14 #1
    biribaa
    Visitante

    Padrão PHP MAIL sendo usado para spam

    Senhores

    Estou tendo um problema aqui recentemente, referente a utilização do
    postfix e tambem da função mail do php.
    O que tenho hoje he um postfix instalado em um servidor web mail no qual
    atendo alguns clientes atraves de um suporte php. Recentemente notei que
    estava sendo forçados na fila de emails, uma serie de emails para o
    dominio aol.com, sendo que vinham de alguns clientes meus. Fiz uma busca
    na queue e vi que os emails estavam sendo colodos na fila atraves de uma
    falha no tratamento do usuario quando ele utiliza a função mail que nao
    valida os campos, sendo que passa para a função o que for ejetado via
    formulario.

    As perguntas são:
    - tem como fazer algum tratamento diferente da funcao mail do php ao
    inves de simplesmente ejetar o email atraves do sendmail na query?
    Citação Citação
  2. 24-01-2006, 22:39 #2
    eyglys
    Visitante

    Padrão alternativas

    Não conheço nenhuma forma direta de tratar o conteúdo do mail (sem interferir na programação do usuário).

    Alternativa:
    Crie um módulo que acesse o seu servidor smtp (ou pegue em algum site por aí, por exemplo phpclasses.org) e acrescente as funções para tratar exatamente o que vc deseja.

    Disponibilize manuais sobre como utilizar esses módulos (falo módulo, mas pode ser um conjunto de funções, classes, etc, escritas em php) e disponibilize para eles.

    e no php.ini, desabilite o uso da função mail.

    Dessa forma, vc força o usuário a utilizar o seu módulo, ou outro módulo qualquer que ele tenha, e abandonar o uso não tratado da função mail.
    Citação Citação
  3. 25-01-2006, 07:18 #3
    1c3m4n
    1c3m4n está desconectado
    Moderador Avatar de 1c3m4n
    Ingresso
    Sep 2002
    Posts
    6.017
    Posts de Blog
    10

    Padrão PHP MAIL sendo usado para spam

    Isso realmente eh uma falha de tratamento no formulario de envio, por exemplo se vc tem o formulario com um combobox para selecionar o email de destino e tiver o register globals do php.ini ativo vc sera alvo de um ataque como esta acontecendo, basta a pessoa fazer algo do tipo:

    http://seusite.com.br/form.php?email...&cont=sdfasfds etc etc etc

    recomendo vc desabilitar o register globals e recuperar o formulario da seguinte forma

    $email=$_POST["campodoform"];

    e pra melhorar ainda mais, nao utilize os emails no combo, utilize codigos, por exemplo
    1 = diretoria
    2 = vendas
    3 = suporte

    ai na pagina que vai receber o formulario vc monta um case pra verificar qual eh o email de destino, e se tiver algum valor que nao esteja especificado vc nao manda nda
    Citação Citação



« Tópico Anterior | Próximo Tópico »