[LugBS] invio email via php function: mail()
Alberto Campagnari
albecamp a tin.it
Gio 29 Gen 2009 15:21:18 UTC
Vi aggiorno: con mia grande sorpresa il form alla fine non c'entra nulla
perche' sono partite mail anche con la pagina php, che contiene le
istruzioni e che viene chiamata quando si preme il bottone [invia],
rinominata (pertanto non raggiungibile.); ho spento il server perche' la
soluzione per ora non sembra a portata di mano; dai log del server di
posta qualcuno o qualcosa "frega" filtri, i vari firewalls e proxy server
che ho installato, facendo credere a postifx che il mittente e' gid=80,
cioe' arriva dal server web; non ho capito da dove! Escludo che qualcuno
abbia craccato il server web, visto che per il mondo esterno tutti i
server web dentro la mia sottorete sono mappati da squid in modalita'
proxy inverso.
Provero' a pulire la cache del proxy, forse il programma malevolo e' la.
Sono 5 mesi che il mio server e relative macchine virtulali sono up e il
server di posta (postfix) in questione non e' l'unico attivo, ma mi sa che
questo si e' beccato qualche "brutta malattia".
Aggiungo che i server di posta su ogni macchina virtuale sono settati per
non fare relay e per considerare credibili solo loro stessi. giusto per
stare tranqulli.
Accetto suggerimenti
> Il 28 gennaio 2009 11.41, Alberto Campagnari <albecamp a tin.it> ha scritto:
>> Domanda: qualcuno di voi ha da suggerirmi qualche soluzione interessante
>> che non sia la tecnica di verifica dei campi con l'uso di espressioni
>> regolari?
>
> anch'io non mi sono mai occupato in dettaglio della cosa, ma al
> momento non ho ancora avuto la necessita' di una cosa del genere
> (tipicamente delegata sulla fiducia ai vari framework).
> detto questo, mi incuriosisce l'origine del problema. intendo, lo
> spammer (bot o umano che sia) inserisce nel testo del messaggio dei
> campi tipo CC: o BCC: e quindi lo MTA si comporta di conseguenza?
>
> temo che evitare di parsare il contenuto sia impossibile. nel commenti
> al manuale di php online, pero', si trovano sempre delle soluzioni
> veramente interessanti. hai trovato qualcosa li?
>
> a latere (non c'entra direttamente, ma puo' essere utile nel tuo caso
> per diversi dettagli non banali indicati), ti consiglio questo breve
> post:
> http://tstarling.com/blog/2008/12/secure-web-uploads/
>
> ad ogni modo, facce sapè come risolvi alla fine, che è un'esigenza
> molto comune e diffusa.
>
> a proposito, in alcuni casi ho visto estremamente efficiente
> l'utilizzo di campi invisibili nel form (in questo modo un bot li
> compila, mentre un umano no).
>
> ciao,
> gelma
>
> --
> Info/Lamentele/Segnalazioni: vips a lugbs.linux.it/andrea.gelmini a lugbs.linux.it
>
Maggiori informazioni sulla lista
Lug
|
