Levélküldő PHP szkriptek korlátozása

Web, mail, IRC, IM, hálózatok

Sziasztok!

Felbuzdulva a PHP-s szemetek hostolása topik remek hozzászólásain, kíváncsi lennék, hogy kinek milyen ötletei vannak az alábbi probléma megoldására.

Jó lenne, ha a Postfix levelezőszerver csak egy előre meghatározott listában szereplő PHP fájloknak engedne meg mail küldést, a többieknek meg egy nagy semmit. Esetleg a listában szereplőknek is csak napi limittel.

Nos?

:-)

( mauzi v | 2013. 06. 01., szo – 22:23 )

> előre meghatározott listában szereplő PHP fájloknak engedne meg mail küldést

Hogy jön be a levél? /usr/sbin/sendmail által, vagy SMTP-vel? Előbbi esetben csinálsz egy wrappert, ami megnézi, hogy ki hívta meg. Második esetben a legértelmesebb megoldás az SMTP Auth megkövetelése (akinek a PHP, vagy egyéb kódja nem tud SMTP authentikálni, az húzzon el erre: ↓) aztán az authentikált júzert úgy korlátozod policyd-vel, ahogy akarod.

Ahonnan jön(ne): az a localhost (/usr/sbin/sendmail). Csak hogy megelőzzünk mindenféle levélküldő zsiványságot, arra az esetre, ha az okos ügyfél gépére kerülő trójai ellopná mondjuk az FTP accot, és telenyomná a tárhelyét levélküldő PHP fájlokkal. Sajnos mindig van rá eset. :-(
Az a wrapper érdeklene ám :-)

Ez persze működne, de mi a helyzet azokkal az oldalakkal, amelyek nem CMS alapúak? Vagy azokkal, amelyek ugyan CMS alapúak, de az ügyfelet nem fogod rávenni a frissítésre? Jobb lenne transzparens módon, úgy, hogy az oldalak kódjához nem kellene hozzányúlni. Kell egy lista (fájlban vagy adatbázisban), amely tartalmazza azoknak a PHP fájloknak az elérési útvonalát és MD5 ellenőrző összegét, amelyeknek engedélyezett a levélküldés.

Valószínűleg egy remekbe szabott sendmail wrapper kellene, de fél napja keresek hasonlót és semmi. Lehet, hogy össze kellene rakni...

:-)

Elosztod az ugyfelekt:
a szerver: nincs levelkuldes (pl. statikus oldalak)
b1 szerver: sendmail nincs, csak smtp
b2 szerver: sendmail nincs, csak smtp
b3 szerver: sendmail nincs, csak smtp

Es ha nagyon jofiu vagy, akkor csinalsz egy c szervert, ahol lehet sendmailt hazsnalni, de kijelented, hoyg Te mosod kezeidet, ha ott barki zurt csinal.

Aztan lehet kulon is arazni. Mittomen, a szerver ara b/2 , legdragabb a c.
Kinos munka, de hosszutavon sztem bevalik. Nalunk bevalt :)

Update: vagy probalj meg hatni a lelkukre: "Ugye nem szeretne, ha az oldalat barmi baj erne mas felhasznalok felelotlen magatartasa miatt? Ezert sajna le kell tiltanunk a sendmailt, de a CMS-eihez itt talal SMTP plugint". Akinek meg nem CMS-e van es nem tudja megoldani, az mehet a resztli szerverre, ahol magas a veszelyfaktor, de hasznalhato a sendmail...Legtobben megertik.
Nincs jobb otletem, ha az ugyfel hulye, akkor egy hulye miatt ne szivjon 10 normalis, az az egy hulye huzzon el.

--
http://www.micros~1

( Proci85 v | 2013. 06. 03., h – 09:18 )

Továbbra is: http://hup.hu/node/122043#comment-1570653

Legalább fél éve gond nélkül működik. Táblázatban időnként ránézek ki hol tart, de figyelmeztető üzenet is megy, ha valaki elérte a kvótát.

Pl. 


ID	site	napi	heti	havi	client	script	pwd	user	date
277	www.domain1.hu	38	90	164	175.42.87.xxx	/en/index.php	/var/www/virtual/domain1.hu/htdocs/en	vu25xx	2013-06-03_08:32:46
83	domain2.hu	4	16	25	142.4.107.xxx	/ucp.php	/var/www/virtual/domain2.hu/htdocs	vu21xx	2013-06-03_03:32:30

Szia!

Ez egy igen jó megoldás, ha a kvótát akarod betartatni a normál userekkel.

Én viszont egy olyat keresnék - akár ötvözve a Tiéddel, mert az nagyon jóóó - amely az esetlegesen a "radar alatt" betelepülő PHP szkripteknek egyáltalán nem engedne meg semmilyen levélküldést, mert hogy nincsenek rajta az engedélyezett feladó listáján. Esetleg egy limit feletti próbálkozás esetén mailt is dobna, hogy felhívja a renitens PHP fájl ténykedésére a figyelmet.

( wachag | 2013. 06. 03., h – 08:54 )

(Off: UNIX haladóból át lehetne tenni Internet:... témakörbe)
subscribe