BONDBIG
Full Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Народ, всем привет! Кто может помочь с настройкой автоматической синхронизации общих адресных книг двух независимых серверов MDaemon 9.6.x? Возможно ли такое в MD? Еще есть вопрос: как блокировать письма, с отличающимися return-path и заголовком FROM? Т.е. смысл в том, что сейчас можно организовать отправку писем локальным пользователям таким образом, что в поле "ОТ" у клиента будет тот адрес, который вручную выставлен злоумышленником (пока это я, использую php-sendmail для тестов), например admin@domain.ru Вот пример: Код: <html> <head><title>Проверка отладочной заглушки для sendmail</title></head> <body> <? @extract($_SERVER, EXTR_SKIP); @extract($_POST, EXTR_SKIP); @extract($_GET, EXTR_SKIP); if(!@$to); if(!@$subject); if(!@$body); ?> <h2>Послать тестовое письмо:</h2> <form action="<?=$_SERVER["SCRIPT_NAME"]?>" method=POST> <table width=70% cellpadding=5 cellspacing=2> <tr valign=top> <td>To:</td> <td><input type=text name=to value="<?=@HtmlSpecialChars($to)?>"></td> </tr> <tr valign=top> <td>Subject:</td> <td><input type=text name=subject value="<?=@HtmlSpecialChars($subject)?>"></td> </tr> <tr valign=top> <td>Текст:</td> <td><textarea name=body cols=50 rows=4><input type=text name=subject value="<?=@HtmlSpecialChars($body)?>"></textarea></td> </tr> <tr valign=top> <td colspan=2> <input type=submit name=doSend value="Послать письмо"> <input type=submit name=doDel value="Очистить отладочную директорию"> </td> </tr> </table> </form> <? $dir = "/"; if(@$doSend) { echo "<h2>Посылаем письмо...</h2>\n"; if(mail($to,$subject,$body,"Администратор \"PHP mail()\" <admin@domain.ru>")) { echo "OK, функция mail() сработала корректно.<br>\n"; } else { echo "При вызове mail() произошла ошибка.<br>\n"; } } ?> </body> </html> | Т.е. если злоумышленник знает адрес локальной учетки, то может отправлять юзерам фишинговые письма. Как это прикрыть? | Всего записей: 407 | Зарегистр. 05-05-2006 | Отправлено: 12:10 13-03-2008 | Исправлено: BONDBIG, 12:11 13-03-2008 |
|