Am Donnerstag, 10. August 2006 18:18 schrieb Sandy Drobic:
Andreas Schott wrote:
Hallo zusammen
Ich habe hier zu reinen Übungszwecken einen Webserver (SuSE 9.3 + XAMPP 1.53a) stehen, der per DynDNS am Internet in einer DMZ des Routers hängt. Darauf liegen einige Internetseiten. Nun habe ich eine Kontaktseite erstellt, die per PHP eine Mail an meine web.de Adresse versendet. Das PHP-Script funktioniert auch perfekt.
Unter "perfekt funktionieren" verstehe ich, dass das Script nicht nur seinen eigentlichen Zweck erfüllt, sondern auch gegen Mißbrauch abgesichert ist. Hast du das Script auch darauf hin abgeklopft?
Hier liegt noch ein Problem, befürchte ich - sorry sicher nicht perfekt. Ich arbeite noch daran.
Die Wahrscheinlichkeit, dass Postfix ausgenutzt wird als Relay, ist bei normaler Konfiguration fast Null. Die Wahrscheinlichkeit, dass ein Webserver mit dynamischen Seiten, CMS auf PHP-Basis und Mail-Formular ausgenutzt wird, liegt um viele Potenzen höher. (^-^)
Wenn dein Mailscript die Empfängeradresse vom Benutzer entgegennimmt, dann gehe ich davon aus, dass der Inhalt der Mail von dir festgelegt wird, und auch keine Möglichkeit der Injektion von Scripten oder Headerzeilen möglich ist?
s.o.
Nun möchte ich natürlich kein offens Relay haben bzw. soll definitiv nur von diesem Rechner Mails weiterverschickt werden (uns auch nur per PHP). Kann da mal jemand bitte nachsehen, ob die Postfixconfig soweit in Ordnung ist?
[Ausgabe postconf -n ]
Ansonsten ist die Konfiguration in Ordnung.
Ich würde aber auf jeden Fall eine Funktion scripten, welche das Log überprüft und Alarm schlägt, wenn plötzlich auffällig viele Mails verschickt werden.
Gute Idee. Danke Andy