Ir para conteúdo
  • Cadastre-se

Desabilitar função phpmail

Leo Amarante

Por Leo Amarante
em Segurança

 Compartilhar

Posts Recomendados

Leo Amarante

Leo Amarante

Postado
Postado

Olá Galera,

Devidos aos constantes problemas e horas dedicadas para identificar scripts maliciosos que enviam spam através da função mail do php estamos estudando a possibilidade de desativar essa função e liberar o envio apenas autenticado, sabemos que já existem várias empresas que já adotam a medida, nossa preocupação é em relação ao impacto que isso pode ocasionar.

Algum dos colegas aqui do Fórum trabalha ou já trabalhou com essa função desativada em ambiente de produção?

0
Link para o comentário
Compartilhar em outros sites
rogerioTI

rogerioTI

Postado
Postado
27 minutos atrás, Leo Amarante disse:

Olá Galera,

Devidos aos constantes problemas e horas dedicadas para identificar scripts maliciosos que enviam spam através da função mail do php estamos estudando a possibilidade de desativar essa função e liberar o envio apenas autenticado, sabemos que já existem várias empresas que já adotam a medida, nossa preocupação é em relação ao impacto que isso pode ocasionar.

Algum dos colegas aqui do Fórum trabalha ou já trabalhou com essa função desativada em ambiente de produção?

Olá @Leo Amarante, há cerca de 1 ano desabilitamos também essa função, e os problemas de envio de spans por scritps, caíram quase a zero. Um ou outro cliente reclama, por usarem em seus sites formulários com essa função, daí nós informamos que agora somente aceitamos envio autenticado, e sempre indicamos eles refazerem os formulários com essa opção de autenticação, e incluisve um ou outro ajudamos a configurar seus formulários, e indicamos inclusive o phpmailer.

1
Link para o comentário
Compartilhar em outros sites
rafael.angelo

rafael.angelo

Postado
Postado
13 minutos atrás, eurotigroup disse:

Olá @Leo Amarante, há cerca de 1 ano desabilitamos também essa função, e os problemas de envio de spans por scritps, caíram quase a zero. Um ou outro cliente reclama, por usarem em seus sites formulários com essa função, daí nós informamos que agora somente aceitamos envio autenticado, e sempre indicamos eles refazerem os formulários com essa opção de autenticação, e incluisve um ou outro ajudamos a configurar seus formulários, e indicamos inclusive o phpmailer.

E como desativou essa função?

0
Link para o comentário
Compartilhar em outros sites
RevendaHost

RevendaHost

Postado
Postado

Eu trabalho a muito tempo com essa função desabilitada. No inicio alguns clientes reclamaram e expliquei os motivos, alguns ficaram de boa e atualizaram os seus scripts, outros reclamaram... alegando que na empresa X,Y,Z funciona blá blá blá e pediram cancelamento. Nem me preocupei com isso.

Também pode bloquear a porta 25 no CSF para evitar que scripts enviem por ela e assim o cliente tem que enviar pela 587.

44 minutos atrás, rafael.angelo disse:

E como desativou essa função?

Ué pelo PHP.ini na opção disable_functions

0

Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, AlmaLinux, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Link para o comentário
Compartilhar em outros sites
rafael.angelo

rafael.angelo

Postado
Postado
2 minutos atrás, RevendaHost disse:

Eu trabalho a muito tempo com essa função desabilitada. No inicio alguns clientes reclamaram e expliquei os motivos, alguns ficaram de boa e atualizaram os seus scripts, outros reclamaram... alegando que na empresa X,Y,Z funciona blá blá blá e pediram cancelamento. Nem me preocupei com isso.

Também pode bloquear a porta 25 no CSF para evitar que scripts enviem por ela e assim o cliente tem que enviar pela 587.

Ué pelo PHP.ini na opção disable_functions

OK Obrigado

0
Link para o comentário
Compartilhar em outros sites
Leo Amarante

Leo Amarante

Postado
  • Autor
Postado

@eurotigroup

Valeu pelo feedback. Na sua mudança houve muito impacto em muitos clientes? Li em um fórum americano alguns depoimentos de empresas em que a desabilitação afetou em média menos de 5% dos clientes em um servidor e causou o cancelamento de menos de 2% que não quiseram se adequar.

Penso que dentro desses números o impacto é irrisório perante a qualidade, segurança e tempo que será dispensado na análise de logs e tratamentos de situações. Isso sem contar o stress que diminuirá.

0
Link para o comentário
Compartilhar em outros sites
Thiago Sabaia

Thiago Sabaia

Postado
Postado
1 hora atrás, RevendaHost disse:

Ué pelo PHP.ini na opção disable_functions

Pelo php.ini o cliente pode facilmente habilitar criando um php.ini na conta dele. Nas configurações do WHM tem a opção de desabilitar de forma que o cliente não consiga habilitar no php.ini dele.

-

Desabilitei a mais de um ano e foi a melhor coisa que fiz. Não só evita o spam, como não prejudica a reputação dos IPs, já que era um envio não autenticado 99% das vezes direcionado a um gmail, yahoo, etc.

0

thiagosabaia.net

Link para o comentário
Compartilhar em outros sites
Leo Amarante

Leo Amarante

Postado
  • Autor
Postado
3 minutos atrás, Thiago Sabaia disse:

Pelo php.ini o cliente pode facilmente habilitar criando um php.ini na conta dele. Nas configurações do WHM tem a opção de desabilitar de forma que o cliente não consiga habilitar no php.ini dele.

-

Desabilitei a mais de um ano e foi a melhor coisa que fiz. Não só evita o spam, como não prejudica a reputação dos IPs, já que era um envio não autenticado 99% das vezes direcionado a um gmail, yahoo, etc.

@Thiago Sabaia

Estamos amadurecendo a idéia por aqui, falei com o nosso gestor de servidores mas ele apresentou apenas a configuração do php.ini, não sabia de outra no whm. Onde encontro essa outra opção?

0
Link para o comentário
Compartilhar em outros sites
RevendaHost

RevendaHost

Postado
Postado
20 minutos atrás, Thiago Sabaia disse:

Pelo php.ini o cliente pode facilmente habilitar criando um php.ini na conta dele. Nas configurações do WHM tem a opção de desabilitar de forma que o cliente não consiga habilitar no php.ini dele.

-

Desabilitei a mais de um ano e foi a melhor coisa que fiz. Não só evita o spam, como não prejudica a reputação dos IPs, já que era um envio não autenticado 99% das vezes direcionado a um gmail, yahoo, etc.

Sim, você está correto não me lembrei de comentar esse detalhes.  Para impedir que o cliente use um php.ini pessoal, tem que alterar o arquivo suphp.conf descomentando algumas linhas que eu não me recordo no momento.

18 minutos atrás, Leo Amarante disse:

@Thiago Sabaia

Estamos amadurecendo a idéia por aqui, falei com o nosso gestor de servidores mas ele apresentou apenas a configuração do php.ini, não sabia de outra no whm. Onde encontro essa outra opção?

Bloquear o uso do PHP.ini personalizado pelo WHM eu não sei onde fica isso, ou pelo menos nunca encontrei. A forma que conheço e faço e através do arquivo suphp.conf.

0

Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, AlmaLinux, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

×
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept