Jump to content
Sign in to follow this  
Leo Amarante

Desabilitar função phpmail

Recommended Posts

Olá Galera,

Devidos aos constantes problemas e horas dedicadas para identificar scripts maliciosos que enviam spam através da função mail do php estamos estudando a possibilidade de desativar essa função e liberar o envio apenas autenticado, sabemos que já existem várias empresas que já adotam a medida, nossa preocupação é em relação ao impacto que isso pode ocasionar.

Algum dos colegas aqui do Fórum trabalha ou já trabalhou com essa função desativada em ambiente de produção?


Especialista em Migrações de Sites e Ecommerce entre plataformas e Hosting ⏭️

Share this post


Link to post
Share on other sites
27 minutos atrás, Leo Amarante disse:

Olá Galera,

Devidos aos constantes problemas e horas dedicadas para identificar scripts maliciosos que enviam spam através da função mail do php estamos estudando a possibilidade de desativar essa função e liberar o envio apenas autenticado, sabemos que já existem várias empresas que já adotam a medida, nossa preocupação é em relação ao impacto que isso pode ocasionar.

Algum dos colegas aqui do Fórum trabalha ou já trabalhou com essa função desativada em ambiente de produção?

Olá @Leo Amarante, há cerca de 1 ano desabilitamos também essa função, e os problemas de envio de spans por scritps, caíram quase a zero. Um ou outro cliente reclama, por usarem em seus sites formulários com essa função, daí nós informamos que agora somente aceitamos envio autenticado, e sempre indicamos eles refazerem os formulários com essa opção de autenticação, e incluisve um ou outro ajudamos a configurar seus formulários, e indicamos inclusive o phpmailer.

  • Like 1

Rogério Dias - EuroTI Group - www.eurotigroup.com.br

Share this post


Link to post
Share on other sites
13 minutos atrás, eurotigroup disse:

Olá @Leo Amarante, há cerca de 1 ano desabilitamos também essa função, e os problemas de envio de spans por scritps, caíram quase a zero. Um ou outro cliente reclama, por usarem em seus sites formulários com essa função, daí nós informamos que agora somente aceitamos envio autenticado, e sempre indicamos eles refazerem os formulários com essa opção de autenticação, e incluisve um ou outro ajudamos a configurar seus formulários, e indicamos inclusive o phpmailer.

E como desativou essa função?

Share this post


Link to post
Share on other sites

Eu trabalho a muito tempo com essa função desabilitada. No inicio alguns clientes reclamaram e expliquei os motivos, alguns ficaram de boa e atualizaram os seus scripts, outros reclamaram... alegando que na empresa X,Y,Z funciona blá blá blá e pediram cancelamento. Nem me preocupei com isso.

Também pode bloquear a porta 25 no CSF para evitar que scripts enviem por ela e assim o cliente tem que enviar pela 587.

44 minutos atrás, rafael.angelo disse:

E como desativou essa função?

Ué pelo PHP.ini na opção disable_functions


Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress e Magento.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Share this post


Link to post
Share on other sites
2 minutos atrás, RevendaHost disse:

Eu trabalho a muito tempo com essa função desabilitada. No inicio alguns clientes reclamaram e expliquei os motivos, alguns ficaram de boa e atualizaram os seus scripts, outros reclamaram... alegando que na empresa X,Y,Z funciona blá blá blá e pediram cancelamento. Nem me preocupei com isso.

Também pode bloquear a porta 25 no CSF para evitar que scripts enviem por ela e assim o cliente tem que enviar pela 587.

Ué pelo PHP.ini na opção disable_functions

OK Obrigado

Share this post


Link to post
Share on other sites

@eurotigroup

Valeu pelo feedback. Na sua mudança houve muito impacto em muitos clientes? Li em um fórum americano alguns depoimentos de empresas em que a desabilitação afetou em média menos de 5% dos clientes em um servidor e causou o cancelamento de menos de 2% que não quiseram se adequar.

Penso que dentro desses números o impacto é irrisório perante a qualidade, segurança e tempo que será dispensado na análise de logs e tratamentos de situações. Isso sem contar o stress que diminuirá.


Especialista em Migrações de Sites e Ecommerce entre plataformas e Hosting ⏭️

Share this post


Link to post
Share on other sites
1 hora atrás, RevendaHost disse:

Ué pelo PHP.ini na opção disable_functions

Pelo php.ini o cliente pode facilmente habilitar criando um php.ini na conta dele. Nas configurações do WHM tem a opção de desabilitar de forma que o cliente não consiga habilitar no php.ini dele.

-

Desabilitei a mais de um ano e foi a melhor coisa que fiz. Não só evita o spam, como não prejudica a reputação dos IPs, já que era um envio não autenticado 99% das vezes direcionado a um gmail, yahoo, etc.


 Super T Host | Revenda de Hospedagem Ilimitada a partir de R$ 32,95 por mês
 Utilize o cupom PDH e ganhe 60% de desconto nos 3 primeiros meses nos planos de Revenda.
 www.superthost.com.br - Telefone e WhatsApp 21 4125 4334

Share this post


Link to post
Share on other sites
3 minutos atrás, Thiago Sabaia disse:

Pelo php.ini o cliente pode facilmente habilitar criando um php.ini na conta dele. Nas configurações do WHM tem a opção de desabilitar de forma que o cliente não consiga habilitar no php.ini dele.

-

Desabilitei a mais de um ano e foi a melhor coisa que fiz. Não só evita o spam, como não prejudica a reputação dos IPs, já que era um envio não autenticado 99% das vezes direcionado a um gmail, yahoo, etc.

@Thiago Sabaia

Estamos amadurecendo a idéia por aqui, falei com o nosso gestor de servidores mas ele apresentou apenas a configuração do php.ini, não sabia de outra no whm. Onde encontro essa outra opção?


Especialista em Migrações de Sites e Ecommerce entre plataformas e Hosting ⏭️

Share this post


Link to post
Share on other sites
20 minutos atrás, Thiago Sabaia disse:

Pelo php.ini o cliente pode facilmente habilitar criando um php.ini na conta dele. Nas configurações do WHM tem a opção de desabilitar de forma que o cliente não consiga habilitar no php.ini dele.

-

Desabilitei a mais de um ano e foi a melhor coisa que fiz. Não só evita o spam, como não prejudica a reputação dos IPs, já que era um envio não autenticado 99% das vezes direcionado a um gmail, yahoo, etc.

Sim, você está correto não me lembrei de comentar esse detalhes.  Para impedir que o cliente use um php.ini pessoal, tem que alterar o arquivo suphp.conf descomentando algumas linhas que eu não me recordo no momento.

18 minutos atrás, Leo Amarante disse:

@Thiago Sabaia

Estamos amadurecendo a idéia por aqui, falei com o nosso gestor de servidores mas ele apresentou apenas a configuração do php.ini, não sabia de outra no whm. Onde encontro essa outra opção?

Bloquear o uso do PHP.ini personalizado pelo WHM eu não sei onde fica isso, ou pelo menos nunca encontrei. A forma que conheço e faço e através do arquivo suphp.conf.


Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress e Magento.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.




×
×
  • Create New...