Jump to content

Desabilitar função phpmail


Leo Amarante

Recommended Posts

Olá Galera,

Devidos aos constantes problemas e horas dedicadas para identificar scripts maliciosos que enviam spam através da função mail do php estamos estudando a possibilidade de desativar essa função e liberar o envio apenas autenticado, sabemos que já existem várias empresas que já adotam a medida, nossa preocupação é em relação ao impacto que isso pode ocasionar.

Algum dos colegas aqui do Fórum trabalha ou já trabalhou com essa função desativada em ambiente de produção?

Link to comment
Share on other sites

27 minutos atrás, Leo Amarante disse:

Olá Galera,

Devidos aos constantes problemas e horas dedicadas para identificar scripts maliciosos que enviam spam através da função mail do php estamos estudando a possibilidade de desativar essa função e liberar o envio apenas autenticado, sabemos que já existem várias empresas que já adotam a medida, nossa preocupação é em relação ao impacto que isso pode ocasionar.

Algum dos colegas aqui do Fórum trabalha ou já trabalhou com essa função desativada em ambiente de produção?

Olá @Leo Amarante, há cerca de 1 ano desabilitamos também essa função, e os problemas de envio de spans por scritps, caíram quase a zero. Um ou outro cliente reclama, por usarem em seus sites formulários com essa função, daí nós informamos que agora somente aceitamos envio autenticado, e sempre indicamos eles refazerem os formulários com essa opção de autenticação, e incluisve um ou outro ajudamos a configurar seus formulários, e indicamos inclusive o phpmailer.

Link to comment
Share on other sites

13 minutos atrás, eurotigroup disse:

Olá @Leo Amarante, há cerca de 1 ano desabilitamos também essa função, e os problemas de envio de spans por scritps, caíram quase a zero. Um ou outro cliente reclama, por usarem em seus sites formulários com essa função, daí nós informamos que agora somente aceitamos envio autenticado, e sempre indicamos eles refazerem os formulários com essa opção de autenticação, e incluisve um ou outro ajudamos a configurar seus formulários, e indicamos inclusive o phpmailer.

E como desativou essa função?

Link to comment
Share on other sites

Eu trabalho a muito tempo com essa função desabilitada. No inicio alguns clientes reclamaram e expliquei os motivos, alguns ficaram de boa e atualizaram os seus scripts, outros reclamaram... alegando que na empresa X,Y,Z funciona blá blá blá e pediram cancelamento. Nem me preocupei com isso.

Também pode bloquear a porta 25 no CSF para evitar que scripts enviem por ela e assim o cliente tem que enviar pela 587.

44 minutos atrás, rafael.angelo disse:

E como desativou essa função?

Ué pelo PHP.ini na opção disable_functions

Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, AlmaLinux, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Link to comment
Share on other sites

2 minutos atrás, RevendaHost disse:

Eu trabalho a muito tempo com essa função desabilitada. No inicio alguns clientes reclamaram e expliquei os motivos, alguns ficaram de boa e atualizaram os seus scripts, outros reclamaram... alegando que na empresa X,Y,Z funciona blá blá blá e pediram cancelamento. Nem me preocupei com isso.

Também pode bloquear a porta 25 no CSF para evitar que scripts enviem por ela e assim o cliente tem que enviar pela 587.

Ué pelo PHP.ini na opção disable_functions

OK Obrigado

Link to comment
Share on other sites

@eurotigroup

Valeu pelo feedback. Na sua mudança houve muito impacto em muitos clientes? Li em um fórum americano alguns depoimentos de empresas em que a desabilitação afetou em média menos de 5% dos clientes em um servidor e causou o cancelamento de menos de 2% que não quiseram se adequar.

Penso que dentro desses números o impacto é irrisório perante a qualidade, segurança e tempo que será dispensado na análise de logs e tratamentos de situações. Isso sem contar o stress que diminuirá.

Link to comment
Share on other sites

1 hora atrás, RevendaHost disse:

Ué pelo PHP.ini na opção disable_functions

Pelo php.ini o cliente pode facilmente habilitar criando um php.ini na conta dele. Nas configurações do WHM tem a opção de desabilitar de forma que o cliente não consiga habilitar no php.ini dele.

-

Desabilitei a mais de um ano e foi a melhor coisa que fiz. Não só evita o spam, como não prejudica a reputação dos IPs, já que era um envio não autenticado 99% das vezes direcionado a um gmail, yahoo, etc.

Link to comment
Share on other sites

3 minutos atrás, Thiago Sabaia disse:

Pelo php.ini o cliente pode facilmente habilitar criando um php.ini na conta dele. Nas configurações do WHM tem a opção de desabilitar de forma que o cliente não consiga habilitar no php.ini dele.

-

Desabilitei a mais de um ano e foi a melhor coisa que fiz. Não só evita o spam, como não prejudica a reputação dos IPs, já que era um envio não autenticado 99% das vezes direcionado a um gmail, yahoo, etc.

@Thiago Sabaia

Estamos amadurecendo a idéia por aqui, falei com o nosso gestor de servidores mas ele apresentou apenas a configuração do php.ini, não sabia de outra no whm. Onde encontro essa outra opção?

Link to comment
Share on other sites

20 minutos atrás, Thiago Sabaia disse:

Pelo php.ini o cliente pode facilmente habilitar criando um php.ini na conta dele. Nas configurações do WHM tem a opção de desabilitar de forma que o cliente não consiga habilitar no php.ini dele.

-

Desabilitei a mais de um ano e foi a melhor coisa que fiz. Não só evita o spam, como não prejudica a reputação dos IPs, já que era um envio não autenticado 99% das vezes direcionado a um gmail, yahoo, etc.

Sim, você está correto não me lembrei de comentar esse detalhes.  Para impedir que o cliente use um php.ini pessoal, tem que alterar o arquivo suphp.conf descomentando algumas linhas que eu não me recordo no momento.

18 minutos atrás, Leo Amarante disse:

@Thiago Sabaia

Estamos amadurecendo a idéia por aqui, falei com o nosso gestor de servidores mas ele apresentou apenas a configuração do php.ini, não sabia de outra no whm. Onde encontro essa outra opção?

Bloquear o uso do PHP.ini personalizado pelo WHM eu não sei onde fica isso, ou pelo menos nunca encontrei. A forma que conheço e faço e através do arquivo suphp.conf.

Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, AlmaLinux, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...

Important Information

Do you agree with our terms?