Leo Amarante Posted June 2, 2016 Share Posted June 2, 2016 Olá Galera, Devidos aos constantes problemas e horas dedicadas para identificar scripts maliciosos que enviam spam através da função mail do php estamos estudando a possibilidade de desativar essa função e liberar o envio apenas autenticado, sabemos que já existem várias empresas que já adotam a medida, nossa preocupação é em relação ao impacto que isso pode ocasionar. Algum dos colegas aqui do Fórum trabalha ou já trabalhou com essa função desativada em ambiente de produção? 0 Quote Link to comment Share on other sites More sharing options...
rogerioTI Posted June 2, 2016 Share Posted June 2, 2016 27 minutos atrás, Leo Amarante disse: Olá Galera, Devidos aos constantes problemas e horas dedicadas para identificar scripts maliciosos que enviam spam através da função mail do php estamos estudando a possibilidade de desativar essa função e liberar o envio apenas autenticado, sabemos que já existem várias empresas que já adotam a medida, nossa preocupação é em relação ao impacto que isso pode ocasionar. Algum dos colegas aqui do Fórum trabalha ou já trabalhou com essa função desativada em ambiente de produção? Olá @Leo Amarante, há cerca de 1 ano desabilitamos também essa função, e os problemas de envio de spans por scritps, caíram quase a zero. Um ou outro cliente reclama, por usarem em seus sites formulários com essa função, daí nós informamos que agora somente aceitamos envio autenticado, e sempre indicamos eles refazerem os formulários com essa opção de autenticação, e incluisve um ou outro ajudamos a configurar seus formulários, e indicamos inclusive o phpmailer. 1 Quote Link to comment Share on other sites More sharing options...
rafael.angelo Posted June 2, 2016 Share Posted June 2, 2016 13 minutos atrás, eurotigroup disse: Olá @Leo Amarante, há cerca de 1 ano desabilitamos também essa função, e os problemas de envio de spans por scritps, caíram quase a zero. Um ou outro cliente reclama, por usarem em seus sites formulários com essa função, daí nós informamos que agora somente aceitamos envio autenticado, e sempre indicamos eles refazerem os formulários com essa opção de autenticação, e incluisve um ou outro ajudamos a configurar seus formulários, e indicamos inclusive o phpmailer. E como desativou essa função? 0 Quote Link to comment Share on other sites More sharing options...
RevendaHost Posted June 2, 2016 Share Posted June 2, 2016 Eu trabalho a muito tempo com essa função desabilitada. No inicio alguns clientes reclamaram e expliquei os motivos, alguns ficaram de boa e atualizaram os seus scripts, outros reclamaram... alegando que na empresa X,Y,Z funciona blá blá blá e pediram cancelamento. Nem me preocupei com isso. Também pode bloquear a porta 25 no CSF para evitar que scripts enviem por ela e assim o cliente tem que enviar pela 587. 44 minutos atrás, rafael.angelo disse: E como desativou essa função? Ué pelo PHP.ini na opção disable_functions 0 Quote Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, AlmaLinux, Cpanel e VestaCP. Cloud otimizado e otimização para: Wordpress. Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware. Link to comment Share on other sites More sharing options...
rafael.angelo Posted June 2, 2016 Share Posted June 2, 2016 2 minutos atrás, RevendaHost disse: Eu trabalho a muito tempo com essa função desabilitada. No inicio alguns clientes reclamaram e expliquei os motivos, alguns ficaram de boa e atualizaram os seus scripts, outros reclamaram... alegando que na empresa X,Y,Z funciona blá blá blá e pediram cancelamento. Nem me preocupei com isso. Também pode bloquear a porta 25 no CSF para evitar que scripts enviem por ela e assim o cliente tem que enviar pela 587. Ué pelo PHP.ini na opção disable_functions OK Obrigado 0 Quote Link to comment Share on other sites More sharing options...
Leo Amarante Posted June 2, 2016 Author Share Posted June 2, 2016 @eurotigroup Valeu pelo feedback. Na sua mudança houve muito impacto em muitos clientes? Li em um fórum americano alguns depoimentos de empresas em que a desabilitação afetou em média menos de 5% dos clientes em um servidor e causou o cancelamento de menos de 2% que não quiseram se adequar. Penso que dentro desses números o impacto é irrisório perante a qualidade, segurança e tempo que será dispensado na análise de logs e tratamentos de situações. Isso sem contar o stress que diminuirá. 0 Quote Link to comment Share on other sites More sharing options...
Thiago Sabaia Posted June 2, 2016 Share Posted June 2, 2016 1 hora atrás, RevendaHost disse: Ué pelo PHP.ini na opção disable_functions Pelo php.ini o cliente pode facilmente habilitar criando um php.ini na conta dele. Nas configurações do WHM tem a opção de desabilitar de forma que o cliente não consiga habilitar no php.ini dele. - Desabilitei a mais de um ano e foi a melhor coisa que fiz. Não só evita o spam, como não prejudica a reputação dos IPs, já que era um envio não autenticado 99% das vezes direcionado a um gmail, yahoo, etc. 0 Quote thiagosabaia.net Link to comment Share on other sites More sharing options...
Leo Amarante Posted June 2, 2016 Author Share Posted June 2, 2016 3 minutos atrás, Thiago Sabaia disse: Pelo php.ini o cliente pode facilmente habilitar criando um php.ini na conta dele. Nas configurações do WHM tem a opção de desabilitar de forma que o cliente não consiga habilitar no php.ini dele. - Desabilitei a mais de um ano e foi a melhor coisa que fiz. Não só evita o spam, como não prejudica a reputação dos IPs, já que era um envio não autenticado 99% das vezes direcionado a um gmail, yahoo, etc. @Thiago Sabaia Estamos amadurecendo a idéia por aqui, falei com o nosso gestor de servidores mas ele apresentou apenas a configuração do php.ini, não sabia de outra no whm. Onde encontro essa outra opção? 0 Quote Link to comment Share on other sites More sharing options...
RevendaHost Posted June 2, 2016 Share Posted June 2, 2016 20 minutos atrás, Thiago Sabaia disse: Pelo php.ini o cliente pode facilmente habilitar criando um php.ini na conta dele. Nas configurações do WHM tem a opção de desabilitar de forma que o cliente não consiga habilitar no php.ini dele. - Desabilitei a mais de um ano e foi a melhor coisa que fiz. Não só evita o spam, como não prejudica a reputação dos IPs, já que era um envio não autenticado 99% das vezes direcionado a um gmail, yahoo, etc. Sim, você está correto não me lembrei de comentar esse detalhes. Para impedir que o cliente use um php.ini pessoal, tem que alterar o arquivo suphp.conf descomentando algumas linhas que eu não me recordo no momento. 18 minutos atrás, Leo Amarante disse: @Thiago Sabaia Estamos amadurecendo a idéia por aqui, falei com o nosso gestor de servidores mas ele apresentou apenas a configuração do php.ini, não sabia de outra no whm. Onde encontro essa outra opção? Bloquear o uso do PHP.ini personalizado pelo WHM eu não sei onde fica isso, ou pelo menos nunca encontrei. A forma que conheço e faço e através do arquivo suphp.conf. 0 Quote Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, AlmaLinux, Cpanel e VestaCP. Cloud otimizado e otimização para: Wordpress. Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware. Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.