On Wed, 2007-10-03 at 11:17 +0200, Marco wrote: > On Tue, 2 Oct 2007 22:49:11 +0200, Ruggiero Piazzolla wrote: > > > Se vuoi evitare che gli utenti possano utilizzare funzioni > > come mail() di php potresti sempre orientarti ad un > > disable_functions / disable_classes di php.ini (in generale > > tutto il file php.ini andrebbe custom-hardenizzato a dovere, > > in un environment non hardenizzato le mail sono solo la > > punta dell'iceberg dei tuoi problemi). > Si, sono la punta dell'iceberg, ma non posso permettermi di > bloccare la funzione "mail()". Altre funzioni sono già > disabilitate. > > > Se invece i clienti in hosting devono poter utilizzare il > > mailserver legittimamente, ti consiglio di applicare > > politiche di filtraggio direttamente sul mailserver ( tutti > > i vari *_restrictions, *_limit, etc nel caso di postfix) > Certo, ma se le email inviate non sono rilevate come spam, non > ho una gran discriminante per decidere se sono email lecite o > meno (esempio, newsletter, alcuni clienti le usano ed è > permesso).
C'è un pezzettino di software scritto in python che fa da wrapper a sendmail per le applicazioni php, e permette di fare rate limiting con parametri differenti per dominio e anche per singolo indirizzo di posta. Si chiama php-secure-sendmail e per farlo funzionare come vuoi dovrai modificare un po' il codice, ma è veramente banale. Ha bisogno di un database mysql, e ovviamente non è proprio efficientissimo. > Grazie > -- > mandi, Marco ciao andrea -- Question: “Is there a God?” Answer: “No.” >From the Official God FAQ, http://www.400monkeys.com/God/
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
