Wie beschränken Sie ausgehende SMTP-E-mail gesendet von PHP

Haben wir shared hosting-Servern, die den Einsatz von PHP fastcgi (auf IIS) für mehrere clients (shared hosting). Regelmäßig clients verwenden die alten verwertbaren code, der bewirkt, dass Löcher in Ihre Anwendungen, die irgendwann von Hackern verwendet, um schädlichen code zu installieren. Die meisten der Zeit, dieser code wird verwendet zum versenden von spam über unsere Server.

Wir haben keine Kontrolle über unsere Kunden-code, so dass das patchen der Löcher ist ziemlich unmöglich.

Wir möchten jedoch zu blockieren, die Kunden spam senden, sobald Sie mehr senden, dann X E-Mail-Nachrichten, die in Y Zeit.

Setup ist fastcgi-basiert, so gibt es wenig Beziehung zwischen php und den webserver.
PHP sendet seine E-mail über SMTP auf localhost. Der mailserver erlaubt auch die Weitergabe von allen localhost-verbindungen (offensichtlich).

Eine Sache, geht mir durch den Kopf, ist das setzen einer environment-variable mit einem Bezeichner in der fastcgi-Umgebung und mit Hilfe von php-prepend-Datei option, um eine Kopfzeile auf alle Mails, die von der php-mailer. Danach könnten wir das E-mail-header zu identifizieren, die Spam-Täter.

Die oben genannte option immer noch nicht, kümmern sich um spam-Skripte mit regelmäßigen telnet (telnet localhost (HELO, MAIL FROM, etc... ) beim senden von E-Mail.

Meine Frage an Euch: ist die Idee, die ich erwähnt habe, die beste und vielleicht einzige Möglichkeit, um sich mit unserer Frage? Oder gibt es bessere Lösungen für diese situation? Und wenn ja, bitte erklären Sie, wie würde mit dem Thema beschäftigen.

Nicht sicher, ob dies ist eine Frage der Programmierung erhalten Sie möglicherweise eine bessere Antwort auf serverfault.com
Ich war im Zweifel auch. Einfach nicht sicher, ob die Lösung wäre, auf die PHP ' s end-der smtp-server, Ende oder beides.. Naja wahrscheinlich beides. Ich denke, man müsste wissen von beiden und ich erwarte mehr PHP-Entwickler über server wissen dann Umgekehrt. Wenn ich keine Antworten hier, aber, krank zu Fragen für einen Umzug auf serverfault.

InformationsquelleAutor Damien Overeem | 2013-06-20

4

Können Sie filter, die Sie auf MTA (message transfer agent). Zum Beispiel, erlauben nicht mehr als 50 E-Mails in 1 Stunde für jeden Benutzer in Exim ( http://www.exim.org ) config-Datei (/etc/exim/exim.conf):
```
begin acl

acl_check_not_smtp:
warn ratelimit = 0 / 1h / strict / $sender_address_local_part
log_message = Sender rate $sender_rate / $sender_rate_perio

acl_not_smtp = acl_not_smtp
begin acl
acl_not_smtp:
        deny message = Sender rate overlimit - $sender_rate / $sender_rate_period
        ratelimit = 50 / 1h / strict
        accept
```
Und egal wie Sie versuchen, Sie zu senden, per php-mail() oder eine andere Methode.
- Mehrere smtp-Server haben, die Einstellung ja, aber es kommt alles darauf an, das wissen der Nutzer. Wenn Benutzer senden, durch nicht authentifizierte smtp auf localhost, gibt es keine offensichtliche Möglichkeit, zu erkennen, welcher Benutzer das senden der E-Mails. Es könnte noch getan werden, indem bekannte E-Mail-Adressen im "From", aber das könnte noch leicht gefälscht werden und es würde komplizieren die Sache für Kunden, die unsere Server als Webhoster, während Sie Ihre eigenen Büro-mail-Server (dennoch senden von mail aus Ihrem "office" - Adresse im Feld "Von")
- Do yo haben einige software können die Verwaltung Ihrer Kunden? Ich meine,, Sie nutzen CPanel ( cpanel.net ) oder etwas wie das? CPanel, zum Beispiel, hat mit Einstellungen zu tun, was Sie brauchen: docs.cpanel.net/twiki/bin/view/AllDocumentation/WHMDocs/... . Wenn Sie nicht mit jedem system für das verwalten Sie Kunden haben, können Sie versuchen, direkt auf Ihrer firewall.
- Aber wie würde dieser deal mit localhost verbindungen, die nicht authentifizierten smtp? Ich kann nicht erzwingen, authentifizierten SMTP wird, da dies Auswirkungen auf die vorhandenen Nutzer.
- Es ist ein shared-hosting, richtig? Also alle clients haben einen eigenen domain-Namen, sondern ein "localhost". Man kann es trennen von Domänen. Zum Beispiel für CPanel: Login WHM >> Einstellungen Optimieren >> Die maximal pro domain senden können pro Stunde (0 ist unbegrenzt).
- Wir sind nicht mit CPanel, sondern unsere eigene Umwelt. Das problem ist "jeder Domäne" in diesem Beispiel. Was bestimmt die "Domäne", der php - mail() ist eine mail an localhost:25 ohne Authentifizierung. Wie man bestimmt, welche domain ist das senden der E-Mail? Siehe mein Erster Kommentar.
- So benötigen Sie eine SMTP-relay (z.B. emailrelay.sourceforge.net ), die ALLE E-Mails von Kunden, und überprüfen Sie es, indem Sie einige Regeln. Youcan blockieren von port 25 für lokale Benutzer und übertragen es auf port 10025 (Beispiel). Auf diesem port werden alle E-Mails abgefangen, die von SMTP-relais, Grenzen werden überprüft und wenn alles gut - schicken Sie es zu Ihrem SMTP-server.
- lassen Sie uns weiter, diese Diskussion im chat
- +1. Dies ist eine gute Lösung, obwohl formulieren, ein bisschen schlecht. Die Idee hier ist, um die Konfiguration des web-Server mit PHP zum weiterleiten von Nachrichten über einige gemeinsame MTA (wenn Sie keine haben, eine einzurichten). Die MTA dann gilt Filterlogik, um alle Nachrichten, so dass Sie, den administrator zu sperren ausgehender E-mail basierend auf was auch immer die Parameter, die Sie mögen (wie send rate). Der Vorteil ist, dass dieser MTA kann von anderen Systemen genutzt werden, als auch (andere interne web-Server oder application-Servern, die es ermöglichen, E-Mails senden), um ein zentrales management/logging-hub für alle ausgehenden E-Mails.
InformationsquelleAutor ToxaBes
2

Den meisten shared-hosts Sperrung der Nutzung von PHP ' s mail () - Funktion kann leicht ausgenutzt werden. Statt dessen haben Sie die Beratung mit sendmail oder ähnliche Skripte, die eine SMTP-Authentifizierung erforderlich, bevor Sie senden. Vorausgesetzt du bist nicht bereits, dies zu tun, einmal implementiert, sollten Sie in der Lage zu verfolgen die Anzahl der gesendeten E-Mails von einer bestimmten domain/E-Mail-Konto und legen Beschränkungen auf Sie.
- Ich verstehe Ihre Lösung. Sie Schlüssel ist dabei eine authentifizierte smtp, aber in Anbetracht der Tatsache, dass wir haben schon einige Benutzer und vorhandenen code auf unseren Servern, haben wir nicht die Möglichkeit, zu erzwingen, das die Benutzer, um Ihren code. (Auch wir -könnten-, aber das würde wahrscheinlich bedeuten, eine sehr beschäftigte support-desk). Die Lösung hat ohne Auswirkungen für unsere Kunden.
InformationsquelleAutor mani
2

Okay, stick mit mir auf diese ein. Ich habe nicht realisiert, aber es sieht gut aus.

Das Konzept hier ist, dass man
1. ausführen einer php-Datei, bevor Sie für JEDE Seite auf Ihrer Kunden-Website
2. in dieser php-Datei benennen Sie die mail-Funktion zu mail_internal().
3. in php erstellen Sie eine neue Funktion namens mail, um Ihre check /überprüfung, ob Ihr Kunde ist berechtigt, die E-mail zu senden, und wenn Sie rufen Sie die mail_internal () - Funktion mit den gleichen Parametern.
Müssen Sie installieren die PECL Erweiterung runkit
http://us.php.net/manual/en/runkit.installation.php

Änderungen

in php.ini
```
auto_prepend_file /var/www/allclients_forcedfile.php
```
in /var/www/allclients_forcedfile.php
```
runkit_function_rename ( "mail" , "mail_internal" );
function mail (   $to ,   $subject ,   $message, $additional_headers = "",   $additional_parameters ="" )
{
     $args = func_get_args();
     error_log("mail_internal : $_SERVER[HTTP_HOST] : ".implode(" : ",$args));
     //lookup whether you want to send more mail for this client  maybe by keeping a counter in some file in the $SERVER[DOCUMENT_ROOT]
     if($sendmoremail)
            return mail_internal (   $args[0],   $args[1] ,   $args[2], $args[3]  ,   $args[4]   );
     return false;
}
```
- Sie wissen, dass ich eigentlich gar nicht gedacht. Ich habe zwar noch nicht testen diese auf unseren windows-Umgebung (nicht sicher, ob die runkit-Erweiterung existiert auch für windows, aber es ist ein interessanter Gedanke. +1 auf jeden Fall. Ich werde versuchen, dieses heraus.
- Ich würde gerne hören, wenn es funktioniert. Mit dieser kann ich Bild eine sehr Coole Bibliothek, die über viele eingebaute Funktionen zu geben, die Gastgeber die Kontrolle über Sie
InformationsquelleAutor Michael Blood
1

Als erwartet, es scheint, Stack-Überlauf ist nicht der richtige Ort für diese Frage. Die bereitgestellten Antworten nicht setzen einige klare Methode zur Identifizierung der FastCGI-Sitzungen' verbindungen zu den MTA-server (SMTP).

Gehe ich mit meinen anfänglichen Konzept, das hinzufügen einer id zu der php-Umgebung. Diese Bezeichner werden können, Lesen Sie in der PHP - voranstellen - Datei mit der getenv() Funktion. Diese Kennung kann dann Hinzugefügt werden, um E-mail-Header für ausgehende E-Mails.

Außerdem habe ich aktiviert, die E-mail.add_x_header ini-Einstellung, die helfen, herauszufinden, welches script verursacht das spam ausgeführt.

Lasse ich die Frage offen für die bounty Dauer, in der Hoffnung anderen Optionen wird magisch erscheinen 🙂
- Prepend-Datei (und PHP-code-Lösung im Allgemeinen) ist nicht wirklich straight forward und einfach zu manipulieren. Besser ist es mit der ini-Werte. Konfigurieren Sie Ihre FCGI-wrapper um diese ini-Einstellungen basierend auf die Umwelt. Ich weiß, das funktioniert gut auf linux-Systeme und ich technisch keinen Grund sehen, nicht das gleiche unter windows.
- Besser noch, stellen Sie sich diese Frage auf serverfault.com. Dies ist ein sysadmin Frage.
- Das war schon vorgeschlagen. Tatsache ist, die Lösung könnte auch verlangen, eine Menge von php sowie server-side-Konfiguration. Ich erwarte mehr php-Programmierer wissen, sysadmin-Aufgaben, dann die Systemadministratoren wissen, php. Jedoch, die Frage wurde bereits markiert mit einer Anfrage für den Umzug auf serverfault
InformationsquelleAutor Damien Overeem

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.