форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Почта / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"Roundcube отключить часть заголовка"	+/–
Сообщение от Alex (??) on 23-Июн-15, 12:49
на сервере стоит RoundCube при отправке письма пишутся заголовки: X-PHP-Script: wwwmail.home.ru/index.php for 192.168.1.3 X-PHP-Originating-Script: 0:rcube.php как то это на мой взгляд не совсем секурно. не подскажите как их отключить или исправить? (но не через php.ini)
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Roundcube отключить часть заголовка"	+/–
Сообщение от Дядя_Федор on 23-Июн-15, 22:50
Попробуйте в файле config/main.inc.php изменить параметры $rcmail_config['useragent'] = и $rcmail_config['product_name'] = а также $rcmail_config['http_received_header'] = false;
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Roundcube отключить часть заголовка"	+/–
	Сообщение от eRIC (ok) on 24-Июн-15, 06:33
	> Попробуйте в файле config/main.inc.php изменить параметры $rcmail_config['useragent'] > = и $rcmail_config['product_name'] = а также $rcmail_config['http_received_header'] > = false; $rcmail_config['http_received_header'] = false; отвечает на заголовки типа: Received: from [99.X.Y.Z] by webT.mail.X.yandex.ru via HTTP; X-PHP-* header подставляет не Roundcube, а сам движок PHP, который можно отключить в php.ini при помощи ключа mail.add_x_header но к счастью в функции mail в php может передать дополнительные заголовки, которые можно спуфить, к примеру: mail("user@host.com","Subject Line","Body","X-PHP-Mailer-Script: {$_SERVER[HTTP_HOST]}{$_SERVER[REQUEST_URI]}\nX-PHP-Mailer-Path: {$_SERVER[SCRIPT_FILENAME]}\nX-PHP-Remote-IP: {$_SERVER[REMOTE_ADDR]"); взято из https://bugs.php.net/bug.php?id=19538 гляньте вот это тоже http://www.the-art-of-web.com/php/x-php-script/ хакайте Roundcube файл program\lib\Roundcube\rcube.php, фунцию deliver_message где через mail() передается сообщение
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Roundcube отключить часть заголовка"	+/–
Сообщение от Andrey Mitrofanov on 24-Июн-15, 09:41
> X-PHP-Script: wwwmail.home.ru/index.php for 192.168.1.3 > X-PHP-Originating-Script: 0:rcube.php > как то это на мой взгляд не совсем секурно. Снявши голову по 1 строчке не плачут. PHP рфы you, Neo. > не подскажите как их отключить или исправить? > (но не через php.ini) Второй вот так-- Исходники php посмотреть, обнаружить "PG(mail_x_header)" - http://php.net/manual/en/mail.configuration.php#ini.mail.add... Какой-нибудь php.ini-development почитать: ; Add X-PHP-Originating-Script: that will include uid of the script followed by the filename mail.add_x_header = On
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Roundcube отключить часть заголовка"	+/–
	Сообщение от Alex (??) on 24-Июн-15, 12:10
	действительно, во всем виноват php с этими заголовками, некие варианты защиты, поиск скриптов рассылающих спам и так далее. в php.ini прописал mail.add_x_header = Off избавился от "X-PHP-Originating-Script" это хоть что то. а вот как отключить "X-PHP-Script" в php еще актуально. по поволу моей паранои. все мы со своими тараканами. мне не нравится что "X-PHP-Script" указывает мой домен веб формы на которой стоит Roundcube. так как эта вещь распростаненная, то при нахождении какой нибуть дырки, очень легко на мой взгляд просканерить ответы...  ну и так далее. понятно что паролится папка на уровне apache ... и это сделаем. вот я по возможности и создаю проблемы... отключаю все опасзновалки... версии.. название ПО..
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Roundcube отключить часть заголовка"	+/–
	Сообщение от Дядя_Федор on 24-Июн-15, 14:23
	security through obscurity. :) Тоже неплохой вариант.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема