On Thu, Dec 28, 2006 at 08:53:56AM +0600, Victor Sudakov wrote:
Dmitry Pryanishnikov wrote:
А что делаете с сайтами, которые рассылают мусор из CGI-скриптов через /usr/sbin/sendmail ?
У нас на хостинге вместо sendmail стоит ssmtp, запатченный вот таким образом:
[dd]
Все хорошо, но никто не мешает этому самому скрипту поудалять все эти переменные через setenv(). Ведь ssmtp - потомок CGIшки и наследует _ее_ окружение, правда?
Согласен. Поэтому я и спросил, а как другие помечают почту, рассылаемую из CGIшек.
У меня работает program map в sendmail. Он же обслуживает и PHP mail, используя результаты работы малюсенького auto prepend скрипта с нужными putenv внутри. Внутренности PHP не трогал вообще. Кстати коллеги - виндовые админы подкинули идею о собственном PHP extension как разумном компромиссе.
С другой стороны, нас это решение выручало. Это ведь реже случается, что сам пользователь хостинга оказывается спаммером, причём настолько грамотным, чтобы замести следы. Чаще бывает, что exploit направлен против какой-нибудь веб-формы, установленной невинным пользователем.
На PHP у нас стоит патч вот отсюда: http://mirror.trouble-free.net/sources/php-4.3.11-mail-header.patch
Интересно, но как бы не совсем достаточно по двум причинам: a) Часто хочется видеть полный REQUEST_URI, иногда это очень помогает для быстрого понимания происходящего, особенно если речь идет о cross site scripting. Понятно что патч не догма впрочем b) sendmail-центричность патча, что ли. Из-за чего применение его на IIS мне кажется сомнительным Кстати буду крайне признателен за любую информацию о практике применения подобных вещей на IIS (особенно применительно к ASP и .NET)
-- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:sudakov@sibptus.tomsk.ru