ZEND FRAMEWORK 1 SICHERHEIT - E-Mail-Einstellungen?

7

Ich habe eine Frage zu der neuen Sicherheitslücke von Zend , die Magento kürzlich angekündigt hat, bezüglich der E-Mail-Einstellungen unter System-> Konfiguration-> Erweitert-> System-> Mail-Sendeeinstellungen-> Rückgabepfad festlegen

Was genau macht es, wenn dies auf JA gesetzt ist?

Abgesehen davon, dass ich die Sicherheitslücke negiere, möchte ich verstehen, welche Funktion ich verliere, indem ich sie auf Nein setze. Ich habe dies auf unserer Staging-Site getestet, indem ich sie auf NEIN gesetzt habe, aber ich sehe keinen Unterschied als Benutzer, nachdem ich einen Verkauf erhalten habe E-Mail, es kann immer noch sehen, wie es von der gleichen E-Mail-Adresse kam und ich könnte darauf antworten.

Ich habe das Benutzerhandbuch überprüft , aber leider hat es nicht viel mehr enthüllt.

AKTUALISIEREN

Bei näherer Betrachtung sehe ich, dass sich die E-Mail-Header geringfügig ändern, wenn ich diese Einstellung anpasse, insbesondere die unten angegebenen:

Bei Einstellung auf JA

Return-Path: <info@example.com>
From: Sales <info@example.com>

Bei Einstellung auf SPEZIFIZIERT

Return-Path: <holy@example.com>
From: Sales <info@example.com>

Bei Einstellung auf NO

Return-Path: <www-data@ip-71.21.212.34.ec2.internal>
From: Sales <info@example.com>

Jetzt habe ich eine neue Frage: Wie hilft das Anzeigen Ihrer IP-Adresse und Ihres Server-Benutzernamens durch Ändern der Einstellung auf NO, Ihre Magento-Website zu schützen?

Wenn ich von SENDMAIL zu POSTFIX wechsle, wird dies das Problem lösen?

magento-1.9 security zend-framework Stechpalme
quelle

Antworten:

2

Sendmail ist für die meisten Linux-Betriebssysteme ein Defekt und weist seit einigen Jahren Sicherheitslücken auf. Viele Hosting-Anbieter schalten es aus diesem Grund aus.

Wenn Sie Zweifel haben, nachdem Sie Return-Path über den Administrator auf NO gesetzt haben, um mit Ihrem Hosting-Anbieter zu chatten, prüfen Sie, ob dieser den Sendmail-Daemon so ändern kann, dass er NICHT auf 25 / tcp hört, da er Sie sofort vor Remote-Sendmail-Kompromissen schützt.

Nach meiner Erfahrung und bei E-Mails, die in die Spam-Box von Kunden gelangen, gibt es normalerweise eine Einstellung entweder bei ihnen oder auf Ihrem Server, um dies zu verhindern.

Wenden Sie sich wie oben beschrieben an den Support Ihres Hosting-Anbieters oder E-Mail-Anbieters, wenn Sie einen verwenden, da dieser über Kenntnisse zum Sortieren verfügt, da viele Anwendungen standardmäßig auf Sendmail angewiesen sind.

ThickyBlack
quelle
2

Wenn Sie den Rückweg auf NEIN setzen, besteht für Ihre E-Mails ein höheres Risiko, von einigen E-Mail-Anbietern blockiert zu werden, und es besteht auch ein höheres Risiko, dass sie als Spam gekennzeichnet werden.

Sie haben also ein höheres Risiko, dass Ihre E-Mails Ihre Kunden nicht erreichen (E-Mails bestellen, Registrierung usw.).

Die Offenlegung Ihrer IP-Adresse ist kein Sicherheitsproblem, da Sie diese Informationen sehr einfach finden können. www-data ist der Benutzer, unter dem der Apache-Webserver ausgeführt wird.

Claudiu Creanga
quelle
1

Bei Einstellung auf JA

Magento verwendet die E-Mail, die Sie in den Verkaufs-E-Mails für diesen Bereich konfiguriert haben

Bei Einstellung auf NO

Server-Standard verwenden.

Spezifizierten

Verwendet die von Ihnen angegebene E-Mail-Adresse. Dies ist jedoch der globale Bereich.

Dies geschieht, wenn Ihr Mailserver als Standard konfiguriert ist (zumindest nach meiner Erfahrung mit Ubuntu).

Versuchen Sie, Postfix auf Ihrem Server zu verwenden. Wenn Sie Google Mail verwenden, können Sie es zur Authentifizierung Ihrer E-Mails konfigurieren. Hier finden Sie eine nützliche Anleitung. https://easyengine.io/tutorials/linux/ubuntu-postfix-gmail-smtp/

Ricky Odin Matthews
quelle
Ihr YESErgebnis ist nicht ganz korrekt. Betrachten Sie die Methode Mage_Core_Model_Email_Template::sendTransactional, die besagt, dass, wenn Absenderinformationen nicht explizit angegeben werden, die konfigurierte E-Mail-Adresse des Geschäfts nach Typ verwendet wird. Meistens ist dies der "allgemeine" Kontakt in System > Configuration > General > Store Email Addresses. Was auch immer dieser Wert ist, der je nach Herkunft des Anrufs variieren kann, würde den Rückweg festlegen.
Rick Buczynski
@ RickBuczynski guter Punkt - Ich nahm an, dass der Kontakt ausgefüllt und in meiner Antwort festgelegt werden würde, danke für die Klarstellung
Ricky Odin Matthews
0

Ein Rückweg von [email protected] sieht nicht wie eine Zustelladresse aus.

Wenn ja, werden E-Mails von Kunden, die auf Antwort auf eine Bestell-E-Mail klicken, nicht zugestellt - was kein gutes Ergebnis ist!

David B.
quelle
Ich habe in Google Mail getestet und auch ohne Return-Pathdie Antwort funktioniert
Holly
Mein Fehler. Ich habe es nicht mit Reply-to verwechselt. Return-Path ist eigentlich die Adresse, an die nicht zustellbare Nachrichten gesendet werden, falls die ausgehende Nachricht nicht zugestellt werden kann. In Ihrem Beispiel also für den Fall, dass [email protected] kein gültiges Postfach ist - was wahrscheinlich erscheint oder wenn kein anderes Routing auf dem Server vorhanden ist, um an dieses gesendete E-Mails zu verarbeiten Adresse, dann gehen alle Diagnosemeldungen für nicht zustellbare Nachrichten verloren.
David B
Ich habe gerade selbst einen Test ausgeführt und den Rückgabepfad auf Nein gesetzt, und der Rückgabepfad in nachfolgenden E-Mails mit ausgehender Bestellung war unverändert, dh derselbe wie die Absenderadresse. Hier scheint es eine Diskrepanz zwischen Ihrem und meinem Test zu geben!
David B
@DavidB Dies liegt daran, dass Ihre Serverkonfiguration anders ist. Die interne Domain ist ein Ergebnis der Standard-Sendmail-Konfiguration
Ricky Odin Matthews