[MASOCH-L] RES: Blacklists manuais - MTA

[Cleber @ Listas]

Concordo plenamente. Um servidor web não é e-mails. Se o usuário precisa mandar email que utilize uma conta autenticada. Fizemos uma data de corte aqui onde novos clientes são obrigados a enviar email com autenticação. Dificil é convencer o legado e os programadores que não tem o mínimo de experiência WEB que o comando mail() não é seguro.

-----Mensagem original-----
De: masoch-l [mailto:masoch-l-bounces at eng.registro.br] Em nome de Danton Nunes
Enviada em: quinta-feira, 23 de julho de 2015 09:12
Para: Mail Aid and Succor, On-line Comfort and Help
Assunto: Re: [MASOCH-L] Blacklists manuais - MTA

On Thu, 23 Jul 2015, Leandro Carlos Rodrigues wrote:

> Também notei isso. Bem massivo mesmo. Este caso do www-data@* é por 
> conta de uma vulnerabilidade do Apache onde é possível rodar processos 
> externamente. A vulnerabilidade foi corrigida pelos desenvolvedores 
> mas muitos administradores de servidor Apache não se deram conta do 
> problema ainda e os hackers usam ela para enviar e-mails de malware.

a vulnerabilidade em questão não é do apache, mas do php, especificamente de seus métodos ingênuos para enviar mail. uma boa prática de projeto mas que complica a vida dos usuários é desabilitar qualquer possibilidade de um servidor web enviar email.
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l