Questo titolo di domanda potrebbe sembrare un po 'vago, e mi scuso per questo. Permettetemi di iniziare affermando che sono uno psicologo dell'ingegneria, non un esperto di sicurezza informatica o guru informatico. Per fortuna, il mio datore di lavoro (molto, molto grande) mi ha messo in una piccola squadra dove lavoro su un server mission critical che può (idealmente) non fallire mai e deve avere la massima sicurezza. Faccio web design, analisi dell'accessibilità, roba di esperienza utente - tutto front-end. Senza pensarci seriamente e senza alcun riguardo per le mie competenze o il mio background, qualcuno in cima alla catena mi ha incaricato inconsapevolmente di assicurarsi che l'intero sistema sia sicuro, dato che a un certo punto il nostro sito Web è stato elencato su senderbase.org con una scarsa reputazione Valutazione.
Uno dei miei colleghi sembra pensare che Sendmail di unix sia la radice del problema. Concordato, abbiamo bloccato tutto il traffico sulla porta 25 e interrotto l'esecuzione di sendmail. Ma a causa di ciò, i miei moduli di contatto che usano php mail () non funzionano (richiede sendmail). Mi è stato detto che "non c'è modo di usare SMTP su un server e avere un server sicuro". Ma sono meno sicuro di questo.
Su un sistema pulito e non infetto con la sicurezza ideale , sendmail potrebbe essere preso di mira dall'esterno e utilizzato per inviare email di spam? In altre parole, ci sono modi sicuri per inviare email al server? O dovrò convertire tutti i miei moduli di contatto in "mailto:" link, ecc?
Per essere chiari: la posizione della posta è verso un'e-mail di supporto che usiamo. È hardcoded; tutte le e-mail vengono inviate a questo indirizzo e-mail e l'utente non può cambiarlo (a meno che non ci siano tecniche di hacking di cui non sono a conoscenza, che è davvero la mia domanda). Gli unici campi che l'utente può digitare sono Oggetto, Messaggio e Da.
Ovviamente deve esserci una soluzione alcuni perché vedo i moduli di contatto email sempre su enormi e potenti siti web. Se fosse una debolezza della sicurezza, penseresti a google, yahoo, facebook, cnn, orari e tutti quegli altri siti popolari avrebbero smesso di usarlo molto tempo fa, giusto?