最近替朋友在维护一个论坛,在测试账户的时候,发现在邮件注册上有一个严重漏洞,就是论坛在发送邮件验证的时候,会显示是由主机的域名邮件代发的,更严重的是竟然把主机的用户名也暴露,虽然破解有点难度,但是还是留下了一定的安全隐患。下面我们来找一个到底是什么原因,导致了主机用户名的暴露。
上面的邮件地址我已经涂红了,发件人显示的是管理员的注册邮箱,后面写的是由(用户名@主机名)代发。
打开discuz的管理后台,打开站长——邮件设置,我们可以看到,discuz默认的是通过PHP函数的sendmail发送,正是这种发送方式,导致了主机用户名的暴露。
那么我们通过修改邮件发送方式,改成(通过SOCKET连接SMTP服务器发送),然后添加新的SMTP服务器:
免费的SMTP服务器有许多,我添加的是Gmail的SMTP服务器,参数如下:
SMTP服务器输入:ssl.gamil.com
端口:465
验证:打上对勾
发信人邮件地址:Gmail账户全称
SMTP 身份验证用户名:Gmail账户全称
SMTP 身份验证密码:Gmail账户密码
添加成功后我们可以重新注册一个新会员来测试,设置成功的话,再收到邮件就只显示Gmail的名称,就没有由(用户名@主机名)代发了。
转载请注明文章转载自:80博客 [http://www.bk80.com]
本文链接地址:discuz添加SMTP取消邮件代发
关键字:
你最近研究的方向挺多的。
[回复]
那么我们通过修改邮件发送方式,改成(通过SOCKET连接SMTP服务器发送),然后添加新的SMTP服务器:
[回复]
表示一直都用的smtp发的邮件
[回复]
我比较悲剧.用的是godaddy主机.STMP用到的端口25未开放.
代发我也认了.可别人的邮箱把我归为垃圾邮件.
[回复]
对我有用,谢谢博主!
[回复]
选择重于努力,成败在于选择之间。
[回复]