Toon posts:

PHPMailer SMTP Authentification veilig ?

Pagina: 1
Acties:

donderdag 3 november 2011 12:00

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ik ben een contact form aan het maken en besloten gebruik te maken van PHPMailer. Ik heb geen ervaring met PHP maar met de tutorial is het me gelukt dit werkend te krijgen.
Ik vraag mij echter nog een paar dingen af waarvan ik het antwoord nog niet op Google heb kunnen vinden. De belangrijkste is dat ik SMTP authentification heb gebruikt. Hiervoor staan dus de gebruikersnaam en wachtwoord van de smtp server in het php script. Deze inloggegevens zijn hetzelfde als voor de beheer van mijn hosting pakket. Nu vraag ik mij af of het wel veilig is deze gegevens in het script te zetten. Is dit terecht en zijn deze gegevens makkelijk te onderscheppen via de website of is het toch veilig genoeg ?

Daarnaast heb ik gelezen dat het gebruik van smtp authentificatie beter is om oa te voorkomen dat de mail door de ontvanger gemarkeerd wordt als spam of phishing, klopt dit inderdaad ?
Dan nog een niet zo'n belangrijke vraag, maar ik ben er wel nieuwsgierig naar. Als ik bijv. van iemand een e-card krijg, die dus door een ander via een webform naar mij verstuurd is, dan krijg ik in gmail als afzender bijv. te zien "email@adres.nl via ecards.com". Kan ik dit ook via PHPMailer inbouwen ?

donderdag 3 november 2011 14:19

Acties:
  • 0 Henk 'm!
  • T-MOB
  • Registratie: Maart 2001
  • Laatst online: 11:05

T-MOB

1. Je gebruikersnaam / wachtwoord zijn in te zien door mensen die toegang hebben tot de broncode van het script. Als het goed is ben je dat alleen zelf, maar er zijn wat scenario's denkbaar waardoor het zou kunnen uitlekken. ALs na een serverupdate de PHP-module niet werkt gaat de webserver de scripts letterlijk weergeven ipv uitvoeren. Dan ligt je wachtwoord dus op straat. Het is daarom altijd aan te raden om PHP scripts zoveel mogelijk buiten je webdir te plaatsen.

2. Zelf zou ik niet snel smtp-authentication toepassen in een PHP-script. Bij de meeste hosters is de boel zo geconfigureerd dat je prima sendmail of mail()-transport methodes kunt gebruiken. In jouw geval vermoed ik dat de smtp-server waarmee je verbindt dezelfde machine is als de webserver. Het toepassen van de authenticatie heeft dan niet zoveel toegevoegde waarde. Maar goed, dat zijn slechts aannames...

3. Je kunt in phpMailer de From en FromAddress properties zetten. Daarmee kun je qua afzender wel bereiken wat je wil, denk ik.

Regeren is vooruitschuiven

donderdag 3 november 2011 14:28

Acties:
  • 0 Henk 'm!
  • MueR
  • Registratie: Januari 2004
  • Laatst online: 13:08

MueR

Admin Tweakers Discord

is niet lief

Tikje naar Programming.

Verder: wat T-MOB zegt

Anyone who gets in between me and my morning coffee should be insecure.

donderdag 3 november 2011 14:29

Acties:
  • 0 Henk 'm!
  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

ja

Was er niet ook iets dat je in je php scripts files kan includen met een andere extentie. die extentie kun je weer in je apache verbieden om binnen te halen

[ Voor 79% gewijzigd door Fish op 03-11-2011 14:36 ]

Iperf

donderdag 3 november 2011 15:20

Acties:
  • 0 Henk 'm!
  • mbarie
  • Registratie: Mei 2011
  • Laatst online: 04-08-2021

mbarie

Ik zou per definitie alle mappen met belangrijke broncode afschermen dmv een .htaccess bestand met "deny from all", of nog liever, je bestanden buiten de root plaatsen. Op deze manier(en) kunnen requests enkel gedaan worden waar ze nodig zijn, en waar je ze verwacht.

Je script waar de requests binnen komen zullen bij het falen van PHP dan enkel wat require(); commando's tonen en eventueel een functie call. De file-locaties en broncode die dan eventueel in te zien is zou onvoldoende moeten zijn om ook maar wat mee te kunnen.

Het gebruiken van een andere extensie dan .php (en andere PHP-gerelateerde extensies die server-side ingesteld zijn) zorgt per definitie voor de mogelijkheid tot het downloaden van de broncode. Tenzij je dit via .htacces verbied. Dan lijkt het mij makkelijker die PHP bestanden gewoon in een donker hoekje te zetten.

[ Voor 37% gewijzigd door mbarie op 03-11-2011 15:35 ]

Storyteller @ soundcloud

donderdag 3 november 2011 16:23

Acties:
  • 0 Henk 'm!
  • Cartman!
  • Registratie: April 2000
  • Niet online

Cartman!

Wat T-MOB zegt: gebruik de gewone mail() functie in PHP.

Mocht dat niet kunnen dan zou ik in je control panel een losse user aanmaken met eigen authenticatie-gegevens en die gebruiken. Het gebruik van de hoofdgegevens van je site zou ik absoluut niet doen. Je hoeft maar een lek te hebben in je beveiliging en iemand kan via bijv. path traversal gewoon jouw files inladen en tonen waarvan je denkt dat ze niet in te laden zijn (omdat de via apache worden geblokt, of omdat ze buiten je webroot staan).

donderdag 3 november 2011 22:12

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Bedankt voor de reacties !
Dan klopt dus inderdaad mijn vermoedde dat het niet geheel veilig is. Gek dat die tutorials dan wel gebruik maken van de smtp functie. Een extra opmerking wat dit betreft lijkt me dan wel handig.
Ik heb nu gebruik gemaakt van de mail() functie en het werkt perfect.
Zelfs de laatste niet zo belangrijke vraag over de vermelding dat het via de website is verzonden in gmail werkt nu. Toch wel fijn, want anders krijg ik elke keer zo'n phishing warning.
Nogmaals bedankt voor de uitleg en oplossing.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq