SWM per .htaccess sichern / Abmeldeformulare

[Sperber]

Ach Du je - die haben sich da immer noch auf keinen einheitlichen Standard verständigt?! Na, da haste recht die Finger von zu lassen.
Aber jetzt hab ich Dir genug Zeit gestohlen.

Dank Dir für die Antworten und viele Grüße ins schöne Leipzig!

[mirko]

Nein plane ich nicht. Es gibt für den SMS-Versand keine standardisierten Schnittstellen, jeder Anbieter bastelt irgendwas für den Zugriff von außen zusammen, das habe ich auch gemacht, damit muss man aber für jeden Anbieter einzeln Anpassungen vornehmen, geht natürlich überhaupt nicht.

[Sperber]

Übrigens ein dickes Kompliment zum SWM. Gerade mit dem SMS-Carrier ist das ne feine Lösung für uns Kleingewerbetreibende. Planst Du da u.U. auch noch andere api´s für weitere Carrier anzubieten? Auslands-SMS (Schweiz, Österreich) mit Antwortfunktion würden die Kosten über Deinen Dienst ins unerschwingliche treiben. Kannst Du da vielleicht etwas anbieten?

[Sperber]

Na, dann erklärt sich das - alles fein
Dank Dir für´s Zeit nehmen.

[mirko]

das Passwort wird immer per PHP mail() versendet, niemals per SMTP, weil er zu diesem Zeitpunkt keine SMTP-Daten hat. Ist natürlich auch ein Nachteil, geht PHP mail() nicht, kommt man niemals ans Passwort ran aber nicht zu ändern. Der Mailserver muss ALLE ausgehenden E-Mails mit DomainKey versehen, im Plesk setzt man dazu ein Häkchen, mehr habe ich mich auch noch nicht damit beschäftigt.

[Sperber]

Erm..jetzt bin ich baff, Mirko.

Das ist meine Passwort-Recovery des SWM von gestern.

Code: Alles auswählen

From - Wed Dec 18 14:52:26 2013
X-Account-Key: account4
X-UIDL: UID10-1387035389
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                 
Return-Path: <wwwrun@xxx.server.de>
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on
	xxx.server.de
X-Spam-Level: 
X-Spam-Status: No, score=-1.4 required=7.0 tests=ALL_TRUSTED autolearn=ham
	version=3.2.4
X-Original-To: xy@tld.de
Delivered-To: xy@tld.de
Received: from xxx.server.de (localhost.localdomain [127.0.0.1])
	by xxx.server.de (Postfix) with ESMTP id 99853104E046
	for <xyz@tld.de>; Wed, 18 Dec 2013 14:48:43 +0100 (CET)
Received: by xxx.server.de (Postfix, from userid 30)
	id 812CE104E043; Wed, 18 Dec 2013 14:48:43 +0100 (CET)
To: xyz@tld.de
Subject: Anforderung Ihrer Zugangsdaten
From: xyz@tld.de
Message-Id: <20131218134843.812CE104E043@xxx.server.info>
Date: Wed, 18 Dec 2013 14:48:43 +0100 (CET)

Hallo superadmin,
...

Sendet der SWM die vielleicht über php´s ()? Bin mir jetzt nicht sicher, ob bei der mail function dann die Mails auch mit dem DK versehen werden. Das würde das aber dann erst mal erklären.

[mirko]

Nein man kann nichts einstellen, der Server muss ausgehende Mails mit Domainkey versehen, das funktioniert auch. Beispiel Header nach Versand einer Test-E-Mail über einen meiner Server:

Code: Alles auswählen

Return-Path: <apache@DOMAIN>
X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on DOMAIN
X-Spam-Level: 
X-Spam-Status: No, score=-2.4 required=7.0 tests=BAYES_00,RP_MATCHES_RCVD,
	URIBL_BLOCKED autolearn=ham version=3.3.1
X-Original-To: info@DOMAIN
Delivered-To: webmaster@DOMAIN
Received: from DOMAIN (DOMAIN [87.xxx.xxx.xxx])
	by DOMAIN (Postfix) with ESMTPS id B1FB0A98
	for <info@DOMAIN>; Thu, 19 Dec 2013 10:48:59 +0100 (CET)
Received: from DOMAIN (unknown [127.0.0.1])
	by DOMAIN (Postfix) with ESMTP id 75C7B34000DCF
	for <info@DOMAIN>; Thu, 19 Dec 2013 09:48:57 +0000 (UTC)
DomainKey-Signature: a=rsa-sha1;  q=dns; c=nofws;
  s=default; d=DOMAIN;
  b=yvYS3XmJFW4rAgiP+b2H+WCNI68B2iCmpaBBRg8vbhlSsx4x30MR+JdSDf2GYnCCkBzYGjTsG2+WneFJln55lQ3q4d9UZcWwFx8KVXNblWhNB+c5IwdMGtgJHaszrbcL;
  h=Received:To:Subject:From:Reply-To:Date:Message-Id:Content-Transfer-Encoding:Content-Type;
Received: by DOMAIN (Postfix, from userid 48)
	id 4F53134000DCE; Thu, 19 Dec 2013 09:48:57 +0000 (UTC)
To: info@DOMAIN
Subject: Test E-Mail
From: "info@DOMAIN" <info@DOMAIN>
Reply-To: "info@DOMAIN" <info@DOMAIN>
Date: Thu, 19 Dec 2013 10:48:57 +0100
Message-Id: <e574fbd39942c43c4fb9a6eb910bec71@DOMAIN>
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset="iso-8859-1"

Das ist der Text der Test E-Mail.

[Sperber]

Das ist es ja, was mich wundert. Ich hab mich da vielleicht etwas mißverständlich ausgedrückt. Über Mailrpogramme versendet, habe ich überall den DomainKey im Quelltext, selbst bei den Mails über vBulletin, die ebenfalls über den gleichen smtp und Mailaccount gehen (hab das spasseshalber mal getestet) - eben nur beim SWM nicht.

Kannst Du Dir das erklären? Gibt es im SWM vielleicht irgend etwas, was die Signierung mit den DK´s verhindern könnte? Klappt das denn bei den anderen Kunden? Ich hab bislang noch niemanden sonst hier gefunden, der ähnliches berichtet. Oder es hat noch nie jemand drauf geachtet

Bin da jetzt ein bißchen ratlos. Die ersten Mails sind heute schon im Spam-Ordner bei gmail gelandet.

[mirko]

Der Server muss ausgehende E-Mails mit Domainkeys versehen, SWM macht das natürlich nicht.

[Sperber]

Danke Mirko, das versuch ich mal.

Ich hab aber gerade ein Anliegen, dass mir viel wichtiger ist. Der SWM wird in einer Produktivumgebung eingesetzt und die Zustellung der eMails ist daher kritisch. Was mir nun auffällt ist, dass ich auf dem Server zwar die DomainKeys eingeschaltet habe, der SWM diese aber nicht übernimmt, obwohl er über smtp/SSL über einen Account versendet und eben gerade nicht über phps mail()-Funktion.

Mach ich da was falsch oder unterstützt der SWM das nur einfach nicht? Bei Letzterem wäre das für ein eMail-Marketing aber doch dann eigentlich ein must-have bzw. das not-have annähernd tödlich, oder? Käme das dann noch?

Viele Grüße.

[mirko]

Hallo Mirko,

ich hab den SWM vor etlichen Jahren mal gekauft [Lizenz-Nr 006 ] und dann schlicht vergessen, nachdem ich die Domain verkaufte und das damalige Projekt selbst einstampfte. Vor einer Woche fiel mir das wieder ein und nun steh ich etwas ratlos da. (Übrigens, wie ändere ich die mit der Lizenz verbundene URL?)

Muss man nichts ändern. Man darf unter einer anderen Domain neu installieren, vorher natürlich unter der alten Domain löschen.

Ich würde den SWM gerne hinter eine .htaccess legen und die Abmeldeformulare ausserhalb des SWM-Verzeichnisses aufrufen lassen, um möglichen Angreifern möglichst wenig Hinweise zu liefern, wo sie suchen müssten. Allerdings verstehe ich ehrlich gesagt nicht was ich bei den HTML / Umleitungsseiten eingeben bzw. erstellen/machen muss, damit die im SWM erstellten andernorts ausgegeben werden. Kannst Du mir da vielleicht weiterhelfen?

Das geht nicht. Wenn dann muss man die wrapper-Scripte verwenden, siehe Verzeichnis wrapper und dort natürlich noch Benutzername/Passwort angeben. Das jeweilige Formular ändern und bei "Alternativer http://-Aufruf für Anmeldungen/Abmeldungen" den Aufruf entsprechend angeben.

[Sperber]

Hallo Mirko,

ich hab den SWM vor etlichen Jahren mal gekauft [Lizenz-Nr 006 ] und dann schlicht vergessen, nachdem ich die Domain verkaufte und das damalige Projekt selbst einstampfte. Vor einer Woche fiel mir das wieder ein und nun steh ich etwas ratlos da. (Übrigens, wie ändere ich die mit der Lizenz verbundene URL?)

Ich würde den SWM gerne hinter eine .htaccess legen und die Abmeldeformulare ausserhalb des SWM-Verzeichnisses aufrufen lassen, um möglichen Angreifern möglichst wenig Hinweise zu liefern, wo sie suchen müssten. Allerdings verstehe ich ehrlich gesagt nicht was ich bei den HTML / Umleitungsseiten eingeben bzw. erstellen/machen muss, damit die im SWM erstellten andernorts ausgegeben werden. Kannst Du mir da vielleicht weiterhelfen?

Vielen Dank.