Побажання та пропозиції. Добавление нового профиля в почте

office510
5 років
0
Дабы не повторяться, просто скопирую своё обращение в службу поддержки. Очень прошу устранить описанную неполадку или подсказать, как можно ограничить/выключить подобную функцию. Благодарю.

"Добрый день. Пишу в отношении почтового клиента webmail.adm.tools. Решил изучить возможность добавления почтового ящика в "интерфейс" другого созданного почт. ящика. Т.е., исключительно для удобства, решил добавить 2 почт. ящика в один "интерфейс". Захожу в почтовый ящик - настройки - профили - жму + - в графе E-mail вписываю ящик, который хочу добавить. Захожу обратно в почту - написать сообщение - выбираю тот, другой добавленный ящик и без проблем от его имени отправляю сообщение третьему получателю. Прошу обратить внимание, что при добавлении нового почт. ящика в профиль не просилось указать пароль от этого нового, добавляемого ящика. Стало страшно после того, как я на другом компьютере, через другой имэил нашего сотрудника, в профиль подобавлял другие разные имэилы наших других сотрудников и... без проблем от их имени поотправлял сообщения на разные эл. ящики. Получается, что любой сотрудник, если, конечно, разберется, может отправить сообщение от имени, например, директора кому угодно! Насколько я понял, при добавлении этой функции (добавление профилей), забыли включить необходимость ввода пароля, как подтверждение "владения" этим эл. адресом. Возможно я не совсем понял функцию "добавить профиль", но у меня получилось вышеописанное.."

п.с. Также не лишним будет сказать, что gmail, yandex и т.д. подобные письма охотно принимает, даже если в профиль добавить несуществующий почт. ящик в домене.
ZimbalisT
5 років
0
Это не неполадка, а доступная в webmail опция.
office510
5 років
0
Это не неполадка, а доступная в webmail опция.© ZimbalisT


Сама-то опция нормальная, просто она работает странно. Повторюсь, суть в том, что любой рядовой сотрудник компании может отправить письмо якобы от имени любого другого сотрудника без его ведома. Это, по-моему, ненормально.
ZimbalisT
5 років
0
Соглашусь, это не нормально. Но причина здесь не в доступности опции (она доступна не только в вебмейл, но и в большинстве локальных почтовых клиентов), а в низком качестве подбора сотрудников. Лично я с трудом представляю себя отправляющим письма от имени своих коллег или руководства. Да и злоумышленнику в любом случае доступны другие способы отправить почту от имени нужного отправителя, например скриптом с сайта.
office510
5 років
0
а в низком качестве подбора сотрудников. Лично я с трудом представляю себя отправляющим письма от имени своих коллег или руководства. Да и злоумышленнику в любом случае доступны другие способы отправить почту от имени нужного отправителя, например скриптом с сайта.© ZimbalisT


Это всё общие, не имеющие к сути вопроса размышления. Смущает сам факт возможности такое сделать. И мы не говорим о какие-то взломах и т.д., но об возможности такое сделать самым рядовым, не искушенным в "программистских штучках" сотрудником. И предложение заключается в активации функции ввода пароля от добавляемого в профиль ящика. Добавляешь свой ящик? - подтверди право на него. И всё.. Как-то так..
ZimbalisT
5 років
0
Сама возможность - это стандартный функционал используемого Вами ПО. Само ПО - это внешняя разработка, хостинг лишь предоставляет возможность использовать его в качестве веб интерфейса почты.
toxi
5 років
3
В файлике <каталог_roundcube>/config/config.inc.php, в настройках почтового клиента можно заблокировать этот парамерт от изменений, оставив возможность изменять только ФИО, подпись и запретить добавлять и изменять свой адрес или дописывать новый. Это может сделать администрация хостинга, так как у обычных пользователей нет доступа к файлам настроек.

Вот такой параметр установить можно и никто не сможет добавить новый адрес и изменить существующий:
// Set identities access level:
// 0 - many identities with possibility to edit all params
// 1 - many identities with possibility to edit all params but not email address
// 2 - one identity with possibility to edit all params
// 3 - one identity with possibility to edit all params but not email address
// 4 - one identity with possibility to edit only signature
$config['identities_level'] = 3;


Сам пользуюсь этим клиентом и по-умолчанию ставлю третий пункт для всех, чтобы потом не слали спам от имени любого пользователя в Интернете, даже не обязательно иметь почту в домене.
office510
5 років
0
В файлике <каталог_roundcube>/config/config.inc.php© toxi


Супер-спасибо, премного преблагодарен!
rudenko
5 років
2
Это не решение проблемы так как есть возможность использовать другой почтовый клиент и провернуть ту же операцию. Для того, что б этого небыло добавим настройку для каждого почтового домена, которая позволит либо отправлять под одной учетной записью от других пользователей этого же домена или наоборот отключит такую возможность.
Тема закрита.