|
Дабы не повторяться, просто скопирую своё обращение в службу поддержки. Очень прошу устранить описанную неполадку или подсказать, как можно ограничить/выключить подобную функцию. Благодарю.
"Добрый день. Пишу в отношении почтового клиента webmail.adm.tools. Решил изучить возможность добавления почтового ящика в "интерфейс" другого созданного почт. ящика. Т.е., исключительно для удобства, решил добавить 2 почт. ящика в один "интерфейс". Захожу в почтовый ящик - настройки - профили - жму + - в графе E-mail вписываю ящик, который хочу добавить. Захожу обратно в почту - написать сообщение - выбираю тот, другой добавленный ящик и без проблем от его имени отправляю сообщение третьему получателю. Прошу обратить внимание, что при добавлении нового почт. ящика в профиль не просилось указать пароль от этого нового, добавляемого ящика. Стало страшно после того, как я на другом компьютере, через другой имэил нашего сотрудника, в профиль подобавлял другие разные имэилы наших других сотрудников и... без проблем от их имени поотправлял сообщения на разные эл. ящики. Получается, что любой сотрудник, если, конечно, разберется, может отправить сообщение от имени, например, директора кому угодно! Насколько я понял, при добавлении этой функции (добавление профилей), забыли включить необходимость ввода пароля, как подтверждение "владения" этим эл. адресом. Возможно я не совсем понял функцию "добавить профиль", но у меня получилось вышеописанное.."
п.с. Также не лишним будет сказать, что gmail, yandex и т.д. подобные письма охотно принимает, даже если в профиль добавить несуществующий почт. ящик в домене.
|
|
Это не неполадка, а доступная в webmail опция.© ZimbalisT
Сама-то опция нормальная, просто она работает странно. Повторюсь, суть в том, что любой рядовой сотрудник компании может отправить письмо якобы от имени любого другого сотрудника без его ведома. Это, по-моему, ненормально.
|
|
Соглашусь, это не нормально. Но причина здесь не в доступности опции (она доступна не только в вебмейл, но и в большинстве локальных почтовых клиентов), а в низком качестве подбора сотрудников. Лично я с трудом представляю себя отправляющим письма от имени своих коллег или руководства. Да и злоумышленнику в любом случае доступны другие способы отправить почту от имени нужного отправителя, например скриптом с сайта.
|
|
В файлике <каталог_roundcube>/config/config.inc.php, в настройках почтового клиента можно заблокировать этот парамерт от изменений, оставив возможность изменять только ФИО, подпись и запретить добавлять и изменять свой адрес или дописывать новый. Это может сделать администрация хостинга, так как у обычных пользователей нет доступа к файлам настроек.
Вот такой параметр установить можно и никто не сможет добавить новый адрес и изменить существующий:
// Set identities access level: // 0 - many identities with possibility to edit all params // 1 - many identities with possibility to edit all params but not email address // 2 - one identity with possibility to edit all params // 3 - one identity with possibility to edit all params but not email address // 4 - one identity with possibility to edit only signature $config['identities_level'] = 3;
Сам пользуюсь этим клиентом и по-умолчанию ставлю третий пункт для всех, чтобы потом не слали спам от имени любого пользователя в Интернете, даже не обязательно иметь почту в домене.
|
|
Это не решение проблемы так как есть возможность использовать другой почтовый клиент и провернуть ту же операцию. Для того, что б этого небыло добавим настройку для каждого почтового домена, которая позволит либо отправлять под одной учетной записью от других пользователей этого же домена или наоборот отключит такую возможность.
|