Штопаем дыры в Ilohamail

Сергей Супрунов

Доверяй, но проверяй

(народная мудрость)

Доступ к электронной почте через веб-интерфейс обеспечивает дополнительные удобства. Однако мы не всегда задумываемся о потенциальных проблемах безопасности, а ведь даже такой безобидный пакет, как Ilohamail имеет несколько неприятных дыр.

Знакомство с Ilohamail

Ilohamail – это разработанный на PHP4 пакет, обеспечивающий возможность работать с POP3- и IMAP-серверами непосредственно с интернет-страницы. Во FreeBSD вы найдете его в коллекции портов (mail/ilohamail), для Linux можете скачать исходные коды, rpm- или deb-пакет, со страницы проекта (http://ilohamail.org/main.php?page=Downloads, см. также http://sourceforge.net/projects/ilohamail).

Отличительной особенностью этой программы от многих других (наподобие OpenWebMail) является то, что она не использует для работы небезопасных методов, таких как suexec или suid-perl. В данном случае доступ к почтовому ящику осуществляется по протоколу POP3 или IMAP (в зависимости от выбора пользователя, сделанного во время аутентификации, или конфигурационных параметров), и все сценарии исполняются от имени пользователя, с чьими правами работает веб-сервер (для Apache это, как правило, пользователь www).

Установка по крайней мере на FreeBSD при использовании коллекции портов никаких сложностей не вызывает – в /usr/local/www будет создан каталог ilohamail со всеми необходимыми файлами. Скопируйте его в нужный каталог в иерархии вашего веб-сайта, и можно сразу вызывать стартовую страничку из вашего браузера.

Предельно аскетический дизайн (минимум графики и вообще немногословность) придется по вкусу пользователям, работающим по коммутируемым соединениям, да и «выделенщики» по достоинству оценят возможность немного сэкономить на трафике и не рыскать по страничке в поисках нужной кнопки среди множества подсказок. Единственное, что мне сразу же захотелось изменить, – это используемый по умолчанию цвет фона. Его (а также некоторые другие настройки) можно поменять в файле conf/defaults.generic.inc и в некоторых файлах в каталогах source/themes.