К счастью, этого оказывается достаточно, поскольку Ilohamail проводит проверку введенного имени сервера, и если оно отличается от прописанного в $default_host, то значение хоста обнуляется, что приводит к ошибке «Could not connect to …». Благодаря этому злоумышленник не сможет выполнить авторизацию из внешней формы (сохранив файл source/index.php, точнее, тот html-код, который этим сценарием формируется, локально, и изменив/добавив дополнительные параметры). Точнее, внешние формы работают, но в рамках указанных в конфигурации ограничений.

Возможность анонимной рассылки сообщений от вашего имени

Если вы все же оставили пользователю возможность самостоятельно указывать сервер входящих сообщений, то он сможет войти в интерфейс управления, введя аутентификационные данные любого своего ящика, например, размещенного на одном из бесплатных серверов. Однако отправка сообщения будет осуществляться через smtp-сервер, указанный в переменной $SMTP_SERVER файла conf/conf.inc. Если к этому прибавить возможность указывать в настройках произвольный адрес отправителя, то получается, что любой пользователь, имеющий где-либо ящик электронной почты, сможет отправить сообщение от вашего имени (или от имени пользователя, у которого зарегистрирован почтовый ящик на вашем сервере). И при этом все параметры заголовка, такие как IP-адрес, будут однозначно указывать на ваш сервер, что усилит в глазах получателя достоверность сообщения, а, следовательно, сделает атаку более успешной, а вас – первым подозреваемым.

Для снижения этой опасности ограничьте возможность использования произвольных серверов для авторизации в Ilohamail так, как это описано в предыдущем подразделе.

Рисунок 1. Ilohamail с более приятным цветом фона

Выводы

Как видите, даже такой простой пакет, как Ilohamail, который, казалось бы, не дает даже поводов усомниться в его безопасности, требует к себе пристального внимания и критического отношения. Естественно, я не ставил своей целью запугать вас и заставить отказаться от использования веб-интерфейсов или вообще Интернета. При учете всех описанных «мелочей» Ilohamail сможет послужить вам верой и правдой. Просто, когда вам доведется устанавливать что-то подобное, не забывайте, что на самом деле все не так уж и просто.