Mailversand aus Joomla auch ohne Authentifizierung möglich

Status
Für weitere Antworten geschlossen.

Jens H

Benutzer
Mitglied seit
06. Jun 2010
Beiträge
271
Punkte für Reaktionen
7
Punkte
18
Hallo,
ich hoffe, mein Thema passt in diesen Thread.

Beim systematischen Prüfen auf potenzielle Sicherheitsrisiken meiner Synology habe ich entdeckt, dass ich aus dem Admin-Bereich von Joomla auch dann via SMTP Testmails versenden kann, wenn ich in den Joomla Server-Einstellungen unter "Mailing" bei SMTP-Authentifizierung "keine" ankreuze. Auf meiner Synology ist auch der Mailserver eingerichtet, und bei den SMTP Einstellungen ist ein Haken gesetzt bei "SMTP Authentifizierung aktivieren". Das verstehe ich nicht. Ist das nicht eine Sicherheitslücke? Weshalb lässt die Diskstation das zu? Wo ist mein Denkfehler?

Weitere Fragen:
Bei SMTP-Relais in der Synology Mailserver App habe ich die Daten meines Providers eingetragen, über den der Mailversand erfolgen soll. Offenbar sendet aber die Diskstation (siehe oben; in Joomla ist nicht der Provider, sondern lokalhost eingetragen) auch E-Mail direkt, also am Provider vorbei. Gibt es eine Möglichkeit, dies zu unterbinden? Wenn ich SMTP in den Einstellungen des Mailservers deaktiviere, ist ja auch SMTP-Relais deaktiviert.

Wenn ich in den Joomla Mailversand-Einstellungen bei Punkt Mailer "SMTP" eintrage, die zusätzlichen Felder aber leer lasse, versendet Joomla das Testmail über php (das steht dann ganz oben auf der Seite in einer Infozeile). Ist das normal oder eine Sicherheitslücke?

Danke für Eure Hilfe,
Jens
 

blinddark

Benutzer
Mitglied seit
03. Jan 2013
Beiträge
1.385
Punkte für Reaktionen
34
Punkte
68
Hast du eventuell den Haken gesetzt, dass die Authentifizierung im lokalen Netz übergangen werden kann. Ich weiß momentan nicht genau, wie der Text zu diesem heißt.
edit: schau mal hier:
8. Wenn Autorisierung für LAN Verbindungen ignorieren markiert ist, müssen für alle Verbindungen außer LAN-Verbindungen ein Benutzerkonto und ein Kennwort
zur Autorisierung angeben werden.
https://www.synology.com/de-de/knowledgebase/DSM/help/MailServer/mailserver_smtp
 
Zuletzt bearbeitet:

Jens H

Benutzer
Mitglied seit
06. Jun 2010
Beiträge
271
Punkte für Reaktionen
7
Punkte
18
Danke für Deine Hilfe.
Es macht keinen Unterschied, ob "Autorisierung für LAN Verbindung ignorieren" angehakt ist oder nicht. Ich habe aber festgestellt, dass in jedem Fall nur E-Mails an mich selbst möglich sind. Wenn "Absendername und Login-Name müssen identisch sein" auch markiert ist, geht es sogar nur mit einer einzigen Mail Adresse, nämlich mit MeinLoginName@meinedomain.at. Vermutlich ist das OK so, weil es sich ja lediglich um ein internes E-Mail an den Admin handelt.
Ganz durchschaut habe ich die dahinter liegenden Regeln aber nicht. Und auch den Mailversand über php nicht - siehe mein erstes Posting.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat