PhpMyNewsLetter 2.0

Corrections faites, elles apparaîtont dans la prochaine mise à jour qui sera décrite là :
https://www.phpmynewsletter.com/forum/t … age-1.html

OK je vais aller voir ça

Le reverse DNS n'est toujours pas bon.
Tu envoies depuis mail.domaine, et ton serveur répond domaine :

220 domaine.fr ESMTP Postfix (Debian/GNU) [871 ms]
EHLO KEEPER2.mxtoolbox.com
250-domaine.fr
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN [706 ms]
MAIL FROM:<supertool@mxtoolbox.com>
250 2.1.0 Ok [712 ms]
RCPT TO:<test@mxtoolboxsmtpdiag.com>
454 4.7.1 <test@mxtoolboxsmtpdiag.com>: Relay access denied [706 ms]

Résultat :
SMTP Valid Hostname    Reverse DNS is not a valid Hostname
SMTP Reverse DNS Mismatch    OK - 5.196.xxx.xxx resolves to domaine.fr

Au lieu de service client, plutôt mettre Johnny, Caroline, Emma... Personnaliser !
Au mieux, Johnny de Buz...

Signer les mails : https://www.dsfc.net/infrastructure/mes … s-postfix/

Ton hostname est connu sous ns335xxx.ip-37-187-xxx.eu dans les headers des mails, ce qui ne correspond pas au domaine expéditeur, fais un check sur :
https://mxtoolbox.com/SuperTool.aspx avec ton domaine et clique sur la flèche pour avoir test email server.

Je l ai déplacé 

Non non pas d air du tout merci d avoir posé la question.

NB : les seuls qui ont l air con et que je déteste sont ceux qui n y arrivent pas, ne posent pas de questions et qui critiquent !

Attention à ne pas tout bloquer non plus !
Les images ajoutées aux newsletter, sauf si elles sont en lien depuis l'extérieur pourraient ne pas être accessibles.
Je ne comprends pas le droit en 5... Bizarre comme droit... Le moteur php lit les fichiers php, les mouline, et restitue une page web par exemple. Il n'est pas exécuté directement comme un shell.

Excellente question ! 

Bonjour Archeo 
Tout d'abord préciser que je viens de compléter les index.php manquants dans les répertoires.
La version est mise à jour des fichiers index.php manquants :
https://www.phpmynewsletter.com/forum/t … age-1.html en faisant référence à ce post.

J'ai le choix de 2 réponses :
- La mauvaise réponse : je ne fais qu'écrire PhpMyNewsLetter, chaque admin administre son serveur et doit connaître les règles de base 
- Une meilleure réponse :
Oui, on peut protéger davantage !
(Dans l'ordre de ce à quoi je pense, désolé si j'en oublie !)
- Rajouter les index.php qui sont les premières pages appelées dans un répertoire quand il y a référence à un chemin et non une page dans un répertoire. Ce que je suis en train de faire, et dont évolution à suivre.
- Dans la configuration apache (je suis sous NGinX, donc à vous de vérifier en fonction de apache 1.3, 2.2 ou 2.4 ou autre...), supprimer la possibilité de parcourir un répertoire avec :

Options -Indexes

Dans les répertoires :
upload/      css/    images/    logs/
vous pouvez aussi interdire l'exécution de php en posant un .htaccess dans chacun de ces répertoires avec :

<Files *.php>
deny from all
</Files>

Evidemment ajuster les paramètres si vous avez des fichiers php3, php5, inc, etc...
- Passer en https (Let's Encrypt est juste extraordinaire ! J'adore ce projet, et en plus ça permet http/2. Ce portail estd'ailleurs dynamiser par NGinX, Let's Encrypt et profite du full http/2)
- Sécuriser un peu php via le php.ini :

; Ne pas affaicher les erreurs sur écran
display_errors = off
; Autoriser l'écriture des erreurs en log
log_errors = on
; Ne pas afficher la version de php dans les headers : X-Powered-By header:
expose_php = off
; profitez en pour cacher le script qui envoie les mails :
mail.add_x_header = Off
; et logger les mails envoyés par php_mail (si vous l'utilisez) :
mail.log = /var/log/phpmail.log

- concernant config.php, il faut savoir que c'est un fichier qui peut être réécrit par PhpMyNewsLetter, il faudrait idéalement laisser les droits en écriture !
Dans l'odre c'est owner/group/other donc laisser un 600 si on n'a pas encore stabilisé la config, ou effectivmeent 400 si on a validé la config.
A noter : il y a aussi le fichier de config des mails en bounce, config_bounce.php, donc la commande :

chmod 600 config*.php

- et enfin pour protéger ce fichier config, une directive rapide trouvée sur stackoverflow :

### https://stackoverflow.com/a/22049769

# password protect single file
<IfModule mod_auth.c>
 <Files "protected.html">
  AuthName "Username and password required"
  AuthUserFile /home/path/.htpasswd
  Require valid-user
  AuthType Basic
 </Files>
</IfModule>

(remplacer proetcted.html par config.php et adapter les chemin de .htpasswd).

Sinon, il reste beaucoup de choses à faire pour protéger un serveur, mais je crois qu'il y a des forums spécialisés pour ça. Nous sommes restés ici dans le cadre de PhpMyNewsLetter.

Non, non, ne sois pas désolé ! Les process industriels ne sont pas forcément accessibles du premier coup, même si on comprend vite.
La parcellisation des tâches m'a inspiré dans le sens où j'aimerais populariser PhpMyNewsLetter auprès de quelques sociétés éventuellement

Dans ton cas précis :
Un utilisateur a droit d'accéder à toutes les listes, de rédiger et d'envoyer.
Tu as du sélectionner une liste précise car il n'y en a qu'une. (ou alors tu n'as qu'une liste active, et je vais encore râler en demandant où est la liste de tests ? )
Si tu as sélectionner effectivement une liste, tu peux alors restreindre le droit sur les listes à "non".

Pourrais je clore alors le fil en considérant résolu ?

Oui, c’est un point de repère épinglé en haut de forum et pas pour y discuter
Chaque point à voir sera à côté dans un nouveau sujet.

Euh... Pourtant c'est un sujet public !

https://www.phpmynewsletter.com/forum/topic-543-evolutions-corrections-ameliorations-de-205-page-1.html