Ob es Sicherheitslücken in dem Modul gibt, weiß ich nicht.
Aber man kann schnell über Google feststellen wie viele Admidio-Installationen existieren. Beim Suchbegriff adm_program/modules/mail/mail.php erhalte ich eine ungefähre Angabe von fast 10.000 Treffern. Sicherlich ist die installierte Basis deutlich kleiner. Aber warum sollte ein spammer-bot-Netzwerk nur eine einzige Installation benutzen, wenn es vielmehr Installationen nutzen kann. Ein spambot ist ein Programm, welches stupide das www absucht und die gefundenen sicherheitslücken brav nach Hause meldet. Es hat ja schließlich alle Zeit der welt.
Wenn nun schließlich dein Webauftritt mit einer lücke identifiziert und für den Versand von Mails misbraucht wird, dann muss dein Hoster irgendwann reagieren. Damit nämlich nicht sein gesamtes gehostetes Portfolio von anderen Mailgateways blockiert wird, muss er die Schwachstelle finden und schließen. Das heißt er wird Dir Deine Mailfunktionalität blockieren. Damit nicht jeder beliebige Server Mails ohne Authentifizierung versenden kann, verlangen fast alle Provider bei der Einlieferung von Mails die Angabe der Anmeldedaten. Und die sind im Falle von Admidio, so vermute ich mal, so wie bei mir, die von Dir oder Deinem Webmaster-Zugang, zumindest aber an die Webadresse gebunden. Wenn Du mal eine an dich über Admidio versendete Email als Quelltext ansiehst, kannst Du die in Admidio hinterlegte Mailadresse für Systemmails erkennen.
Wie das ist, wenn eine Servergruppe durch die anderen Provider auf die Blackliste gesetzt wurde, habe ich in unserem Unternehmen schon erfahren. Unser Rechenzentrum wurde aufgrund eines Fehlers mal auf die Black-Liste gesetzt. Die Mailgateways der anderen Provider blockierten die Weitergabe der eigenen Mails. Da hat sich innerhalb von 2 Tagen - die man benötigte um das Problem zu beseitigen - eine unglaubliche Anzahl von nicht zustellbaren Mails angesammelt.
Ich will aber hier keine Paranoia verbreiten oder gänzlich blocken, sondern nur auf Deine Frage ein mögliches Szenario aufzeigen. Wie ich ausgeführt habe, Dein oder mein Webauftritt befindet sich nicht auf einer einsamen Insel und wir stehen beim denic als webmaster und technischer Ansprechpartner (admin-c) in der juristischen Verantwortung. Und da - vermute ich mal - dein und mein Wohnsitz nicht in der Südsee ist, können die gesetzlichen Verfolgungsbehörden uns auch immer erreichen. Das sollte man immer wieder bedenken, wenn man im Internet unterwegs ist oder einen Webauftritt verantwortet.
Wenn Du wie du schreibst allerdings das Modul umschreibst, dann bist du mit der Version natürlich auf einer Insel. Die Lösung gibt es dann nur bei Dir.
So nun habe ich genug geschrieben und meine Standpunkte dazu verdeutlicht. Das soll nun von mir auch reichen. Alles weitere würde nur eine Wiederholung bedeuten.
Alex, nichts für ungut. Jeder hat seine Meinung und darf sie auch vertreten. Ich respektiere gerne Deine Meinung hierzu. Vielleicht ändert sich ja meine Meinung irgendwann einmal.
Auf bald und nicht persönlich nehmen. Bitte!!!
Bettes
können.
