Differences

This shows you the differences between two versions of the page.

--- doc:appunti:linux:sa:mailman [2015/10/08 12:08] – [Exim] niccolo
+++ doc:appunti:linux:sa:mailman [2020/09/25 17:45] (current) – [Migrazione] niccolo
@@ Line 33: / Line 33: @@
 ===== Exim =====
-Ma noi si usa **Exim** con i domini virtuali, leggere le istruzioni ''/usr/share/doc/mailman/README.EXIM.gz''. Nel file di configurazione di exim4 si devono aggiungere un router e un transport. Attenzione al router: conviene metterlo subito prima di quello che seleziona i virtual domains.
+Ma noi si usa **Exim** con i domini virtuali, leggere le istruzioni ''/usr/share/doc/mailman/README.EXIM.gz''.
+Nel file di configurazione di exim4 si devono aggiungere un router e un transport. Attenzione al router: conviene metterlo subito prima di quello che seleziona i virtual domains.
 <file>
@@ Line 70: / Line 72: @@
 </file>
-Ogni dominio gestito da Mailman (si consiglia di crearne di appositi, del tipo **lists.dominio.org**) deve essere elencato nel file **''/etc/exim4/domains-mailman.lst''**.
+Ogni dominio gestito da Mailman (si consiglia di crearne di appositi, del tipo **lists.dominio.org**) deve essere elencato nel file **''/etc/exim4/domains-mailman.lst''** oltre che tra i domini virtuali normali (parametro **''dc_other_hostnames''** del file **''/etc/exim4/update-exim4.conf.conf''**).
 Questa configurazione non supporta l'esistenza di liste con lo stesso nome sotto domini differenti, è in generale una limitazione di mailman.
@@ Line 326: / Line 328: @@
 </code>
+===== Abuso della form di registrazione (SPAM) =====
+Capita di vedere tentativi automatizzati e malevoli di sottoscrivere indirizzi email ad una lista. Non è chiara l'utilità di questi tentativi, ma la **conferma di registrazione** viene inviata ad un destinatario che eventualmente **segnala il messaggio come SPAM** con tutte le conseguenze del caso (il server finisce in qualche **blacklist**).
+Come spiegato in questo articolo **[[https://www.ralfj.de/blog/2018/06/02/mailman-subscription-spam.html|Fighting Mailman Subscription Spam: The Easy Way]]** è sufficiente aggiungere una riga al file **/etc/mailman/mm_cfg.py**:
+<code>
+SUBSCRIBE_FORM_SECRET = "Kw4Qb4MF9Yoe2Tvldu7O8KFK"
+</code>
+Questa impostazione attiva un **[[wpit>Cross-site_request_forgery|CSRF token]]** nella form di registrazione che impone il caricamento della form prima della sottomissione. Se questo parametro esiste, viene controllato anche il tempo intercorso fra il caricamento della form e la sua sottimissione: se è inferiore ai 5 secondi il submit viene rifiutato. In generale un bot agisce molto rapidamente e quindi fallirà il sumbit del form.