Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:

Autor Thema: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)  (Gelesen 14078 mal)

Offline Alex23

  • Fördermitglied
  • *****
  • Beiträge: 190
    • Teile Beitrag
    • http://www.modchipscout.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #45 am: 19. Februar 2017, 20:36:15 »
Im Backend -> Konfiguration -> E-Mail Optionen steht bei mir:

Adresse des SMTP Servers: wp1026061.wp247.webpack.hosteurope.de

Gruß,

Alex23

Online hbauer

  • Experte
  • *****
  • Beiträge: 922
    • Teile Beitrag
    • http://www.1bis3.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #46 am: 19. Februar 2017, 20:50:38 »
Ich bin jetzt kein smtp Spezialist aber ich glaube das Du das selbe Problem hast das ich auch hatte.

Dein SMTP Server macht TLS/SSL. Unter der Adresse wp1026061.wp247.webpack.hosteurope.de antwortet aber der smtp server mit einem anderen Namen wie man hier https://mxtoolbox.com/SuperTool.aspx# sehen kann

Code: PHP  [Auswählen]
Connecting to 80.237.133.16

220 wp247.webpack.hosteurope.de ESMTP Host Europe Mail Service Sun, 19 Feb 2017 20:44:35 +0100 [766 ms]
EHLO PWS3.mxtoolbox.com
250-wp247.webpack.hosteurope.de Hello pws3.mxtoolbox.com [64.20.227.134]
250-SIZE 36700160
250-8BITMIME
250-PIPELINING
250-AUTH PLAIN LOGIN
250-STARTTLS
250 HELP [766 ms]
MAIL FROM:<supertool@mxtoolbox.com>
250 OK [766 ms]

Ich vermute folgendes:
- der SMTP Server heißt : wp247.webpack.hosteurope.de
- der kann TLS
- und antwortet mit einem Zertifikat für wp247.webpack.hosteurope.de
- das PHP Script kann aber nicht damit umgehen.

Ich würde mal ausprobieren was passiert wenn Du als smtp server wp247.webpack.hosteurope.de einträgst.

Aber wie gesagt. Begründete Spekulation. Use at your own risk.

Offline Alex23

  • Fördermitglied
  • *****
  • Beiträge: 190
    • Teile Beitrag
    • http://www.modchipscout.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #47 am: 20. Februar 2017, 16:16:08 »
@Hagen
super, daran hat es tatsächlich gelegen! Du lagst mit deiner Vermutung 100%ig richtig.
Herzlichen Dank für deinen Tipp.

@Viol
Ich danke dir ebenfalls.

@Web28
Ich habe deinen Patch (/inc/xtc_php_mail.inc.php) auch gleich noch mit eingebaut und hoffe, dass sich damit jetzt nicht auch noch ein neues Problem einschleicht!

Gruß,

Alex23

Offline web28

  • modified Team
  • *****
  • Beiträge: 9.404
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #48 am: 20. Februar 2017, 18:19:35 »
Eigentlich sollte der SMTP Emaiversand mit den Daten funktionieren die man bei gängigen Emailprogrammen eingibt.

Beispiel für Thunderbird:

https://www.hosteurope.de/faq/e-mail/mailprogramme/thunderbird/

Gruss Web28

Online hbauer

  • Experte
  • *****
  • Beiträge: 922
    • Teile Beitrag
    • http://www.1bis3.de
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #49 am: 20. Februar 2017, 21:12:40 »
Eigentlich sollte der SMTP Emaiversand mit den Daten funktionieren die man bei gängigen Emailprogrammen eingibt.
[...]

Den gängingen Email Programmen kann man aber sagen das sie Zeritifikate mit anderen Namen aktzepieren. Der PHP Mailer kann das aber nicht.

Offline 0815

  • Viel Schreiber
  • *****
  • Beiträge: 873
    • Teile Beitrag
Re: Sicherheitspatch für alle Shopversionen (security_fix_2017_01_05.zip)
« Antwort #50 am: 24. Februar 2017, 13:22:48 »
Nach dem Einspielen des Sicherheitspatches hatte ich bei einigen Shops Probleme mit der Verbindung zum Smtp-Server.
Zitat
Message was not sent

Mailer Error: smtp_connect_failed

Wie sich herausgestellt hat, mag der Patch einige meiner bisher problemlos verwendeten, sicheren Passwörter nicht.
Ich verwende immer 20-stellige Passwörter mit Großbuchstaben, Kleinbuchtsaben, Ziffern, Minus, Unterstrich, Sonderzeichen und Klammern.

Ich habe jetzte mal für die betroffenen Shops neue Passwörter generiert und dabei auf Sonderzeichen und Klammern verzichtet.
Mit diesen neuen Passwörtern war der Patch dann zufrieden und es wurden wieder Mails versendet.

Was ändert denn der Patch, so dass es damit die o.g. Probleme gibt?

Offline Tomcraft

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 43.408
  • Geschlecht: Männlich
    • Teile Beitrag
    • https://www.modified-shop.org
[...]
Was ändert denn der Patch, so dass es damit die o.g. Probleme gibt?

Bist du dir sicher, dass es an der Komplexität der Passwörter gelegen hat? :-?
Das würde mich wundern, wenn der PHPMailer hier einen Schritt zurück geht und mit komplexen Passwörtern auf einmal Probleme hätte.
Ich hatte heute den selben Fehler wie du in einem Kunden-Shop und da lag es an folgendem:

bei mir lag der "Fehler" in der Konfiguration des smtp servers. Dort stand localhost

Aufgrund dieses Hinweises:

>  Be aware that in PHP >= 5.6 this requires that the server's certificates are valid

habe ich den vollen Servernamen eingetragen für den auch das TLS Certificat ausgestellt wurde.

=> Mails aus dem Kontaktformular und Bestellbestätigungen gingen raus.

Kann man das aus irgendwelchen Gründen nicht ändern oder der Server hat kein valides Zertifikat könnte man wohl auch in der class.phpmailer.php

>  public $SMTPAutoTLS = false;

setzen.

Bzw.:

Ich bin jetzt kein smtp Spezialist aber ich glaube das Du das selbe Problem hast das ich auch hatte.

Dein SMTP Server macht TLS/SSL. Unter der Adresse wp1026061.wp247.webpack.hosteurope.de antwortet aber der smtp server mit einem anderen Namen wie man hier https://mxtoolbox.com/SuperTool.aspx# sehen kann

Code: PHP  [Auswählen]
Connecting to 80.237.133.16

220 wp247.webpack.hosteurope.de ESMTP Host Europe Mail Service Sun, 19 Feb 2017 20:44:35 +0100 [766 ms]
EHLO PWS3.mxtoolbox.com
250-wp247.webpack.hosteurope.de Hello pws3.mxtoolbox.com [64.20.227.134]
250-SIZE 36700160
250-8BITMIME
250-PIPELINING
250-AUTH PLAIN LOGIN
250-STARTTLS
250 HELP [766 ms]
MAIL FROM:<supertool@mxtoolbox.com>
250 OK [766 ms]

Ich vermute folgendes:
- der SMTP Server heißt : wp247.webpack.hosteurope.de
- der kann TLS
- und antwortet mit einem Zertifikat für wp247.webpack.hosteurope.de
- das PHP Script kann aber nicht damit umgehen.

Ich würde mal ausprobieren was passiert wenn Du als smtp server wp247.webpack.hosteurope.de einträgst.

Aber wie gesagt. Begründete Spekulation. Use at your own risk.

Hattest du das mal überprüft?

inc/xtc_php_mail.inc.php

Suchen:

Code: PHP  [Auswählen]
  if ($forwarding_to != '') {
    $mail->AddBCC($forwarding_to);
  }

Damit ersetzen:
Code: PHP  [Auswählen]
  if ($forwarding_to != '') {
    $forwarding = explode(',', $forwarding_to);
    foreach ($forwarding as $forwarding_address) {
      $mail->AddBCC(trim($forwarding_address));
    }
  }

Hintergrund: Mit dem Patch wird bei 1.06 und früher die PHP Mailer Version von 2.0.4 auf 5.2.21 geändert. Damit funktionieren einige Funktionen etwas anders.
[...]

Das habe ich jetzt mal noch mit in die Installationsanleitung für 1.0x Shops mit aufgenommen.

Grüße

Torsten

Offline Zeeb-Shop

  • Fördermitglied
  • *****
  • Beiträge: 81
    • Teile Beitrag
    • Zeeb-Shops & bikinini
Hallo,

reicht es aus für Französisch eine phpmailer.lang-fr.php und für Spanisch eine phpmailer.lang-es.php hinzuzügen oder muss sonst noch etwas geändert werden?

Danke

Grüße

Roland


Teile per facebook Teile per linkedin Teile per twitter

 


             
anything