Envoie de formulaire via PHPMailer et SMTP OVH est-il assez sécurisé ?

cord1 · July 31, 2023, 7:46am

Bonjour à toutes et à tous,

Mon nom de domaine est : lescordonnierssonttoujourslesplusmalchausses.fr

Et j'utilise l'offre : hébergement : Kimsufi 2015 ; e-mails : MXPLAN 2 hosting

Je me pose la question sur la sécurité de l'utilisation de PHPMailer. Mon formulaire de contact marche bien, un utilisateur est capable de m'envoyer un message. Cependant, j'expose mes données de configuration SMTP dans un fichier PHP :
$mail->Host = 'ssl0.ovh.net';
$mail->SMTPAuth = true;
$mail->Username = 'contact@domain.fr';
$mail->Password = 'monmotdepasse';
$mail->SMTPSecure = 'ssl';
$mail->Port = 465;

Normalement un utilisateur lambda ne peut pas accéder à ce fichier puisque c'est un fichier PHP, accessible côté serveur uniquement. Suis-je parano ou est-ce assez sécurisé ?

J'ai entendu parlé de variable d'environnement à mettre en place. Dans mon dossier WWW j'ai vu qu'il y avait un fichier .htaccess (je ne sais pas pourquoi il est là), j'ai essayé en y rajoutant mes variables d'environnement :
SetEnv SMTP_USERNAME contact@domain.fr
SetEnv SMTP_PASSWORD monmotdepasse

Puis en modifiant ma configuration SMTP :
$mail->Username = getenv('SMTP_USERNAME');
$mail->Password = getenv('SMTP_PASSWORD');

Ça n'a pas marché, j'ai une erreur "Message could not be sent. Mailer Error: SMTP Error: Could not authenticate.SMTP server error: QUIT command failed".

Autrement, en faisant une recherche Google avec les mots clés "ovh" et variable d'environnement", je suis tombé sur l'article : https://help.ovhcloud.com/csm/en-web-paas-bestpractices-environment-build?id=kb_article_view&sysparm_article=KB0053653

Mais je n'ai pas l'impression que cela me concerne car le fichier ".platform.app.yaml, located at the root of your application folder inside your Git repository." (cf https://help.ovhcloud.com/csm/en-ie-web-paas-setting-up-configuration-app?id=kb_article_view&sysparm_article=KB0053697)

J'ai vu qu'il y avait un fichier .ovhconfig en dehors du dossier WWW mais ça n'a pas l'air d'être ça. Est-ce que vous auriez des pistes ? Merci.

cord1

janus57_1 · July 31, 2023, 4:46pm

Bonjour,

Je dirais que vous vous prenez la tête pour pas grand chose.

Sinon envoyez vos mails via la fonction mail() pas de problème d'identification comme ça.

Cordialement, janus57

cord1 · July 31, 2023, 7:08pm

Bonsoir,

Merci janus57, je repars sur la fonction mail().

Cordialement, cord1

Jean_MarieV2 · August 1, 2023, 10:24am

Bonjour,
Pardon pour cette intrusion !
Je galère sur mon vps pour envoyer des mails (avec apache, php) !
Les mêmes scripts envoyaient les messages avant la résiliation d'une offre start10m où j'associais le nom de domaine.
Je ne sais pas trop comment décrypter le message dans mail.log :
Jul 31 21:23:22 vps-5509d4e7 sm-mta[13590]: 36SHIZ0f029614: to=urcize.fr>, ctladdr=5509d4e7.vps.ovh.net.novalocal> (33/33), delay=3+04:04:47, xdelay=00:00:26, mailer=esmtp, pri=40980538, relay=mx1.mail.ovh.net. [188.165.36.237], dsn=4.1.8, stat=Deferred: 450 4.1.8 5509d4e7.vps.ovh.net.novalocal>: Sender address rejected: Domain not found
debian@vps-5509d4e7:/var/log$

La boite au lettre est bien accessible et reçoit bien tous messages envoyés par ailleurs ?
Je nage …
Qu'ai je raté dans le paramétrage de la zone dns du domaine ?
Cordialement.

fritz2cat · August 1, 2023, 10:38am

www-data@15509d4e7.vps.ovh.net.novalocal5509d4e7.vps.ovh.net.novalocal

Votre VPS envoie depuis le user "www-data" qui possède le uid=33, et en utilisant la méthode php mail().

Cette méthode ne permet pas de spécifier l'expéditeur dans l'enveloppe.

J'ignore pourquoi votre VPS semble s'appeler 15509d4e7.vps.ovh.net.**novalocal**5509d4e7.vps.ovh.net.**novalocal** et non 15509d4e7.vps.ovh.net5509d4e7.vps.ovh.net

Ce nom n'existe pas, et le serveur OVH ne va pas accepter votre e-mail tant qu'il n'existe pas.

J'ignore pourquoi ce qui s'apparente à une ligne de log postfix est identifiée par 'sm-mta'.

Essayez dans votre code PHP, d'utiliser la méthode SMTP avec le serveur 127.0.0.1 et sans authentification, dans la majorité des cas ça doit fonctionner. (au lieu des méthodes mail() ou /usr/lib/sendmail)

janus57_1 · August 1, 2023, 10:39am

Bonjour,

Votre VPS ou code PHP est mal configurer je cous conseil de faire votre propre topic.

Cordialement, janus57

Jean_MarieV2 · August 2, 2023, 6:26am

Merci Fritz2cat pour cette réponse rapide.
15509d4e7.vps.ovh.net.novalocal5509d4e7.vps.ovh.net.novalocal est pour moi aussi une interrogation ! Dans mon code php je n'indique que le "TO :" et ne comprends pas non plus.
Débutant je ne maitrise pas tout …
Merci, je vais essayer de trouver ce qui sort du port 25. J'ai un autre vps qui envoie des mails sans problème. En paramétrant à l'identique je pourrai comparer le fichier mail.log.
Cordialement.

Jean_MarieV2 · August 2, 2023, 11:34am

Bonjour,
Suite… Je vais faire mon envoi de mail sur un autre VPS sous Ubuntu où les messages partent et arrivent bien !
(contrairement à un autre VPS sous Debian 11 où la fonction mail plante et rien dans mail.log.)
Re ..débutant je maitrise rien.
Au moins, pour l'instant, j'écarte mes paramétrage sur OVH.
Cordialement.