≡× МЕНЮ

• Гаджеты
• Android
• Windows
• Ios
• Блог

Независимый связь отправить копию. Автоматическая отправка копий отправляемых сообщений

Не так давно я столкнулся с действующим методом, который позволяет злоумышленнику отправлять спам от имени вашего сайта, используя форму обратной связи Joomla (форму контакта). Эта возможность не является уязвимостью, и вряд ли будет исправлена. В этой статье я расскажу о том, как такое стало возможно, и что нужно делать, чтобы защитить свой сайт.

Стандартная форма обратной связи Joomla

В Joomla есть довольно мощный и гибкий компонент, который называется «Контакты ». Это стандартный компонент Joomla. Он есть на каждом сайте, т.к. устанавливается вместе с CMS. Данный компонент позволяет создавать и выводить на сайт категории контактов, контакты, формы обратной связи, позволяющие связаться с тем или иным контактом. Контакт – это, условно, пользователь – человек с сайта.

Когда-то я писал статью о том, как можно создать на сайте форму обратной связи стандартными средствами Joomla . Данная инструкция актуальна и сейчас. Она позволяет создать вполне себе годную форму обратной связи без установки сторонних расширений. Отправка спама возможна, когда используется именно эта форма, а также, при одновременном стечении некоторых обстоятельств, о которых пойдет речь ниже.

Отправка спама от имени сайта с использованием формы обратной связи Joomla

Вы удивитесь, насколько прост обнаруженный способ отправки спама от имени сайта. Чтобы он был возможен, форма обратной связи должна выглядеть примерно так:

Т.е. должны выполняться два условия:

1. Форма не защищена от спам-ботов (не подключена reCaptcha или какой-либо другой способ защиты формы)
2. В настойках контакта активирована опция «Отправлять отправителю копию письма». Благодаря ей в контактной форме появляется соответствующий чекбокс (см. рисунок выше).

Если хотя бы одно из этих условий не выполняется, проблем не будет. Если же выполняются оба условия, то, как говориться, следите за руками:

1. Спам-бот находит контактную форму. Защиты от спама нет – можно использовать.
2. Спам-бот определяет, что сайт на Joomla, и что используется стандартная форма контактов. Удивительно, но есть боты, которые прекрасно умеют это делать.
3. Спам-бот видит наличие чекбокса отправки копии письма отправителю.
4. Спам-бот подставляет в поле Email адрес из собственной базы спам-рассылки, поле сообщения заполняет спамом. Как заполнены остальные поля неважно.
5. Спам-бот отправляет форму и повторяет процесс многократно, подставляя все новые и новые адреса из собственной базы в поле Email.

Что происходит в результате? Joomla думает, что форму заполнил человек, который указал свой реальный адрес и хочет связаться с контактом с сайта. Поскольку галочка отправки копии письма установлена, то письма от сайта получают двое: человек, чей адрес привязан к контакту, и человек, чей адрес введен в поле Email.

Таким образом, подставляя в поле Email разные адреса, можно отправить тысячи сообщений от имени вашего сайта. Да, возможно контакт увидит это, быстро поймет, в чем дело, и прикроет лазейку, но очень велика вероятность, что этого не произойдет.

Последствия от такой атаки для сайта и бизнеса могут быть крайне неприятными, особенно когда чтобы раскрутить сайт уже вложено много денег. Если с адреса вашего домена рассылается спам, думаю не нужно объяснять, какой будет реакция его получателей.

Как защититься от этой уязвимости?

Как защититься от этой уязвимости? Элементарно. Сделайте так, чтобы одно из условий, описанных выше, не выполнялось, а именно.

14.09.2012

Использование в суде в качестве доказательств факсимильных копий и документов, переданных через электронную почту (в сканированном виде)

За последние несколько десятилетий достижения научно-технической сферы бурно изменили жизнь современного человека. Появились новые средства общения, средства записи, хранения, воспроизведения информации. Данные достижения не могли остаться не интегрированными в социально-экономическую сферу и соответственно не повлиять на правовую надстройку. В противном случае стабильность гражданского оборота была бы нарушена отсутствием правового регулирования вновь возникших общественных отношений.

В соответствии с пунктом 2 статьи 160 Гражданского кодекса РФ (далее по тексту - «ГК РФ»), «Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронной подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон».

В соответствии с пунктом 2 статьи 434 ГК РФ, «Договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи , позволяющей достоверно установить, что документ исходит от стороны по договору».

Таким образом, действующим законодательством РФ допускается оформление сторонами гражданских правоотношений сделок с использованием факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронной подписи либо иного аналога собственноручной подписи, т.е. электронного обмена документов.

Кроме того, Арбитражный процессуальный кодекс Российской Федерации (далее по тексту - АПК РФ) закрепил допустимость электронных документов в качестве средств доказывания. Так, в соответствии с пунктом 3 статьи 75 АПК РФ, « Документы, полученные посредством факсимильной, электронной или иной связи, в том числе с использованием сети Интернет, а также документы, подписанные электронной подписью или иным аналогом собственноручной подписи, допускаются в качестве письменных доказательств в случаях и в порядке, которые установлены настоящим Кодексом, другими федеральными законами, иными нормативными правовыми актами или договором, либо определены в пределах своих полномочий Высшим Арбитражным Судом Российской Федерации» (аналогичная норма содержится в пункте 1 статьи 71 Гражданского процессуального кодекса РФ).

Таким образом, законодательством РФ предоставляется возможность использования факсимильных копий и документов, переданных через электронную почту (в сканированном виде) в качестве вещественных доказательств.

Между тем, в настоящее время, при разрешении судами споров, вытекающих из гражданских правоотношений, оформленных путем обмена документами посредством факсимильной связи или сети «Интернет», у судов отсутствует единообразная позиция по вопросу отнесения «факсовых» и электронных документов к допустимым доказательствам.

Анализ имеющейся судебной практики, в части приобщения факсимильных копий документов и документов, переданных через электронную почту (в сканированном виде) к судебному делу и их исследования в качестве доказательств, позволяет сделать следующие выводы:

1. Факсимильные копии документов и документов, переданных через электронную почту (в сканированном виде) расцениваются судом как доказательства по делу при условии наличия в договоре/соглашении пункта, в соответствии с которым данные копии имеют статус оригиналов.

Правомерность изложенной позиции подтверждается существующей судебной практикой, в т.ч. Постановлением ФАС Северо-Западного округа от 01.06.2010 года № А56-13328/2009, Постановлением ФАС Уральского округа от 13.12.2010 года № Ф09-10256/10-СЗ, Постановлением Семнадцатого арбитражного апелляционного суда от 27.01.2011 года № АП-13499/2010-ГК, Постановлением ФАС Дальневосточного округа от 13.08.2009 года № Ф03-3794/2009, Определением ВАС РФ от 07.02.2008 года № 653/08 по делу № А09-8896/06-4.

2. Скриншоты экранов, распечатки электронных почтовых отправлений не являются надлежащим и бесспорным доказательством в суде.

Правомерность изложенной позиции подтверждается существующей судебной практикой, в т.ч. Постановление ФАС Московского округа от 03.02.2011 года № КГ-А40/210-11.

3 . Копии писем, полученные по средствам электронной почты, являются доказательством в суде, при условии, если другая сторона не предоставит суду не тождественные между собой копии и если возможно установить подлинное содержание первоисточника с помощью других доказательств.

Правомерность изложенной позиции подтверждается существующей судебной практикой, в т.ч. Постановление ФАС Поволжского округа от 15.09.2010 года по делу № А12-23661/2009.

Анализ практики рассмотрения споров Международным коммерческим арбитражным судом при Торгово-промышленной палате Российской Федерации по вопросу допустимости электронных документов и документов, переданных посредством факсимильной связи, позволяет сделать вывод о том, что указанные документы являются доказательствами в судебном процессе при условии, что порядок обмена документами через факсимильное устройство связи или через сеть «Интернет» предусмотрен заключенным между сторонами контрактом .

Таким образом, анализ судебной практики позволяет выделить три вида документов (помимо оригиналов), подтверждающих факт заключения и исполнения соответствующих договоров:

Копии документов, переданных с использованием факса;

Копии документов, переданных в сканированном виде с использованием сети «Интернет»;

Скриншоты экранов, распечатки электронных почтовых отправлений (уведомлений об отправлении электронного письма).

Между тем, в целях защиты своих прав при ведении предпринимательской деятельности, процесс заключения и исполнения соответствующих договоров должен сопровождаться обменом исключительно оригиналов документов.

Однако, при заключении и исполнении договоров путем обмена факсимильными копиями документов либо электронными документами и в целях минимизации рисков, рекомендуем следующее:

1. В тексте основного договора:

Предусмотреть возможность передачи документов по факсу или электронной почте;

Установить таким документам статус оригиналов;

Конкретизировать информацию о номере факса и адресах электронной почты, по которым будет происходить обмен документами;

2. Организовать ведение журналов регистрации входящей и исходящей корреспонденции, переданной и полученной посредством факсимильной связи и электронной связи.

3. В настройках факса установить точное время и текущую дату.

В случае, если доступна функция факса по созданию отчетов о принятых и отправленных сообщениях, распечатывать такие отчеты и подшивать их в журнал регистрации входящей и исходящей корреспонденции.

4. Проекты документов, передаваемых контрагенту для согласования, направлять без подписи уполномоченного лица.

5. В соответствии с налоговым законодательством и законодательством о бухгалтерском учете, первичная документация, оформляемая в ходе исполнения соответствующего договора, должна быть представлена только в виде оригинальных документов.

6. Текст основного договора, дополнительные соглашения к договору, а также соглашение о расторжении договора должны быть представлены в оригиналах.

Порядок обмена электронными документами, а также «факсовыми копиями» документов должен быть обязательно согласован Сторонами и закреплен в Договоре. От грамотных формулировок данных условий, зависит возможность использования «не оригинальных» документов при урегулировании споров между сторонами.

Необходимо отметить, что на практике встречаются случаи, когда недобросовестные контрагенты подделывают подписи и печати, поставленные другим контрагентом в электронном документе, а также меняют текст договора, включая в него невыгодные для контрагента условия.

В связи с чем, при разрешении спора в суде, стороны представляют в суд нетождественные копии одного и того же документа, т.е. один и тот же подписанный сторонами документ, содержащий разные условия.

В указанном случае у суда практически отсутствует возможность определить, какая из сторон предоставила подлинную копию документа.

Согласно пункту 6 статьи 71 АПК РФ, «Арбитражный суд не может считать доказанным факт, подтверждаемый только копией документа или иного письменного доказательства, если утрачен или не передан в суд оригинал документа, а копии этого документа, представленные лицами, участвующими в деле, не тождественны между собой и невозможно установить подлинное содержание первоисточника с помощью других доказательств».

На основании указанной нормы, копии документа не будут рассматриваться судом в качестве доказательств при обстоятельствах, указанных выше.

Между тем, факт подделки документов, передаваемых по электронной почте либо факсом можно установить посредством проведения судебной экспертизы.

По информации, полученной в ООО «Экспертное бюро г. Ижевска», существует несколько методик по выявлению подделки документов в описываемом случае:

1. химический анализ подписи на бумажном экземпляре договора;

2. анализ оттиска печати.

Необходимо обратить внимание, что вероятность определения подделки документов указанными методами не велика.

Несмотря на описанные в настоящем заключении риски от оформления договоров путем обмена копий документов посредством факсимильной или электронной связи, существует способ защиты от неправомерных действий контрагентов, выражающихся в подделке подписываемых документов.

В соответствии со статьей 2 Федерального закона от 06.04.2011 года № 63-ФЗ «Об электронной подписи» (далее по тексту – «Закон о подписи»), электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Согласно части 1 статьи 6 Закона о подписи, «Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью , кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе».

В соответствии со статьей 5 Закона о подписи, квалифицированной электронной подписью является электронная подпись, которая соответствует следующим признакам:

1. получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

2. позволяет определить лицо, подписавшее электронный документ;

3. позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания ;

4. создается с использованием средств электронной подписи;

5. ключ проверки электронной подписи указан в квалифицированном сертификате;

6. для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Законом.

Таким образом, использование электронной подписи при заключении договоров путем обмена «факсовыми» копиями подписываемых документов либо электронными документами позволяет обнаружить факт внесения изменений в уже подписанный документ, что является гарантией защищенности стороны в судебном процессе при возникновении спорных ситуации.

Кроме того, электронный документ, подписанный квалифицированной электронной подписью признается равнозначным бумажному документу, подписанному собственноручной подписью.

Большинство почтовых клиентов, включая Gmail , Mail.ru , Microsoft Outlook , Mozilla Thunderbird , позволяют поставить нескольких получателей в Копию (на английском языке принята аббревиатура СС ), или Скрытую копию (CCB ). В Копии получатели могут видеть адреса других людей. Во втором случае личность дополнительных адресатов скрыта.

Добавление адреса получателя

Чтобы указать получателя (или получателей) электронного письма, введите его адрес электронной почты в поле Кому (То ):

Некоторые почтовые клиенты позволяют просто вводить имя пользователя в поле, которое затем автоматически заполняется программой.

Если Вы используете это поле для отправки электронной почты нескольким людям, каждый из них сможет увидеть полный список других получателей.

Как создать копию электронного письма

Поле CC или Копия используется для обмена электронными сообщениями более опосредованным способом, чем поле Кому . Если Вы в своем электронном письме не обращаетесь напрямую к человеку, но хотели бы, чтобы этот человек следил за обсуждением в цепочке писем или просто был в курсе этой темы, поле Копия будет отличным вариантом. Адресат, который находится в Копии письма, получает непрочитанное письмо на свой почтовый ящике, как и тот, кто был помещен в поле Кому ; разница заключается только в том, кому первому Вы адресуете письмо в теле своей электронной почты. В профессиональном мире рассылка в Копии используется очень широко и служит для того, чтобы коллеги были в курсе разных событий и тем.

Вы можете перечислить получателей электронной почты, просто введя список адресов в поле Копия , которое обычно находится сразу под полем Кому . Каждый в этой цепочке адресатов сможет видеть имена и адреса электронной почты всех других получателей:

Как создать скрытую копию электронного письма

Каждый почтовый клиент (Gmail, Outlook, Mozilla Thunderbird, Yahoo и т. д.) дает возможность отправителю письма обратиться к большому числу людей, не афишируя их данные перед другими пользователям в цепочке электронной почты. Эта функция называется BCC или Скрытая копия . Вы можете скрыть получателей, введя их адреса в поле Скрытая копия вместо использования полей Кому и Копия :

Вы можете использовать эту функцию как для индивидуальных, так и для групповых писем. Это особенно полезно, если Вы хотите сохранить конфиденциальность своих контактов, защитить их от спама и нежелательных писем или же просто, если не хотите, чтобы Ваши получатели знали, кто получил такое же сообщение.

Поле Скрытая копия не всегда доступно по умолчанию для всех почтовых клиентов. Например, в Outlook Вам нужно будет зайти в Параметры , чтобы получить доступ к настройке; в Thunderbird нужно будет выбрать эту функцию из раскрывающегося меню; в Gmail нужно нажать кнопку Копия и Скрытая копия ; в Windows Live Mail Вам потребуется одновременно нажать клавиши Alt + B .

Изображение: © Web Hosting - Unsplash.com