Wie kann man eine Mail-Benachrichtigung umgehen?

MichaelN0815 · Beitrag von **MichaelN0815** » 24.07.2006 19:19

Ich habe noch ein kleines Forum ohne phpBB laufen. Dort wird mit dem php-Befehl mail() für jedes Posting eine Benachrichtigungsmail an den Admin geschickt.

Selten, meist bei SPAM-Postings, kommt keine Mail-Benachrichtigung an. Hat einer eine Idee, wie der mail()-Befehl umgangen wird?

Am SPAM-Filter des Postfachs dürfte es nicht liegen, da der keine Mails löscht.

Beitrag von **Jensemann** » 24.07.2006 21:56

ohne phpBB ... Software unbekannt.

Sorry, aber sollen wir hellsehen oder was? Du sagst uns weder wie die genutzte Software heisst, noch erklärst du uns sonst irgendwas.

Also PHP schonmal hat keine Funktionalität um Funktionen zu umgehen, folglich ist die verwendete Software einfach scheiße und hat irgendwo einen Bug oder ist hirntot programmiert. Schonmal den Anbieter der Software gefragt?

MichaelN0815 · Beitrag von **MichaelN0815** » 25.07.2006 17:10

Danke für die Beleidigungen.

Ich dachte, es gäbe evt. eine bekannte Sicherheitslücke die Mail-Funktion betreffend. Dachte, hier fände man Experten.

Sorry für die Störung.

Beitrag von **Jensemann** » 25.07.2006 17:11

MichaelN0815 hat geschrieben:Danke für die Beleidigungen.

Wenn du mir die Beleidigungen zeigst kann ich mich gerne dafür entschuldigen, ich sehe keine ...

Beitrag von **Pyramide** » 25.07.2006 18:48

Möglicherweise kann der Spammer durch ein schlecht programmiertes Script Daten an den extra_headers Parameter der mail() Funktion übergeben und somit die mail woanders hin schicken. Aber wie jensemann schon sagte, mit der bloßen Angabe "die mail Funktion wird verwendet" kann man nur raten.

MichaelN0815 · Beitrag von **MichaelN0815** » 25.07.2006 19:06

Die Codezeile lautet:

Code: Alles auswählen

mail($GLOBALS["sendto"],$GLOBALS["sendsubj"],$mail_msg,$mail_from);

sendto und sendsubj sind Konstanten, die im php-Skript festgelegt werden
$mail_msg,$mail_from werden wie folgt festgelegt:

Code: Alles auswählen

$mail_msg = $entry_data["SUBJ"]."\n\n".$entry_data["TEXT"]."\r\n";

Code: Alles auswählen

$mail_from = "From: ".$entry_data["NAME"]." <".$entry_data["MAIL"].">";

NAME, MAIL, SUBJ und TEXT stammen direkt aus einem Webformular

mmmh

kann man mit dem unvalidierten MAIL Unsinn anstellen?

Beitrag von **Jensemann** » 25.07.2006 19:39

Es wäre zwar interessant zu wissen welchen wert $entry_data["MAIL"] bei solchen SPAMs hat, ich glaube aber nicht das man darüber viel erreichen kann.

Auch halte ich das mit dem extra_headers für zumindest fragwürdig, da der RCPT TO ja bereits festgelegt ist und aus einer Konstanten kommt. Wenn überhaupt wäre es denkbar über Modifikation des $entry_data["MAIL"] die E-Mail zu "verkrüppeln" so das der Mail-Server diese wegwirft. Was aber u.A. einen Log-Eintrag im Mailserver Log nach sich zieht.

Du könntest mal ein "-fdeinemail@adresse.tld" als weiteren Paramter für Mail anfügen, ggf. kommen Bounces bei dir an.

MichaelN0815 · Beitrag von **MichaelN0815** » 25.07.2006 19:55

Was bewirkt fdeinemail@adresse.tld ?

Im Logfile gab es keinen Eintrag, also scheint keine Mail verschickt worden zu sein.

Beitrag von **S2B** » 25.07.2006 20:02

-f ist ein Parameter. Danach trägst du (ohne Leerzeichen) eine andere E-Mailadresse ein, um zu testen, ob dieser "Trick" funktioniert.

Beitrag von **Jensemann** » 25.07.2006 20:48

MichaelN0815 hat geschrieben:Was bewirkt fdeinemail@adresse.tld ?

Im Logfile gab es keinen Eintrag, also scheint keine Mail verschickt worden zu sein.

Es gibt den Return-Path der E-Mail an, also die Adresse an die Bounces geschickt werden im Fehlerfall.