Seite 1 von 2
Wie kann man eine Mail-Benachrichtigung umgehen?
Verfasst: 24.07.2006 19:19
von MichaelN0815
Ich habe noch ein kleines Forum ohne phpBB laufen. Dort wird mit dem php-Befehl mail() für jedes Posting eine Benachrichtigungsmail an den Admin geschickt.
Selten, meist bei SPAM-Postings, kommt keine Mail-Benachrichtigung an. Hat einer eine Idee, wie der mail()-Befehl umgangen wird?
Am SPAM-Filter des Postfachs dürfte es nicht liegen, da der keine Mails löscht.
Verfasst: 24.07.2006 21:56
von Jensemann
ohne phpBB ... Software unbekannt.
Sorry, aber sollen wir hellsehen oder was? Du sagst uns weder wie die genutzte Software heisst, noch erklärst du uns sonst irgendwas.
Also PHP schonmal hat keine Funktionalität um Funktionen zu umgehen, folglich ist die verwendete Software einfach scheiße und hat irgendwo einen Bug oder ist hirntot programmiert. Schonmal den Anbieter der Software gefragt?
Verfasst: 25.07.2006 17:10
von MichaelN0815
Danke für die Beleidigungen.
Ich dachte, es gäbe evt. eine bekannte Sicherheitslücke die Mail-Funktion betreffend. Dachte, hier fände man Experten.
Sorry für die Störung.
Verfasst: 25.07.2006 17:11
von Jensemann
MichaelN0815 hat geschrieben:Danke für die Beleidigungen.
Wenn du mir die Beleidigungen zeigst kann ich mich gerne dafür entschuldigen, ich sehe keine ...
Verfasst: 25.07.2006 18:48
von Pyramide
Möglicherweise kann der Spammer durch ein schlecht programmiertes Script Daten an den extra_headers Parameter der mail() Funktion übergeben und somit die mail woanders hin schicken. Aber wie jensemann schon sagte, mit der bloßen Angabe "die mail Funktion wird verwendet" kann man nur raten.
Verfasst: 25.07.2006 19:06
von MichaelN0815
Die Codezeile lautet:
Code: Alles auswählen
mail($GLOBALS["sendto"],$GLOBALS["sendsubj"],$mail_msg,$mail_from);
sendto und sendsubj sind Konstanten, die im php-Skript festgelegt werden
$mail_msg,$mail_from werden wie folgt festgelegt:
Code: Alles auswählen
$mail_msg = $entry_data["SUBJ"]."\n\n".$entry_data["TEXT"]."\r\n";
Code: Alles auswählen
$mail_from = "From: ".$entry_data["NAME"]." <".$entry_data["MAIL"].">";
NAME, MAIL, SUBJ und TEXT stammen direkt aus einem Webformular
mmmh
kann man mit dem unvalidierten MAIL Unsinn anstellen?
Verfasst: 25.07.2006 19:39
von Jensemann
Es wäre zwar interessant zu wissen welchen wert $entry_data["MAIL"] bei solchen SPAMs hat, ich glaube aber nicht das man darüber viel erreichen kann.
Auch halte ich das mit dem extra_headers für zumindest fragwürdig, da der RCPT TO ja bereits festgelegt ist und aus einer Konstanten kommt. Wenn überhaupt wäre es denkbar über Modifikation des $entry_data["MAIL"] die E-Mail zu "verkrüppeln" so das der Mail-Server diese wegwirft. Was aber u.A. einen Log-Eintrag im Mailserver Log nach sich zieht.
Du könntest mal ein "-
fdeinemail@adresse.tld" als weiteren Paramter für Mail anfügen, ggf. kommen Bounces bei dir an.
Verfasst: 25.07.2006 19:55
von MichaelN0815
Was bewirkt
fdeinemail@adresse.tld ?
Im Logfile gab es keinen Eintrag, also scheint keine Mail verschickt worden zu sein.
Verfasst: 25.07.2006 20:02
von S2B
-f ist ein Parameter. Danach trägst du (ohne Leerzeichen) eine andere E-Mailadresse ein, um zu testen, ob dieser "Trick" funktioniert.
Verfasst: 25.07.2006 20:48
von Jensemann
MichaelN0815 hat geschrieben:Was bewirkt
fdeinemail@adresse.tld ?
Im Logfile gab es keinen Eintrag, also scheint keine Mail verschickt worden zu sein.
Es gibt den Return-Path der E-Mail an, also die Adresse an die Bounces geschickt werden im Fehlerfall.