Sicherheit von E-Mail-Formularen

[Bailor]

Hallo,

Wie kann man ein E-Mail-Formular missbrauchen?
Ich denke da jetzt weniger daran, was alles schief laufen kann, wenn man seine Formular-Daten nochmal am Bildschirm ausgibt und htmlspecialchars oder ähnliches vergisst; sondern eher: dürfen alle Zeichen im subject oder text-bereich einer e-mail stehen? kann man irgendwas damit anstellen, wenn im from-namen z.B. auch mal ' und " erlaubt sind? Kann man nicht Header-Daten einer E-Mail modifzieren bzw. erweitern, wenn man geeignetes an den Anfang des "Text-Teils" hängt?

Fragen über Fragen... ;-)

 

[rythms]

Die einzige mir bekannte Möglichkeit ein Formular zu missbrauchen ist der sogenannte Header-Spam.
Über Felder, die du in den Header übernimmst (beispielsweise: Email-Adresse des Absenders als Reply-To oder From), können weitere Headerfelder eingeschleust werden.
Wie? Indem der Spammer \r\n anhängt und darauf die weiteren Felder folgen lässt.
Typischerweise sind das Bcc's. Der Spammer mißbraucht also deinen Mailserver um spam zu verschicken.

Wie vermeiden?
Alle Vorkomnisse von \r und \n aus den Felder entfernen.