Hi,

Anscheinend habe ich gestern selber eine Sicherheitslücke in Freemail gefunden. Das ganze hat eigentlich ganz harmlos angefangen: ich wollte ein PHP-Script testen, das HTML-Mails verschicken kann:

Nein, hast Du nicht, denn Dein Script verschickt keine HTML-Mails.

$message = "<h1>Hello world!<h1>";

Für eine HTML-Mail ist ein HTML-Dokument erforderlich, nicht ein Ausschnitt aus selbigem.

$xtra .= "Content-Type: text/html Content-Transfer-Encoding: 8bit ";

Dieser Header ist falsch.
Es fehlt der Strichpunkt.

Für eine HTML-Mail ist der content-type
text/html

Deine Mail hat aber den Content-type
text/html Content-Transfer-Encoding: 8bit

Daß der Zeilenumbruch auch noch fehlt, kommt erschwerend dazu. Dieser wäre per \r\n anzugeben (nicht nur \n)

Also schick ich die Mail an meine Web.de-Adresse und siehe da: Freemail erkennt die HTML-Email nicht als HTML-Email!

Was sagt ihr dazu?

SISO: Shit in - Shit out.
Deine Eingabe ins Mail-System ist fehlerhaft.
Wenn das System daraufhin anders als von Dir erwartet reagiert, ist das nicht notwendigerweise ein Fehler des Systems...

cu,
Andreas