nicht angemeldet
Hi,
aha, soll das heissen, dass bei [...]
auch eine Mail an armes-opfer@example.com geschickt würde?
das möchte ich jetzt speziell nicht beschwören. Potenziell existiert dieses Problem jedoch bei allen Header-Angaben.
Abender, Empfänger, Subject und extra Headers sind statisch vom "Programm" fix gesetzt.
Das reduziert die Probleme :-)
Mit anderen Worten, ich sollte nur praktisch jedes Feld mittels Regex auf zugelassenen Inhalt prüfen?
Das solltest Du. Wenn allerdings jede Benutzereingabe im Body der Mail landet, ist das große Problem des Spam-Versandes aber IMHO schon mal gelöst: Hierzu müsste der Angreifer den Header beeinflussen können.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes
Der Martin