[Technik] httpd@h0x.hostsharing.net als Absender blockieren?

[Christof Donat]

Hi,

> > Wer hat denn sowas auf seiner Website, wo (gewünscht) verschickte
> > Mails mit der Absenderadresse httpd[at]h0x.hostsharing.net rausgehen
> > (statt einer Adresse auf seiner Domain).
> >
> > Willentlich doch sicher niemand! (Oder hast Du konkrete Beispiele?)
>
> Der Gedankengang dahinter ist folgender:
>
> Es dürfte wenig bringen, E-Mails mit httpd@ im From-Header
> auszufiltern, weil die Spammer, die unsichere CGI-Scripts ausnutzen,
> i.d.R. auch den From-Header fälschen. Sinnvoll als Ansatzpunkt wäre 
> daher wohl nur das Envelope-From, das wird bei Spam-E-Mails, die über
> mod_php-PHP-Scripts versendet werden, i.d.R. httpd@ sein.

Nö, die am einfachsten zu knackenden Skripte sind die, die ein Feld für den 
Empfänger im Formular haben:
<input type="hidden" name="sentTo" value="sep at example.com">

Wer solche Sachen verbricht, dem traue ich auch zu, dass er keinen 
From:-Header setzt.

Ich kann mir schon vorstellen, dass es da irgendwelche tollen Programme gibt, 
deren Entwickler auf so was keinen Gedanken verschwendet - ich habe es schon 
oft genug gesehen.

Vielleicht weil das Programm ursrpünglich nur für interne Nutzung gedacht war; 
vielleicht, weil er noch recht unerfahren ist und das für die naheliegendste 
Lösung hält; vielleicht, weil er die Bezeichnung "Entwickler" nur aus dem 
Fotolabor kennt.

> Da das Envelope-From von der PHP-mail()-Funktion jedoch nicht
> automatisch gesetzt wird, sondern die Funktion dies nur über das
> optionale "additional_parameters" Argument zulässt [1] (und ich weiß
> nichtmal, ob das im Safe Mode überhaupt funktioniert),

Ich weiß aber. Das Argument "additional_parameters" gibt es im safe-mode 
einfach nicht. Steht auch auf der von dir verlinkten Seite. Die angegebene 
Versionsnummer ist nur die, ab der das so ist.

> Ich habe dazu allerdings keine konkreten Beispiele, es ist nur ein
> starker Verdacht.

Ja, ich habe Skripte, die den Envelop-From nicht setzen, weil sie mit 
safe-mode laufen können müssen. Alle setzten aber den From:-Header.

> Ich fürchte nur,
> dass wir daraufhin von einigen Usern zu hören bekommen werden "Software
> XY läuft jetzt nicht mehr und ich kann unmöglich jetzt und nach jedem
> zukünftigen Upgrade in den 10000 Zeilen PHP-Code wühlen, bis ich alle
> mail()-Aufrufe korrigiert habe" 

$ grep -R -e '[ \t\n]mail[ \t]*(' /home/doms/example.com/subs/www

findet alle eventuellen Vorkommen. Damit habe ich sogar Typo3, dessen Code ich 
wirklich so gut wie nicht kenne, mal nach einem bestimmten Aufruf durchsucht 
und alles ordentlich gefunden. Ich musste da dann zwar nichts ändern, aber 
wie gesagt nach ein paar Minuten wusste ich das auch sicher.

> oder "...und ich kann kein PHP" oder... 

In einem solchen einfachen Fall lässt sich das ja einfach lösen. Kurze 
Anleitung, wie man aufrufe an mail() findet (siehe oben) und wie die aussehen 
sollten (und natürlich, wie nicht) - fertig.

Das hilft aber nur, wenn es auch wirklich machbar ist. Das mit dem 
Envelop-From geht eben nicht mit safe-mode.

Christof

-- 
actSoft gmbh                                 Software nach Maß

Zugspitzstr. 211                                www.actsoft.de
86165 Augsburg                                   cd at actsoft.de

                                      Registergericht Augsburg
Geschäftsführer                             Augsburg HRB 21896
Christof Donat                           UStID: DE 248 815 055