Contents
メールヘッダ・インジェクションとは?
お問い合わせメールなどでメールのヘッダを悪意のある第三者に自由に変更させられてしまう機能です。
Webセキュリティの小部屋 メールヘッダー・インジェクションと対策
被害
迷惑メールの中継に利用される
対策
- メールヘッダを固定値にして、外部からの入力はすべてメール本文に出力する
- メールヘッダを固定値にできない場合、メール送信用APIを利用する
- HTMLで宛先を指定しない(BCCなどを入れられる可能性がある)
- 改行コードを削除する
技術ブログ
投稿日:2017年2月8日 更新日:
Contents
お問い合わせメールなどでメールのヘッダを悪意のある第三者に自由に変更させられてしまう機能です。
Webセキュリティの小部屋 メールヘッダー・インジェクションと対策
迷惑メールの中継に利用される
執筆者:matsumoto
関連記事
メールに関して以前にもこんなこと書きましたが、今更ながらトラブルが起きたのでしっかり理解しておかないと・・・ 基礎が弱いと困るのう・・・ ロリポップなどのサーバーでmb_send_mailを打てばよく …
Mailtrap テスト環境でメール送信を試したい時に使えるサービス
メールが絡んだ時のテストって難しいですよね・・・ ここだけは本番化した時に、1、2度お客さんに連絡して仕方なく本番でテスト・・・なんてことをやっておりましたが、つい最近、メールのテストが気軽にできるサ …
以前、Route53でドメイン取得、メールの送受信などをメモしましたが、Route53でのドメイン登録→メール送信に関してもう一度記しておこうと思います。 Amazon SESについて(Route53 …
Docker内でメール送信したいときなど。 通常であればWebコンテナ用にphp-7.4などのapache(or nginx)だけの最小構成になっていることがほとんどだと思いますので、メール送信ができ …
Amazon SESでの受信→S3→Lambdaでのメール転送
SESでのメール受信についてエントリーを書いたのですが、実際にLambdaで転送して別のメールアドレスで受け取るまで。 Amazon SESについて(Route53登録→SESで受信→S3で保存) え …