skillup

技術ブログ

メール

メールヘッダ・インジェクション

投稿日:2017年2月8日 更新日:

メールヘッダ・インジェクションとは?

お問い合わせメールなどでメールのヘッダを悪意のある第三者に自由に変更させられてしまう機能です。

Webセキュリティの小部屋 メールヘッダー・インジェクションと対策

メールヘッダ・インジェクション脆弱性

被害

迷惑メールの中継に利用される

対策

  • メールヘッダを固定値にして、外部からの入力はすべてメール本文に出力する
  • メールヘッダを固定値にできない場合、メール送信用APIを利用する
  • HTMLで宛先を指定しない(BCCなどを入れられる可能性がある)
  • 改行コードを削除する

メールヘッダ・インジェクション

-メール
-

執筆者:


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

no image

Dockerでのメール送信に関して

Docker内でメール送信したいときなど。 通常であればWebコンテナ用にphp-7.4などのapache(or nginx)だけの最小構成になっていることがほとんどだと思いますので、メール送信ができ …

no image

Mailtrap テスト環境でメール送信を試したい時に使えるサービス

メールが絡んだ時のテストって難しいですよね・・・ ここだけは本番化した時に、1、2度お客さんに連絡して仕方なく本番でテスト・・・なんてことをやっておりましたが、つい最近、メールのテストが気軽にできるサ …

no image

ドメイン取得とメール送信

現在ではメール配信サービスなどが充実しており、メールサーバーを立てる機会なんぞは少ないかとしれません。 そもそも一般的なレンタルサーバー会社の場合、レジストラとセットになっていることが多いですよね。そ …

no image

SMTP-AUTHのメール送信

メールに関して以前にもこんなこと書きましたが、今更ながらトラブルが起きたのでしっかり理解しておかないと・・・ 基礎が弱いと困るのう・・・ ロリポップなどのサーバーでmb_send_mailを打てばよく …

no image

Amazon SESでのメール送信

前回、AWSでのメール受信についてかいたので今回はメール送信に関して。 送信の場合、下記のような流れになります。 Contents1 Route53でドメイン登録し、MXレコードを登録している場合2 …

アーカイブ