Contents
メールヘッダ・インジェクションとは?
お問い合わせメールなどでメールのヘッダを悪意のある第三者に自由に変更させられてしまう機能です。
Webセキュリティの小部屋 メールヘッダー・インジェクションと対策
被害
迷惑メールの中継に利用される
対策
- メールヘッダを固定値にして、外部からの入力はすべてメール本文に出力する
- メールヘッダを固定値にできない場合、メール送信用APIを利用する
- HTMLで宛先を指定しない(BCCなどを入れられる可能性がある)
- 改行コードを削除する
技術ブログ
投稿日:2017年2月8日 更新日:
Contents
お問い合わせメールなどでメールのヘッダを悪意のある第三者に自由に変更させられてしまう機能です。
Webセキュリティの小部屋 メールヘッダー・インジェクションと対策
迷惑メールの中継に利用される
執筆者:matsumoto
関連記事
メールに関して以前にもこんなこと書きましたが、今更ながらトラブルが起きたのでしっかり理解しておかないと・・・ 基礎が弱いと困るのう・・・ ロリポップなどのサーバーでmb_send_mailを打てばよく …
メールパーサー(mailparseとphp-mime-mail-parser)に関して
以前、POP3を使ったメール受信というエントリーでメールパーサーをインストールしたんですが、他のライブラリをインストールする機会があったんでメモ。 https://github.com/php-mim …
現在ではメール配信サービスなどが充実しており、メールサーバーを立てる機会なんぞは少ないかとしれません。 そもそも一般的なレンタルサーバー会社の場合、レジストラとセットになっていることが多いですよね。そ …
メールの文字コードに関して、色々ごまかしながらやってましたが真面目に取り組む必要があり、ここでメモ。 Contents1 前提条件2 ヘッダー部分3 メール本文3.1 Content-Transfer …
Swift_Mailer(PHPのメール送信。Laravelに入っているライブラリ)
Laravelでメールを送信することがあったんですが使っていたライブラリがSwift_Mailerだったので、ここにメモ。 Swift Mailerのインストール&メールを送信する 今回最初 …