/blog/perl


substr() in Perl
[154170 mal gelesen]
foreach in Perl
[129166 mal gelesen]
Arrays in Perl - Besonderheiten
[125384 mal gelesen]
split() in Perl - Zeichenketten teilen
[113580 mal gelesen]
open() - Dateien öffnen in Perl
[108991 mal gelesen]
grep - Listen durchsuchen in Perl
[94729 mal gelesen]
chomp() in Perl
[93643 mal gelesen]
push in Perl
[90859 mal gelesen]
sleep in Perl - Das aktuelle Script warten lassen
[75984 mal gelesen]
index() in Perl - Zeichenkette in Zeichenkette suchen
[59577 mal gelesen]


Arrays
Dateien
HTPC
Hashes
Leistungsoptimiert
PHP
Perl
RegEx
Schleifen
Script
Skalare
Sonstiges
System
Webserver
Zur Startseite


Freitag, 23.3.2007, 10:31:07 Uhr

Sicheres sendmail-Script


Ich habe bereits hier auf die möglichen Risiken von sendmail hingewiesen. Sendmail kann dazu verwendet werden, Spam zu versenden oder auch um Systemdateien auszulesen. Deswegen sollte man alle unzulässigen Zeichen aus extern eingelesenen Parametern am Besten mit einer Fehlermeldung entfernen. Ich habe deswegen aus aktuellem Anlaß das folgende Script nach den mir vorliegenden Erkenntnissen erstellt, so daß ein Mißbrauch ausgeschlossen werden kann.

#!/usr/bin/perl

print "Content-Type: text/html\n\n";
print "<HTML>\n<HEAD>\n";

use strict;
&send_mail(
'returnadresse@server.com',
'empfaenger.adresse@seinserver.com',
'absenderadresse@meinserver.com',
'Subject',
'Mailtext'
);


print "OK, Mail versandt...";

sub send_mail{
local *SENDMAIL;
my $ok='';
my $SENDMAIL='';

my $returnadresse=shift;
my $to=shift;
my $from=shift;
my $subject=shift;
my $mailtext=shift;

# gültige Zeichen in Mailadressen sind:
# a-z A-Z 0-9 _ \- \+ \* \$ \. \@
# falls andere Zeichen auftreten -> STOPP
die ('wrong returnadresse') if ($returnadresse=~ /[^a-zA-Z0-9_\-\+\*\$\.\@]/);
die ('wrong to:') if ($to=~ /[^a-zA-Z0-9_\-\+\*\$\.\@]/);
die ('wrong from:') if ($from=~ /[^a-zA-Z0-9_\-\+\*\$\.\@]/);
die ('no mailtext') if ($mailtext eq '');
die ('no subject') if ($subject eq '');
die ('wrong subject') if ($subject=~ /[\n\0\t\r\0\|]/);

my @sendmails=(
'/usr/sbin/sendmail',
'/usr/bin/sendmail',
'/usr/lib/sendmail'
);

# prüfen, wo sendmail sich befindet
foreach (@sendmails){
if (open (SENDMAIL,"|$_ -t")){
$SENDMAIL=$_;
close SENDMAIL;
last;
}
}

die ('Can not find sendmail!!!') if ($SENDMAIL eq '');

open (SENDMAIL,"|$SENDMAIL -t -f $returnadresse") || die('can not open sendmail');
print SENDMAIL <<EOF;
To: $to
Subject: $subject
From: $from
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit


$mailtext
EOF
close SENDMAIL;
}


Beschreibung
In der Funktion send_mail werden zuerst alle Parameter eingelesen, und zwar in der Reihenfolge:
Returnadresse, falls eine Mail nicht zugestellt werden kann oder der Empfänger antworten will
to, also der Empfänger
from, Absender
subject, Der Betreff
mailtext, der Text der Mail

Jetzt beginnt die Prüfung der Zeichen, bzw. der verwendeten Mailadressen. Zugelassen sind die Zeichen a-z A-Z 0-9 _ \- \+ \* \$ \. \@. Falls ein Zeichen auftritt, das nicht hierrein passt, wird per Fehler abgebrochen!
Zusätzlich wird noch geprüft, ob ein Subject vorliegt und ein Mailtext, wenn nicht, gibt es ebenfalls einen Fehler. Und zu guter Letzt wird ein \n,\0,\t,\r,\0,\| im Subject ebenfalls als Fehler angesehen.

Danach werden verschiedene Möglichkeiten untersucht, an welchem Ort sendmail sich befindet. Falls sendmail nicht gefunden wird, wird per Fehlermeldung abgebrochen.

Falls bis hierhin alle Prüfungen bestanden wurden, kann die Pipe zu sendmail geöffnet und die Mail versandt werden.

Übrigens
könnte man auch noch ein cc: und bcc: in die Mail einfügen, dazu einfach unter

To: $to
Subject: $subject
From: $from


noch die Zeilen

cc: $cc
bcc: $bcc


einfügen. Natürlich sollte $cc und $bcc entsprechend gesetzt werden.
Und noch was: Dieser Mailer versendet Text-Mails, kein HTML oder sowas!

So weit so gut, ich hoffe, das Beispiel ist gut verständlich und kann nachvollzogen werden. Viel Spaß damit!




Kommentare zum Beitrag "sendmail-Script"

Kommentar von Olli
die ('wrong subject') if ($subject=~ /[\n\0\t\r\0\|]/);
Was ist der Unterschied zwischen \0 und \0 ?



Thema: Perl Script System

Der Beitrag "sendmail-Script" wurde 13295 mal gelesen.

Es wurde 7 x über diesen Beitrag abgestimmt.
Die durchschnittliche Beurteilung liegt bei
1 (1 = sehr gut - 6 = grottenschlecht).

Kommentar schreiben  Druckansicht  Seitenanfang 
Beurteilen 






 Zufällige Beiträge im /blog/perl

Net::FTP unter Windows Vista

Feiertage eines beliebigen Jahres errechnen mit Perl

Reguläre Ausdrücke - Klammerung und gespeicherte Werte

Unicode mit Perl - Einfache (?) Anwendung

Zusätzlichen Anzeigename in der Netzwerkumgebung anpassen bei Vista

index() in Perl - Zeichenkette in Zeichenkette suchen

Bestimmte Anzahl von Zeilen aus Datei einlesen - Probleme eines Lesers

tell - Die Position eines Dateizeigers ermitteln

Sonderzeichen konvertieren für Tag-Cloud



0.0297307968139648 sec. to build



...Blogsoftware in pure Perl - Powered by a lot of Coffee...


SSD-Festplatte - Wassn das???
Die Transliteration - Nur ein Zeichen in einem Skalar ersetzen
Select - Case in Perl
Windows 7 XP Mode – Wo finde ich den XP-Modus unter Windows 7?
Mac-Adresse beim Apple Macintosh herausfinden
SGN-Funktion für Perl

Eigene IP herausfinden mit Perl
Epoche live in Datum umwandeln
Firefox 3 - Exe-Files downloaden


Gesamtverzeichnis
Februar 2010
Dezember 2009
Oktober 2009
Januar 2009
Dezember 2008
November 2008
September 2008
August 2008
Juli 2008
Juni 2008
Mai 2008
April 2008
Januar 2008
Dezember 2007
November 2007
Oktober 2007
September 2007
August 2007
Juni 2007
Mai 2007
April 2007
März 2007
Februar 2007
Januar 2007
Dezember 2006


Mister Wong

RSS-Feed

Heute ist der
23.11.2024

Es ist
15:13:15 Uhr

Ihre IP:
3.23.92.64

Blog-Einträge: 186

Die letzten 24 Stunden im Überblick


Gelesene Beiträge insgesamt:
4423944


Webseiten vergleichen
Kalender mit Feiertagen - 2028
Links finden und testen
Menschliche Datumsangaben
IP zu Domain herausfinden
Time live in Datum umwandeln
Perl für Windows



Impressum