/blog/perl


substr() in Perl
[128755 mal gelesen]
foreach in Perl
[117342 mal gelesen]
Arrays in Perl - Besonderheiten
[110577 mal gelesen]
open() - Dateien öffnen in Perl
[98594 mal gelesen]
split() in Perl - Zeichenketten teilen
[90837 mal gelesen]
chomp() in Perl
[85331 mal gelesen]
grep - Listen durchsuchen in Perl
[82604 mal gelesen]
push in Perl
[79790 mal gelesen]
sleep in Perl - Das aktuelle Script warten lassen
[62345 mal gelesen]
print in Perl
[50325 mal gelesen]


Arrays
Dateien
HTPC
Hashes
Leistungsoptimiert
PHP
Perl
RegEx
Schleifen
Script
Skalare
Sonstiges
System
Webserver
Zur Startseite


Freitag, 23.3.2007, 10:31:07 Uhr

Sicheres sendmail-Script


Ich habe bereits hier auf die möglichen Risiken von sendmail hingewiesen. Sendmail kann dazu verwendet werden, Spam zu versenden oder auch um Systemdateien auszulesen. Deswegen sollte man alle unzulässigen Zeichen aus extern eingelesenen Parametern am Besten mit einer Fehlermeldung entfernen. Ich habe deswegen aus aktuellem Anlaß das folgende Script nach den mir vorliegenden Erkenntnissen erstellt, so daß ein Mißbrauch ausgeschlossen werden kann.

#!/usr/bin/perl

print "Content-Type: text/html\n\n";
print "<HTML>\n<HEAD>\n";

use strict;
&send_mail(
'returnadresse@server.com',
'empfaenger.adresse@seinserver.com',
'absenderadresse@meinserver.com',
'Subject',
'Mailtext'
);


print "OK, Mail versandt...";

sub send_mail{
local *SENDMAIL;
my $ok='';
my $SENDMAIL='';

my $returnadresse=shift;
my $to=shift;
my $from=shift;
my $subject=shift;
my $mailtext=shift;

# gültige Zeichen in Mailadressen sind:
# a-z A-Z 0-9 _ \- \+ \* \$ \. \@
# falls andere Zeichen auftreten -> STOPP
die ('wrong returnadresse') if ($returnadresse=~ /[^a-zA-Z0-9_\-\+\*\$\.\@]/);
die ('wrong to:') if ($to=~ /[^a-zA-Z0-9_\-\+\*\$\.\@]/);
die ('wrong from:') if ($from=~ /[^a-zA-Z0-9_\-\+\*\$\.\@]/);
die ('no mailtext') if ($mailtext eq '');
die ('no subject') if ($subject eq '');
die ('wrong subject') if ($subject=~ /[\n\0\t\r\0\|]/);

my @sendmails=(
'/usr/sbin/sendmail',
'/usr/bin/sendmail',
'/usr/lib/sendmail'
);

# prüfen, wo sendmail sich befindet
foreach (@sendmails){
if (open (SENDMAIL,"|$_ -t")){
$SENDMAIL=$_;
close SENDMAIL;
last;
}
}

die ('Can not find sendmail!!!') if ($SENDMAIL eq '');

open (SENDMAIL,"|$SENDMAIL -t -f $returnadresse") || die('can not open sendmail');
print SENDMAIL <<EOF;
To: $to
Subject: $subject
From: $from
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit


$mailtext
EOF
close SENDMAIL;
}


Beschreibung
In der Funktion send_mail werden zuerst alle Parameter eingelesen, und zwar in der Reihenfolge:
Returnadresse, falls eine Mail nicht zugestellt werden kann oder der Empfänger antworten will
to, also der Empfänger
from, Absender
subject, Der Betreff
mailtext, der Text der Mail

Jetzt beginnt die Prüfung der Zeichen, bzw. der verwendeten Mailadressen. Zugelassen sind die Zeichen a-z A-Z 0-9 _ \- \+ \* \$ \. \@. Falls ein Zeichen auftritt, das nicht hierrein passt, wird per Fehler abgebrochen!
Zusätzlich wird noch geprüft, ob ein Subject vorliegt und ein Mailtext, wenn nicht, gibt es ebenfalls einen Fehler. Und zu guter Letzt wird ein \n,\0,\t,\r,\0,\| im Subject ebenfalls als Fehler angesehen.

Danach werden verschiedene Möglichkeiten untersucht, an welchem Ort sendmail sich befindet. Falls sendmail nicht gefunden wird, wird per Fehlermeldung abgebrochen.

Falls bis hierhin alle Prüfungen bestanden wurden, kann die Pipe zu sendmail geöffnet und die Mail versandt werden.

Übrigens
könnte man auch noch ein cc: und bcc: in die Mail einfügen, dazu einfach unter

To: $to
Subject: $subject
From: $from


noch die Zeilen

cc: $cc
bcc: $bcc


einfügen. Natürlich sollte $cc und $bcc entsprechend gesetzt werden.
Und noch was: Dieser Mailer versendet Text-Mails, kein HTML oder sowas!

So weit so gut, ich hoffe, das Beispiel ist gut verständlich und kann nachvollzogen werden. Viel Spaß damit!




Kommentare zum Beitrag "sendmail-Script"

Kommentar von Olli
die ('wrong subject') if ($subject=~ /[\n\0\t\r\0\|]/);
Was ist der Unterschied zwischen \0 und \0 ?



Thema: Perl Script System

Der Beitrag "sendmail-Script" wurde 11223 mal gelesen.

Es wurde 7 x über diesen Beitrag abgestimmt.
Die durchschnittliche Beurteilung liegt bei
1 (1 = sehr gut - 6 = grottenschlecht).

Kommentar schreiben  Druckansicht  Seitenanfang 
Beurteilen 






 Zufällige Beiträge im /blog/perl

sleep in Perl - Das aktuelle Script warten lassen

The until-command in Perl

Prüfen, ob ein bestimmter Wert in einem Array vorhanden ist

Cookies mit Perl

Windows Vista schneller booten

RegEx Spickzettel - Abkürzungen in regulären Ausdrücken

unlink() - Dateien löschen in Perl

Dateitestoperatoren - Eigenschaften von Verzeichnissen und Dateien feststellen

Select - Case in Perl



0.0495641231536865 sec. to build



...Blogsoftware in pure Perl - Powered by a lot of Coffee...


SSD-Festplatte - Wassn das???
Die Transliteration - Nur ein Zeichen in einem Skalar ersetzen
Select - Case in Perl
Windows 7 XP Mode – Wo finde ich den XP-Modus unter Windows 7?
Mac-Adresse beim Apple Macintosh herausfinden
SGN-Funktion für Perl
truncate - Dateigröße verändern in Perl
Eigene IP herausfinden mit Perl
Epoche live in Datum umwandeln
Firefox 3 - Exe-Files downloaden


Von: Fabian
Kommentar:
Hallo zusammen,
ich suche schon etwas im Internet und bin bisher nicht fündig geworden.
Zum Beitrag


Von: Schorschel eastcoast
Kommentar:
Danke. Das hat mir weitergeholfen.
Zum Beitrag


Von: Jessica
Kommentar:
Kann man auch zwei Datein parallel einlesen?

Zum Beitrag


Von: Xtravaganz
Kommentar:
Für

Zum Beitrag


Von: Xtravaganz
Kommentar:
Für

Zum Beitrag



Gesamtverzeichnis
Februar 2010
Dezember 2009
Oktober 2009
Januar 2009
Dezember 2008
November 2008
September 2008
August 2008
Juli 2008
Juni 2008
Mai 2008
April 2008
Januar 2008
Dezember 2007
November 2007
Oktober 2007
September 2007
August 2007
Juni 2007
Mai 2007
April 2007
März 2007
Februar 2007
Januar 2007
Dezember 2006


Mister Wong

RSS-Feed

Heute ist der
13.11.2018

Es ist
17:31:41 Uhr

Ihre IP:
54.90.185.120

Blog-Einträge: 186

Die letzten 24 Stunden im Überblick


Gelesene Beiträge insgesamt:
3740148


Webseiten vergleichen
Kalender mit Feiertagen - 2028
Links finden und testen
Menschliche Datumsangaben
IP zu Domain herausfinden
Time live in Datum umwandeln
Perl für Windows



Mo Di Mi Do Fr Sa So
1234
567891011
12131415161718
19202122232425
2627282930

Impressum