Spammer oder nicht?

[muenchi]

Bekam heute mittag schon eine komische E-Mail über mein Newsletteranmeldeformular, also mein Text + irgendwas mit ContentType.. gleich am Anfang.

Nun kamen eben 3 E-Mails von irgendwelchen Leuten zurück (Out of office + Betreff von meinem Newsletteranmeldesystem). In der Datenbank steht als E-Mailadresse wieder ContentType .. aber sonst nichts weiteres.
In der E-Mail Logdatei mail.info heißt es:

Dec 7 23:30:36 localhost postfix/local[11258]: CB3A6FCC166: to=<will@MeineDomain.de>, orig_to=<will>, relay=local, delay=3.3, delays=0.19/1/0/2.1, dsn=5.1.1, status=bounced (unknown user: "will")

Dec 7 23:30:36 localhost postfix/smtp[11259]: CB3A6FCC166: to=<xx@xx.com>, relay=xx.com.xx.psmtp.com[64.18.x.x]:25, delay=3.6, delays=0.19/0.59/0.74/2.1, dsn=2.0.0, status=sent (250 Thanks)

Das ist das komische.. wieso steht beim Relay irgendein anderer Server drin? und wieso bekam ich die E-Mail wieder zurück? (also mit meinem Newsletterbetreff).

Im Newsletterscript habe ich ":" sowie ";" über str_replace rausgefiltert damit man keinen Code einfügen kann. ziemlich komisch das ganze.

Habt ihr vielleicht eine Idee? Der Server hat auch kein offenes Relay, PHP5 ist installiert und das Formular wird nur über $_POST[var] ausgewertet (register globals)

[timeless2]

Also wenn es um die Newsletter-Anmeldung geht, muss derjenige ja nur seine E-Mailadresse angeben. Den Newsletter-Text hast du vermutlich statisch eingebunden. Z.B. mit

Code: Select all

ereg("^[_a-zA-Z0-9-]+(.[_a-zA-Z0-9-]+)*@([_a-zA-Z0-9-]+.)+([a-zA-Z]{2,4})$", $email-variable)

auf syntaktisch korrekte Adresse prüfen.

Ist bei den Content-Type-Zusätzen ein Doppelpunkt?

[muenchi]

ich poste mal eine Mail die heute zurückkam:

Hi. This is the qmail-send program at yahoo.com.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<xxx@yahoo.com>:
216.39.53.2 failed after I sent the message.
Remote host said: 554 delivery error: dd Sorry your message to xxx@yahoo.com cannot be delivered. This account has been disabled or discontinued [#102]. - mta247.mail.re4.yahoo.com

--- Below this line is a copy of the message.

Return-Path: <info@Domain2.de>
Received: (qmail 96388 invoked from network); 12 Dec 2006 20:16:12 -0000
Received: from unknown (HELO knightelectric.com) (knightlelectric1@sbcglobal.net@69.223.166.161 with login)
by smtp101.sbc.mail.re2.yahoo.com with SMTP; 12 Dec 2006 20:16:12 -0000
X-YMail-OSG: F4ytuaUVM1ljkRpJEIP3M_0d7194LDHcvP7E5m0pz.Yvf3MaYraTChsCDsfHkyR6nZTb1KykKNkj0buLm5Ld3uZJnyKm8zAP8kbT3iVo.ht3nfgm0BgTma8aEjwsSTSZ7LSbGQeZNYyitA--
Received: from mail pickup service by knightelectric.com with Microsoft SMTPSVC;
Tue, 12 Dec 2006 15:15:32 -0500
thread-index: AcceKkWyoc/l6d3TRcyxjQaGjm3IVg==
Return-Path: <www-data@Domain1.de>
Envelope-to: xx@knightxxx.com
Delivery-date: Tue, 12 Dec 2006 12:06:14 -0800
Message-ID: <001801c71e2a$45b52e70$4601a8c0@KnightElectric.local>
To: <quoted-printable@Domain1.de>,
<text/plain@Domain1.de>,
<Subject@Domain1.de>,
<Enhance@Domain1.de>,
<your@Domain1.de>,
<love@Domain1.de>,
<life@Domain1.de>,
<with@Domain1.de>,
<this@Domain1.de>,
<medical@Domain1.de>,
<marvel@Domain1.de>,
<bcc@Domain1.de>,
<xxx@xxx.rr.com>,
<xxx@xxx.com>,

X-Mailer: Microsoft CDO for Exchange 2000
Subject: Anmeldung zum Domain2 Newsletter
X-PHP-Script: http://www.Domain2.de/index.php for 219.159.73.201
From: <info@Domain2.de>
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.504
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
Date: Tue, 12 Dec 2006 15:15:31 -0500
X-Virus-Scanned: by amavisd-new-20030616-p10 (Debian) at example.com
X-OriginalArrivalTime: 12 Dec 2006 20:15:32.0546 (UTC) FILETIME=[469C5A20:01C71E2A]

Hallo may@Domain2.de,

Um deine Anmeldung zum Newsletter ...
http://www.Domain2.de/newsletter_26379622.html

Mit freundlichen Grüßen,
Domain2.de

und in meinem Script steht:

$email = str_replace(":","","$_POST[email]");
$email = str_replace(";","","$email");
$email = str_replace("Content-Transfer-Encoding","","$email");
$email = str_replace("Content-Type","","$email");

Der Text steht von mir schon im Script und wird per Variable eingebunden

[rootsvr]

Standard e-Mail injection? (google!)
http://www.securephpwiki.com/index.php/Email_Injection
Newlines und Co solltest Du auch immer filtern.
Lies dir das mal durch auch in den Kommentaren zu mail auf der php Seite sind ein paar gute Ideen dabei.