Mail senden mit "mailx" gefährlich?

03/11/2011 - 09:13 von Manuel Reimer | Report spam
Hallo,

ich mache mir generell nicht den Aufwand auf meinen Linux-Systemen ein
"sendmail" zu konfigurieren. Stattdessen habe ich einen
Freemailer-Account, den ich nur zum Mail-Senden verwende. Ich habe
"mailx" so konfiguriert, dass er direkt über diesen Account mailt. Diese
Lösung ist extrem simpel und durch hin und herkopieren der mailx-Konfig
habe ich so mit geringem Aufwand meine ganzen Systeme "mailfàhig"
gemacht.

Auch diverse Daemons (smartd, ...) mailen anstandslos über "mailx".

Auf CPAN findet sich:
http://search.cpan.org/~markov/Mail-Box-2.101/lib/Mail/Transport/Mailx.pod

Allerdings:
| WARNING: There are many security issues with mail and mailx. DO NOT USE
| these commands to send messages which contains data derived from any
| external source!!!

Für meine Begriffe fehlen da konkrete Argumente. Welche "security
issues" sind da gemeint? Ich habe im Internet gesucht und auch mal den
Sourcecode von mailx an diversen Stellen überflogen. Einen Hinweis, wie
ich in mailx mit einem Mail-Text irgendwas gefàhrliches machen kann,
konnte nich nicht finden. Es gibt wohl "tilde-Escapes", aber die sind
aus sobald der Text nicht von einem Terminal kommt.

Welche konkrete Sicherheitslücke existiert, die einer Nutzung von mailx
in Scripten entgegensteht?

Gruß

Manuel

"Alle Macht geht vom Volk aus - aber wo geht sie hin?" - Bertolt Brecht
Alle wollen zurück zur Natur - aber keiner zu Fuß
Beitràge mit *X-No-Html Header* kann ich weder lesen, noch beantworten!
 

Lesen sie die antworten

#1 K. Wittrock
03/11/2011 - 10:54 | Warnen spam
Manuel Reimer schrieb am 03.11.2011 :
[...]
Auf CPAN findet sich:
http://search.cpan.org/~markov/Mail-Box-2.101/lib/Mail/Transport/Mailx.pod

Allerdings:
| WARNING: There are many security issues with mail and mailx. DO NOT USE
| these commands to send messages which contains data derived from any
| external source!!!

Für meine Begriffe fehlen da konkrete Argumente. Welche "security issues"
sind da gemeint? Ich habe im Internet gesucht und auch mal den Sourcecode von
mailx an diversen Stellen überflogen. Einen Hinweis, wie ich in mailx mit
einem Mail-Text irgendwas gefàhrliches machen kann, konnte nich nicht finden.
Es gibt wohl "tilde-Escapes", aber die sind aus sobald der Text nicht von
einem Terminal kommt.

Welche konkrete Sicherheitslücke existiert, die einer Nutzung von mailx in
Scripten entgegensteht?



In dem von dir zitierten POD findet sich unter "SEE ALSO" ein Verweis
auf eine Webseite von Mark. Dort wiederum findest du am Ende seine
Mailadresse. Er selbst kann dir wohl am ehesten weiterhelfen.

Gruß

Klaus

Meine Email-Adr. lautet
K<ohne_Punkt_und_Komma>Wittrock<Klammeraffe>web.de

Ähnliche fragen