Tous les billets étiquettés / spam

Protéger la fonction mail() des injections d’en-têtes

Vous avez développé un formulaire d’envoi par courriel utilisant la fonction mail()? Si oui, avez-vous pensé à vous protéger des injections d’en-têtes, lesquelles peuvent faire de votre beau petit script de 10 lignes un relai de spam considérable? Non? Qu’attendez-vous?

Comment les spammers s’y prennent?

Très simple! Il ne font qu’entrer un truc du genre dans un champ de votre formulaire :

1
email@domaine.com n CC: spam1@domaine.com, spam2@domaine.com...

Les en-têtes e-mail étant très sensibles, elles considèrent le saut de ligne (r) ou les nouvelles lignes (n) explicites comme le début d’une nouvelle directive (ici, l’insertion d’une liste d’adresses en copie-conforme). Voyez une multitude d’exploit ici.

Comment s’en protéger?

Encore une fois, rien de plus facile. Dans votre validation, vous n’avez qu’à y aller d’une petite expression régulière sur les champs soumis :

1
2
if ( eregi("(r|n)", $_GET['nom']) || eregi("(r|n)", $_GET['email']) )
	exit("Va-t'en, spammer!");

N’oubliez pas de traiter chacun des champs qui sont utilisés dans la construction des en-têtes (nom, courriel, format, charset, etc.) de votre message.


Emile nomore, bonjour Philippe!

Je viens de recevoir une pub de Nissan à l’instant.

De la grosse m** comme j’en ai rarement vu pour. Déjà qu’une compagnie optant pour un monologue avec ses clients c’est une chose; qu’en plus elle génère un pseudo-courriel inintéressant, que ce courriel soit signalé comme SPAM par Gmail, qu’il s’adresse à moi par le nom de Philippe alors que l’objet du message insinuait que Nissan me cherche… ça devient honteux.

nissan

Non mais hey! Tu parles d’une campagne organisée tout croche. Le pire, Carl me souligne que d’autres personnes viennent de recevoir le même courriel.

C’est chapeau en tabarouette!

On félicite l’équipe derrière cette belle campagne de communication.

J’pense que je vais en parler au Gros Bon Sens


Le Spam de la semaine!

Reçu en 50 exemplaires cette semaine :

Objet : Bonjour, chez moi est bon soft!

Nous sommes ravir de offrir le logiciel localisé le plus populaire. Le français, l’anglais, l’allemand, l’italien, l’espagnol et plusieurs d’autres langues du monde! Il est possible de télécharger et installer n’importe quel programme tout de suite après l’achat, vous ne devez plus plus attendre quelques semaines le logiciel sur un support.

Notre prix 59.95 euro

Nous avons plus de 300 programmes pour PC et Mac! Achetez maintenant, et épargnez beaucoup d’argent!

J’me demande combien de licences de leur logiciel de traduction je vais m’offrir…

Ça semble être un sacré bon produit!