Discussion:
MAILER DAEMON
(trop ancien pour répondre)
Claudy
2008-07-05 16:26:03 UTC
Permalink
Bonjour à tous,
J'ai réalisé un form associé à un fichier PHP,
Cela fonctionne très bien mais à la réception de la réponse de ce form
dont je suis destinataire, l'expéditeur se nomme MAILER DAEMON!
Pourriez vous me donner une explication?
Est ce nuisible?
J'ai lu que cela pourrait être un signe de spam!!!
Merci d'avance ,
Claudy
Olivier Miakinen
2008-07-05 16:41:47 UTC
Permalink
Bonjour,
J'ai réalisé un form associé à un fichier PHP,
Cela fonctionne très bien mais à la réception de la réponse de ce form
dont je suis destinataire, l'expéditeur se nomme MAILER DAEMON!
Pourriez vous me donner une explication?
Pas si tu ne nous montres pas le code du script (que je suppose en PHP)
envoyant ce courriel.
Est ce nuisible?
J'ai lu que cela pourrait être un signe de spam!!!
Et moi j'ai lu que le virus Good Times allait détruire mon disque dur.
Mais je ne l'ai pas cru.
Claudy
2008-07-05 19:11:01 UTC
Permalink
<?

// récuperation des variables provenant du formulaire
//$sujet = $_POST['sujet']
$nom = $_POST['nom'];
$prenom = $_POST['prenom'];
$mail = $_POST['mail'];
$commentaires= $_POST['commentaires'];
$concerne= $_POST['concerne'];
$pour= $_POST['pour'];

//E-mail auquel sera envoyé le formulaire

$destinataire = '***@skynet.be,***@vcleroux.com';


//sujet du mail envoyé

$sujet = 'Formulaire de contact';

//test pour vérifier que les champs sont bien tous remplis !!

if( !empty($nom) && !empty($prenom) && !empty($mail) ){

// création du message, les \n permettent de faire un saut de ligne


$message = "Nom : $nom\n Prénom : $prenom\n E-mail : $mail\n Concerne :
$concerne\n Pour: $pour\n Commentaires : $commentaires";

// On envoi le mail
if( mail($destinataire, $sujet, $message) )

// Si tout se passe bien on affiche un message de succès d'envoi


{Header("Location: http://moi.com/merci.htm");

}

// Si on rencontre un problème de réseau (connection serveur etc...)

else{ echo 'Une erreur est survenue lors de l\'envoi du message';

}

}

// Si tous les champs ne sont pas remplis

else{ echo 'Merci de remplir tous les champs';

}
Post by Olivier Miakinen
Bonjour,
J'ai réalisé un form associé à un fichier PHP,
Cela fonctionne très bien mais à la réception de la réponse de ce form
dont je suis destinataire, l'expéditeur se nomme MAILER DAEMON!
Pourriez vous me donner une explication?
Pas si tu ne nous montres pas le code du script (que je suppose en PHP)
envoyant ce courriel.
Est ce nuisible?
J'ai lu que cela pourrait être un signe de spam!!!
Et moi j'ai lu que le virus Good Times allait détruire mon disque dur.
Mais je ne l'ai pas cru.
Mickaël Wolff
2008-07-05 19:38:16 UTC
Permalink
Post by Claudy
if( !empty($nom) && !empty($prenom) && !empty($mail) ){
// création du message, les \n permettent de faire un saut de ligne
$concerne\n Pour: $pour\n Commentaires : $commentaires";
// On envoi le mail
if( mail($destinataire, $sujet, $message) )
Ton script est détourné pour générer du spam. Je te conseille de
rapidement retirer ce script, et d'en écrire un qui contrôle les
informations envoyées par le client Web.
--
Mickaël Wolff aka Lupus Michaelis
http://lupusmic.org
Olivier Miakinen
2008-07-05 20:01:31 UTC
Permalink
Post by Mickaël Wolff
Post by Claudy
$concerne\n Pour: $pour\n Commentaires : $commentaires";
// On envoi le mail
if( mail($destinataire, $sujet, $message) )
Ton script est détourné pour générer du spam. Je te conseille de
rapidement retirer ce script, et d'en écrire un qui contrôle les
informations envoyées par le client Web.
???

Je viens de décortiquer son code, et je ne vois pas comment il pourrait
être détourné : rien de ce qui vient de l'extérieur ne va dans les
entêtes, seul moyen de s'en servir pour spammer.
Mickaël Wolff
2008-07-05 21:52:40 UTC
Permalink
Post by Olivier Miakinen
Je viens de décortiquer son code, et je ne vois pas comment il pourrait
être détourné : rien de ce qui vient de l'extérieur ne va dans les
entêtes, seul moyen de s'en servir pour spammer.
Je suis certes allé un peu vite en besogne. Si son application PHP est
servie depuis un MS Windows, la fonction mail utilise la connexion à un
serveur SMTP. Dans ce cas là, il est (était ?) possible de détourner le
script en injectant quelque chose dans ce goût là :

==== 8< ====
Fin

.

mail from: ***@domain.com
rcpt to: ***@example.com
Subject: sujet vachement intéressant.

Message du spam

.

==== 8< ====

Du moins, j'arrivais à faire ça sur un serveur Win2k3 avec PHP5 et
MailEnable. Et là je ne peut pas réessayer, n'ayant pas de MS Windows
sous la main.
--
Mickaël Wolff aka Lupus Michaelis
http://lupusmic.org
Olivier Miakinen
2008-07-05 22:49:28 UTC
Permalink
[...] Si son application PHP est
servie depuis un MS Windows, la fonction mail utilise la connexion à un
serveur SMTP. Dans ce cas là, il est (était ?) possible de détourner le
==== 8< ====
Fin
.
Ça me paraît quand même douteux. Celui qui envoie un message à un
serveur SMTP est censé dupliquer tous les points en début de ligne,
et ce depuis la nuit des temps (1982).
Du moins, j'arrivais à faire ça sur un serveur Win2k3 avec PHP5 et
MailEnable. Et là je ne peut pas réessayer, n'ayant pas de MS Windows
sous la main.
C'est quand même un très gros bug, et j'ai vraiment du mal à y croire.
Olivier Miakinen
2008-07-05 20:01:31 UTC
Permalink
Post by Claudy
<?
// récuperation des variables provenant du formulaire
//$sujet = $_POST['sujet']
Tu fais très bien de ne pas récupérer le sujet du message dans la
requête. Ce serait une façon très facile pour quiconque de détourner
ton formulaire afin de spammer sur ton dos.
Post by Claudy
$nom = $_POST['nom'];
$prenom = $_POST['prenom'];
$mail = $_POST['mail'];
$commentaires= $_POST['commentaires'];
$concerne= $_POST['concerne'];
$pour= $_POST['pour'];
Attention à ces variables. Voyons ce qu'elles deviennent.
Post by Claudy
//E-mail auquel sera envoyé le formulaire
C'est en dur : très bien.
Post by Claudy
//sujet du mail envoyé
$sujet = 'Formulaire de contact';
C'est en dur : très bien.
Post by Claudy
//test pour vérifier que les champs sont bien tous remplis !!
if( !empty($nom) && !empty($prenom) && !empty($mail) ){
// création du message, les \n permettent de faire un saut de ligne
$concerne\n Pour: $pour\n Commentaires : $commentaires";
Ok. Pas de problème avec des variables dans le corps du message.
Post by Claudy
// On envoi le mail
if( mail($destinataire, $sujet, $message) )
Tu n'utilises pas d'entêtes additionnels provenant de l'extérieur,
tout ceci est très bien : ce script ne peut pas être détourné par des
spammeurs, c'est parfait !

J'en viens maintenant à ta question.
Post by Claudy
Cela fonctionne très bien mais à la réception de la réponse de ce form
dont je suis destinataire, l'expéditeur se nomme MAILER DAEMON!
Pourriez vous me donner une explication?
Essaye de remplacer :
// On envoi le mail
if( mail($destinataire, $sujet, $message) )
par :
$entete_supp = 'From: ***@skynet.be';
// On envoie le mail
if( mail($destinataire, $sujet, $message, $entete_supp) )
Post by Claudy
Est ce nuisible?
J'ai lu que cela pourrait être un signe de spam!!!
Aucun risque de ce côté-là si le code est tel que tu l'as montré.

Olivier

P.-S. : http://www.usenet-fr.net/fur/usenet/repondre-sur-usenet.html
Claudy
2008-07-06 09:29:11 UTC
Permalink
Merci, Olivier,
tu me rassures,
Bon dimanche.
singe bipede
2008-07-09 09:42:18 UTC
Permalink
Bonjour à tous,
J'ai réalisé un form associé à un fichier PHP,
Cela fonctionne très bien mais à la réception de la réponse de ce form
dont je suis destinataire, l'expéditeur se nomme MAILER DAEMON!
C'est comme ça que se nomment les processus (les programmes) qui
effectuent la tâche de délivrer les mails sur le réseaux. On les appelle
des démons parce qu'ils fonctionnent en permanence et ont généralement
des droits supérieurs à la plus part des autres processus / programmes.

Dans ce cas particulier le MAILER DAEMON est le processus d'un serveur
SMTP (Simple Mail Transfert Protocol) qui n'accepte vraisemblablement
pas un message que vous avez envoyé.
Pourriez vous me donner une explication?
Est ce nuisible?
J'ai lu que cela pourrait être un signe de spam!!!
Merci d'avance ,
Claudy
Continuer la lecture sur narkive:
Loading...