メールヘッダ・インジェクションとは？

「 お問い合わせフォーム 」や「 アンケート 」などのように特定の相手にメールを送信する機能に対して、入力データを"改ざん"することで、メールの送信先を攻撃者によって操作する攻撃方法。

攻撃による発生しうる脅威

• メールの第三者中継

対策方法

• メールヘッダを固定値にして、外部からの入力はすべてメール本文に出力する。
• メールヘッダを固定値にできない場合、ウェブアプリケーションの実行環境や言語に用意されているメール送信用 API を使用する。
• HTML で宛先を指定しない。
• 外部からの入力の全てについて、改行コードを削除する。