Hallo Lothar,

uns ist aber immer noch nicht klar, wie das System aussieht, das Du da betreibst. Wie Raketenwilli schon schrieb: Win11 und PHP-Mailer ist irgendwie nicht das, was man zusammen betreibt.

Welche Rolle spielt hier Windows 11? Betreibst Du auf einem Windows 11 PC einen Webserver? Wenn ja, von wo ist der zugänglich? Nur in deinem Privatnetz? Öffentlich?

Oder möchtest Du auf einem Windows 11 PC nur ein PHP Script laufen lassen, das Mails versendet, basierend auf Daten, die dein Kontaktformular (das ggf. ganz wo anders gehostet wird) eingesammelt hat? Die Frage der Sicherheit hängt dann auch daran, wie deine Mails aussehen sollen.

Welche Datenfelder erhebt dein Kontaktformular? Kann man eine Mailadresse eingeben, an die etwas vermailt werden soll (z.B. als Eingangsbestätigung)? Dann achte darauf, dass Du NUR den Eingang bestätigst und sonst nichts. Keinesfalls Werbung für irgendwas.

Wiederhole auch keine Daten, die im Kontaktformular eingetragen wurden. Grund 1: Dann musst Du auch nicht das Problem lösen, dass diese Daten möglicherweise so fabriziert sind, dass sie im Mailprogramm dessen, der die Bestätigung liest, Schaden anrichten. Grund 2: Diese Daten können inhaltlich bösartig sein. Wenn die Person X bei Dir etwas einträgt und als Mailadresse die von Person Y einträgt, dann könnte X über dein Formular eine Nachricht an Y schicken, falls Du irgendwelche Daten aus dem Formular überträgst. Diese Nachricht kann krimineller Natur sein, sie kann auch für Y ehrverletzend sein. In beiden Fällen kann das Ärger für Dich bedeuten.

Das sind aber Sicherheitsthemen, die mit dem Mailer nichts zu tun haben. Es mag sein, dass PHP Mailer viel Wert darauf legen, die zu vermailenden Inhalte korrekt in den richtigen Kontext zu bringen. Aber über die Natur der Inhalte wissen sie nichts. Deswegen solltest Du keine Inhalte vermailen, die nicht vorher von Dir geprüft wurden.

Eine andere Sicherheitslücke kann das Kontaktformular selbst sein. Der beste Mailer hilft Dir nichts, wenn Dir jemand via Kontaktformular einen fabrizierten String einwirft, der deine Datenbank schreddert. Die Geschichte von Bobby Tables ist dafür die uralte und immer noch relevante Mahnung.

Wenn ich mir anschaue, welche Sicherheitslöcher im PHPMailer über die Zeit gefunden wurde, dann scheint mir, dass viele Probleme in der Featuritis dieser Mailer liegen. Je mehr Funktionen er anbietet, desto mehr Angriffsvektoren gibt es. Und einige der genannten Vektoren hätten durch korrekte Programmierung desjenigen, der den Mailer benutzt, behoben werden können.

Um zu wissen, ob dein Wunschmailer sicher ist, musst Du also auch wissen, was genau er für Dich tun soll. Du musst bei jeder Funktion im Mailer, die Du aufrufst und der Du Eingaben des Benutzers übergibst, genau überlegen, was an dieser Stelle passiert. Und stets überlegen, ob und wie Du die Benutzerdaten validieren und bereinigen kannst.

Wie sollen wir Dir das abnehmen?

Rolf