home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / mail / elm / 3249 < prev    next >
Encoding:
Text File  |  1992-11-09  |  2.2 KB  |  48 lines
  1. Newsgroups: comp.mail.elm
  2. Path: sparky!uunet!cis.ohio-state.edu!pacific.mps.ohio-state.edu!linac!uchinews!machine!chinet!les
  3. From: les@chinet.chi.il.us (Leslie Mikesell)
  4. Subject: Re: elm wish list
  5. Message-ID: <BxGsGJ.I58@chinet.chi.il.us>
  6. Organization: Chinet - Public Access UNIX
  7. References: <1992Nov5.023642.5435@DSI.COM> <Bx9GEr.C5M@ars2.uucp> <syscrc.721158601@gsusgi1.gsu.edu>
  8. Date: Mon, 9 Nov 1992 19:50:42 GMT
  9. Lines: 37
  10.  
  11. In article <syscrc.721158601@gsusgi1.gsu.edu> syscrc@pickle.gsu.edu (Randy Carpenter) writes:
  12.  
  13. [Re: having ELM generate From: to match the TO: alias]
  14.  
  15. >Wouldn't this suggested feature allow allow an e-mail security hole?  For
  16. >example, a bad guy could type in a fake letter complete with headers from
  17. >another person (i.e. a fake "To:" line).  Let's say he uses "To: root".
  18. >Then, store it in a folder, reply to it and Elm would put "From: root" in
  19. >the headers?
  20.  
  21.  
  22. Remember that ELM is just the "user agent" for mail and thus can't be
  23. responsible for managing the security of your header lines.  You can
  24. just as easily type the headers and body into the editor of your choice
  25. and feed them directly to the transport program: mail, sendmail or
  26. whatever your site uses.  Some versions of the transport programs check
  27. that the From: line matches the sender, some don't.  Most of the
  28. ones that do check just add a Sender: line noting the real user name
  29. and they can generally be fooled if you work at it.
  30.  
  31. Still, I don't see this as a good idea unless it is controlled by a
  32. file containing a list of aliases that you receive under and the
  33. headers you would like forced when you reply to them.  For example
  34. if I received mail as part of a "support" group I'd still want the
  35. From: to indicate my name, but I'd want a "Reply-To: support" line
  36. inserted.  On the other hand, messages aliased to a mailing list
  37. probably shouldn't be changed at all - you certainly don't want those
  38. to be modified so that your reply appears to have come from the
  39. list address!
  40.  
  41. Personally, I'd like to have the choice of including the header lines
  42. in the edit buffer (like rn's 'R' command gives you) even if this
  43. turns off the ability to use ELM's header editor.  People using rn
  44. or trn for news would already be used to the concept.
  45.  
  46. Les Mikesell
  47.   les@chinet.chi.il.us
  48.