Gebruik [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=email-injections) om maklik te bou en **werkstrome outomaties** te dryf met die wêreld se **mees gevorderde** gemeenskapsinstrumente.\
<summary><strong>Leer AWS-hacking van nul tot held met</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* As jy jou **maatskappy geadverteer wil sien in HackTricks** of **HackTricks in PDF wil aflaai** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
Hierdie parameter gaan by die bevellyn gevoeg word wat PHP gaan gebruik om die binêre sendmail aan te roep. Dit sal egter gesaniteer word met die funksie `escapeshellcmd($additional_parameters)`.
Die **sendmail**-koppelvlak word **verskaf deur die MTA e-pos sagteware** (Sendmail, Postfix, Exim ens.) wat op die stelsel geïnstalleer is. Alhoewel die **basiese funksionaliteit** (soos -t -i -f parameters) dieselfde bly vir versoenbaarheidsredes, **ander funksies en parameters** verskil aansienlik afhangende van die MTA wat geïnstalleer is.
Afhanklik van die **oorsprong van die sendmail**-binêre lêers is verskillende opsies ontdek om hulle te misbruik en **lêers te lek of selfs arbitrêre opdragte uit te voer**. Sien hoe in [**https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html**](https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html)
Sommige dienste soos **github** of **salesforce laat** jou toe om 'n **e-posadres met XSS-ladings daarop te skep**. As jy hierdie verskaffers kan **gebruik om op ander dienste in te teken** en hierdie dienste **nie die e-pos korrek saniteer nie**, kan jy **XSS** veroorsaak.
As 'n **SSO-diens** jou toelaat om 'n rekening te skep sonder om die gegee e-posadres te verifieer (soos **salesforce**) en dan kan jy daardie rekening gebruik om in 'n ander diens in te teken wat **vertrou** op salesforce, kan jy toegang tot enige rekening verkry.\
Jy kan 'n e-pos stuur met _**Van: maatskappy.com**_ en _**Antwoord-Aan: aanvaller.com**_ en as enige **outomatiese antwoord** gestuur word omdat die e-pos **van** 'n **interne adres** af gestuur is, kan die **aanvaller** moontlik daardie **antwoord ontvang**.
Sekere dienste, soos AWS, implementeer 'n drempel bekend as die **Harde Terugstootkoers**, tipies ingestel op 10%. Dit is 'n kritieke meting, veral vir e-posafleweringsdienste. Wanneer hierdie koers oorskry word, kan die diens, soos AWS se e-posdiens, gesluit of geblokkeer word.
'n **Harde terugstoot** verwys na 'n **e-pos** wat aan die sender terugbesorg is omdat die ontvanger se adres ongeldig of nie-bestaande is nie. Dit kan gebeur as gevolg van verskeie redes, soos die **e-pos** wat gestuur is na 'n nie-bestaande adres, 'n domein wat nie werklik is nie, of die ontvangerbediener se weiering om **e-posse** te aanvaar.
In die konteks van AWS, as jy 1000 e-posse stuur en 100 daarvan lei tot harde terugstote (as gevolg van redes soos ongeldige adresse of domeine), sou dit 'n 10% harde terugstootkoers beteken. Die bereiking of oorskryding van hierdie koers kan AWS SES (Simple Email Service) aktiveer om jou e-posstuurvermoëns te blokkeer of op te skort.
Dit is noodsaaklik om 'n lae harde terugstootkoers te handhaaf om ononderbroke e-posdiens te verseker en die sender se reputasie te handhaaf. Die monitering en bestuur van die gehalte van die e-posadresse in jou poslys kan aansienlik help om hierdie doel te bereik.
Vir meer gedetailleerde inligting kan verwys word na AWS se amptelike dokumentasie oor die hantering van terugstote en klagtes [AWS SES Terugstoothantering](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/notification-contents.html#bounce-types).
<summary><strong>Leer AWS-hacking vanaf nul tot held met</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks in PDF aflaai** Besoek die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS-familie**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFT's**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
Gebruik [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=email-injections) om maklik werkstrome te bou en te outomatiseer met behulp van die wêreld se **mees gevorderde** gemeenskapsinstrumente.\