scripte/archivmail
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
archivmail/internal/mailer/templates.go
T
sysops 7371a73b3e fix(SEC): Signup-Enumeration durch Always-Send-Email schließen 
Bei doppeltem Signup wird eine "bereits registriert"-Mail gesendet,
sodass jeder Signup-Versuch eine ausgehende E-Mail erzeugt.
Side-Channel-Angriff zur Account-Enumeration nicht mehr möglich.

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-03-31 22:00:43 +02:00

84 lines
4.8 KiB
Go
Raw Permalink Blame History

package mailer
import "fmt"
// ── Email templates ───────────────────────────────────────────────────────────
// Simple inline templates. No embed.FS needed at this stage.
// VerifyEmailHTML returns the HTML body for an email verification message.
func VerifyEmailHTML(fqdn, token, username string) string {
link := fmt.Sprintf("https://%s/verify?token=%s", fqdn, token)
return fmt.Sprintf(`<!DOCTYPE html>
<html><body style="font-family:sans-serif;max-width:600px;margin:40px auto;color:#333">
<h2>E-Mail-Adresse bestätigen</h2>
<p>Hallo %s,</p>
<p>Bitte bestätige deine E-Mail-Adresse, um deinen archivmail-Account zu aktivieren.</p>
<p><a href="%s" style="background:#2563eb;color:#fff;padding:12px 24px;text-decoration:none;border-radius:6px;display:inline-block">E-Mail bestätigen</a></p>
<p style="color:#666;font-size:13px">Der Link ist 24 Stunden gültig.<br>Falls du dich nicht registriert hast, kannst du diese E-Mail ignorieren.</p>
<p style="color:#999;font-size:12px">%s</p>
</body></html>`, username, link, link)
}
// VerifyEmailText returns the plain-text body for email verification.
func VerifyEmailText(fqdn, token, username string) string {
link := fmt.Sprintf("https://%s/verify?token=%s", fqdn, token)
return fmt.Sprintf("Hallo %s,\n\nbitte bestätige deine E-Mail-Adresse:\n\n%s\n\nDer Link ist 24 Stunden gültig.\n\narcivmail", username, link)
}
// ResetPasswordHTML returns the HTML body for a password-reset message.
func ResetPasswordHTML(fqdn, token, username string) string {
link := fmt.Sprintf("https://%s/reset-password?token=%s", fqdn, token)
return fmt.Sprintf(`<!DOCTYPE html>
<html><body style="font-family:sans-serif;max-width:600px;margin:40px auto;color:#333">
<h2>Passwort zurücksetzen</h2>
<p>Hallo %s,</p>
<p>Du hast eine Passwort-Reset-Anfrage gestellt. Klicke auf den Link, um ein neues Passwort zu setzen.</p>
<p><a href="%s" style="background:#2563eb;color:#fff;padding:12px 24px;text-decoration:none;border-radius:6px;display:inline-block">Passwort zurücksetzen</a></p>
<p style="color:#666;font-size:13px">Der Link ist 1 Stunde gültig und kann nur einmal verwendet werden.<br>Falls du kein Passwort zurücksetzen wolltest, ignoriere diese E-Mail.</p>
<p style="color:#999;font-size:12px">%s</p>
</body></html>`, username, link, link)
}
// ResetPasswordText returns the plain-text body for password reset.
func ResetPasswordText(fqdn, token, username string) string {
link := fmt.Sprintf("https://%s/reset-password?token=%s", fqdn, token)
return fmt.Sprintf("Hallo %s,\n\nPasswort zurücksetzen:\n\n%s\n\nDer Link ist 1 Stunde gültig.\n\narcivmail", username, link)
}
// AlreadyRegisteredHTML returns the HTML body sent when a duplicate signup is attempted.
// Prevents email enumeration by always sending an email on any signup attempt.
func AlreadyRegisteredHTML(fqdn string) string {
return fmt.Sprintf(`<!DOCTYPE html>
<html><body style="font-family:sans-serif;max-width:600px;margin:40px auto;color:#333">
<h2>Registrierungsversuch</h2>
<p>Es wurde versucht, einen neuen Account mit dieser E-Mail-Adresse zu erstellen.</p>
<p>Diese Adresse ist bereits bei archivmail registriert.</p>
<p>Falls du dein Passwort vergessen hast: <a href="https://%s/forgot-password">Passwort zurücksetzen</a></p>
<p style="color:#666;font-size:13px">Falls du diesen Versuch nicht ausgelöst hast, kannst du diese E-Mail ignorieren.</p>
</body></html>`, fqdn)
}
// AlreadyRegisteredText returns the plain-text body for duplicate signup.
func AlreadyRegisteredText(fqdn string) string {
return fmt.Sprintf("Diese E-Mail-Adresse ist bereits bei archivmail registriert.\n\nPasswort vergessen? https://%s/forgot-password\n\nFalls du diesen Versuch nicht ausgelöst hast, ignoriere diese E-Mail.", fqdn)
}
// InviteHTML returns the HTML body for a tenant invitation.
func InviteHTML(fqdn, token, tenantName string) string {
link := fmt.Sprintf("https://%s/signup?invite=%s", fqdn, token)
return fmt.Sprintf(`<!DOCTYPE html>
<html><body style="font-family:sans-serif;max-width:600px;margin:40px auto;color:#333">
<h2>Einladung zu %s</h2>
<p>Du wurdest eingeladen, dem archivmail-System beizutreten.</p>
<p><a href="%s" style="background:#2563eb;color:#fff;padding:12px 24px;text-decoration:none;border-radius:6px;display:inline-block">Einladung annehmen</a></p>
<p style="color:#666;font-size:13px">Der Link ist 72 Stunden gültig und kann nur einmal verwendet werden.</p>
<p style="color:#999;font-size:12px">%s</p>
</body></html>`, tenantName, link, link)
}
// InviteText returns the plain-text body for a tenant invitation.
func InviteText(fqdn, token, tenantName string) string {
link := fmt.Sprintf("https://%s/signup?invite=%s", fqdn, token)
return fmt.Sprintf("Einladung zu %s:\n\n%s\n\nDer Link ist 72 Stunden gültig.\n\narcivmail", tenantName, link)
}
Reference in New Issue View Git Blame Copy Permalink