Content-Type лучше реальный указывать, но если это обычный текст или html страница то заменять на "application/octetstream" (Угроза активной ХSS).
Если shell_exec не запрещена то реальный mime-type файла можно узнать командой shell_exec("file - i ПУТЬ_К_ФАЙЛУ");
Определит внезависимости от расширения =)
