phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Formularmissbrauch abwehren

Lutz Zetzsche Lutz.Zetzsche at sea-rescue.de
Fre Dez 2 08:38:08 CET 2005

Vorherige Nachricht: [php] Formularmissbrauch abwehren
Nächste Nachricht: [php] Formularmissbrauch abwehren
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Hallo Norbert,

Am Freitag, 2. Dezember 2005 02:06 schrieb Norbert Pfeiffer:
> es kam hier schon mal ein "diese Seite einem Freund melden"-Thread.
> Aber da dort keine wirklich wirksamen Schutzmechanismen genannt
> wurden

also ich fand, daß da doch schon einige hilfreiche Maßnahme bei waren, die 
einem Spammer die Suppe versalzen. Und zwar u.a. aus folgenden Gründen:

1. Für einen Spammer macht es nur Sinn, einen Server zu mißbrauchen, wenn er 
innerhalb kurzer Zeit eine große Menge Spam-Mails verschicken kann. In dem 
von Dir erwähnten Thread wurden einige Maßnahmen genannt, um genau das zu 
unterbinden.

2. Jeder Spammer wird es da versuchen, wo es am einfachsten ist. Und wenn Du 
es ihm besonders schwer machst, findet er sicherlich genügend andere Server, 
wo es deutlich einfacher ist. Es gibt genug Leute mit root-Server, die keine 
ausreichende Ahnung von Server- und Anwendungssicherheit haben.


> und ich gerade feststellen musste, dass der Server meines 
> Providers jeden Muell, der von meiner Domain kommt, versendet,
> moechte ich doch noch einmal die Frage stellen:
> - Kann man sich wirkungsvoll vor SPAM-Scripten schuetzen ?
> - falls JA - welche Vorschlaege habt Ihr anzubieten ?

1. Die Vorschläge aus dem eingangs von Dir erwähnten Thread.

2. Und noch mal gesondert: Genau die Header prüfen, die mitgesendet werden. 
Und auch den Content, wenn die Mails auch an externe Personen versandt werden 
können (Beispiel: "Seite empfehlen").

3. Die meisten Mailformulare werden verwendet, damit der Besucher Kontakt mit 
dem Website-Betreiber aufnehmen kann. Folglich sollte man sein Formular und 
sein Skript so gestalten, daß keine Möglichkeit besteht, eine Mail an externe 
Personen zu versenden. Im Skript muß dann die Liste der erlaubten 
Empfängeradressen definiert sein. Eine ganz simple, aber sehr effektive 
Maßnahme.

4. Den Mail-Server anständig konfigurieren. Besonders wichtig.


> PS:
> > http://www.heise.de/security/artikel/66815
>
> Der Heise-Artikel ist ja ganz nett gemeint, bringt einen aber
> bei diesem Problem auch nicht wirklich weiter.

Der behandelt ja auch ein etwas anderes Thema. :-) Hier geht es primär um 
Sicherheit, während es Dir ja primär um Spamming geht. Spamming muß keine der 
Sicherheitslücken nutzen, die hier immer angeklungen sind. Es reicht, eine 
miserabel programmierte "Seite empfehlen"-Funktion auf einem miserabel 
konfigurierten Server. :-)


Viele Grüße
Lutz

Vorherige Nachricht: [php] Formularmissbrauch abwehren
Nächste Nachricht: [php] Formularmissbrauch abwehren
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive