[php] Sicheres kontaktformular

[Helmut P. Fleischhauer]

Lutz Zetzsche wrote:
> Hi Jörn,
> 
> Am Dienstag, 9. Mai 2006 23:43 schrieb Joern Grube:
> 
>>Andere Frage dazu:
>>Die letzten Spams für die eine meiner Mail-Adressen missbraucht
>>wurden, wurden nicht über ein Formular geschickt, in diesen Seiten
>>gab es gar keines. Das würde doch bedeuten, dass bei meinem Provider
>>eine Stelle undicht ist, oder? Geschickt wurde über meinen
>>Mail-Server, ich hatte etliche Tage hunderte von Bounce-Mails. Aber
>>wie gesagt, mit der entsprechenden Mailadresse gibt und gab es kein
>>Kontaktformular.

> Hintergrund der Geschichte könnte folgendes sein: Viele Mailserver 
> weisen heute Mails ab, wenn der Absender im ENVELOPE der Mail, den 
> kriegst Du normalerweise gar nicht zu sehen, nicht zu einer gültigen 
> Domain gehört, die sich auflösen läßt. Also verwenden Spammer eben eine 
> gültige Domain, z.B. Deine oder meine, und bei uns schlagen dann ggf. 
> die nicht zustellbaren bzw. abgewiesenen Spam-Mails auf.
> 
> Das wäre meine Erklärung. Vielleicht kennt sich hier jemand näher mit 
> Mailservern, Mail und dem ganzen Drum und Dran aus, und kann Dir eine 
> genauere Antwort geben.
> 
******

Guten Morgen,

normalerweise wir SPAM über nicht gegen relay gesichterte server
verschickt. Oder einfach über an DSL hängenden PCs, die nicht richtig
geschützt sind.
Es kann jeden mit einer Domain treffen, dass seine Domain als Absender
missbraucht wird. Mir ist es bislang mit 2 domains so ergangen.
Mehr als ärgerlich. Im kompletten header sieht man sehr wohl, woher die
mails tatsächlich stammen.
Meine älteste email-Adresse ist 10 Jahre alt und dürfte inzwischen auf
jeder email-Adressen CD sein, die ein Möchtegern Spammer kaufen kann.
Die habe ich irgendwann einfach gelöscht und nicht mehr verwendet.

So 90% Schutz gibt es mit der Kombination mailserver, amavis, maia, spam
assassin

Formulare: Ein Formular sollte nicht via spam robot ansprechbar sein.
Einen vollkommen Schutz gegen manuellen Missbrauch gibt es nicht.
Baut man zu viele manuelle Hürden ein, kann man auf das Formular gleich
verzichten .. zumindest wenn man möglichen Kunden den Kontakt
ermöglichen möchte.
Die Anfragen gehen dann sofort gen Null.

Gegen die Nigeria Connection, echte Handarbeit, habe ich auf
Immobilienportalen einen Warnhinweis eingebaut mit IP/Länder mapping und
einem link zu http://www.quatloos.com
Das hat den Missbrauch zu diesem Zweck fast gänzlich gestoppt.

Geschätzt wird, dass zwei Drittel des gesamtem email traffics SPAM ist
In anderen Worten, wir alle zahlen für diese gigantische Verschwendung
von Bandbreite

Grüsse
Helmut P. Fleischhauer