Mailinglisten-Archive |
Hallo Lutz, vielen Dank für Deine Antwort und Deine Mühe. Lutz Zetzsche schrieb: > Hallo Marita, > > man muß natürlich zwei Dinge auseinanderhalten: 1. Welche Felder sollen > Pflichtfelder sein? 2. JEDE Übergabe muß ohne Wenn und Aber intern auf > Herz und Nieren geprüft werden. > > Bei 1. gilt was der Auftraggeber wünscht, bei 2. gilt, daß es gemacht > werden muß, weil Du ja sonst einen Fehler in der Software hast, für das > Du wiederum haftest und Dein Auftraggeber Dich im Zweifelsfall zur > Verantwortung zieht. > Lt. meinen Auftraggeber soll es bei diesem Formular keine Pflichtfelder geben. >> Wie kann ich das verhindern? >> > > Eine einfache Maßnahme ist z.B. schon einmal, eine Mail nicht zu > versenden, wenn Du "TO:"-, "CC:"- und "BCC:"-Angaben in einem der > Feldinhalte entdeckst. > In meinen Buch "Besser programmieren mit PHP" ist dazu anscheinend nichts drin, aber ich habe mir gerade den Heise-Artikel ausgedruckt, das könnte ich doch hernehmen. Und die Prüfung nicht nur für das absender-Feld machen sondern auch für TO: CC: BCC:, oder? Oder gibt es eine andere Lösung? > > Also es gibt zwei Folgen von Spamversand über ein Mailformular. Die > größte Gefahr ist, daß ein Spammer über Dein Mailformular Spam an > Dritte verschickt. Das muß unbedingt unterbunden werden, was auch nicht > so schwierig ist. Für einen Profi wie Dich vielleicht nicht, aber für einen Anfänger wie mich schon. Da muss man das Weiterleiten-Feld blockieren, oder? Aber wie macht man das mit PHP? > Daneben besteht natürlich die Möglichkeit, daß die im > Mailformular hinterlegte Kontaktadresse selbst mit Spam zugemüllt wird, > wenn wieder ein Spambot versucht, automatisch über das Mailformular > Spam an Dritte zu versenden. Auch das läßt sich aber weitgehend in den > Griff kriegen. Solche Spamversuche haben oft eindeutige Merkmale, z.B. > findest Du plötzlich in einem Feld eine Eingabe, die "Content-Type: > multipart/alternative;" enthält oder einen Link. Auch werden Felder wie > Vorname, Nachname, Absenderadresse, Ort, Land etc. gerne mit demselben > Wert belegt. Mit den Kriterien wirst Du weit über 90% der Spamversuche > erkennen können. > > Solche Abfragen gibt es bestimmt schon irgendwo im Netz, oder? Hast Du oder jemand anders da eine Adresse wo man diese findet? > Es ist natürlich ratsam, für das Mailformular eine gesonderte > Mailadresse zu verwenden, allerdings spielt das hinsichtlich des Spams > über das Formular keine Rolle, weil die Adresse ja nur intern im Skript > steht und nach außen nicht sichtbar wird. > > Das verstehe ich jetzt nicht so ganz, bis jetzt war ich in dem Glauben, dass wenn die E-Mail des Empfängers nicht auf der Webseite steht, bzw. erscheint, könne darauf kein Spam versandt werden. Aber das scheint ja nicht zu stimmen. So wie ich Dich und andere jetzt verstanden habe, geht das sehr wohl, auch wenn die Empfängermail-Adresse im PHP-Programm steht. Viele Grüße Marita
php::bar PHP Wiki - Listenarchive