Hallo

Ich habe auf meiner Homepage bis jetzt problemlos ein ganz einfaches Kontaktformular mit PHP betrieben. Seit ein paar Tagen wird das Kontaktformular mit Spam überflutet.

Es bleibt mir wohl nichts anderes übrig, als ein Spamschutz einzubauen. Hat da jemand einen guten Tipp oder eine gute Adresse?

Mein Formular sieht zur Zeit so aus:

Baue am besten eine Abfrage ein, inder der User eine Ziffern / Zahlenkombination eingeben muss, die in einem Bild steht.
Nur bei korrekter Eingabe wird die E-Mail versendet.

Der Vorteil ist, dass die Spamrobots das Bild nicht lesen können, sodass du geschützt bist.

Welche PHP-Version verwendest du?
register_globals sollte auf "deaktiviert" sein! Das ist viel sicherer.

an so etwas habe ich auch schon gedacht. hast du einen link dazu?

php-version ist 4.3.11

gruss rene76

Du brauchst dafür mind. PHP-Version 4.1.0. Das ist bei dir der Fall.

Du musst schauen, ob register_globals auf on oder off ist. Dazu legst du eine PHP-Datei an.

Da suchst du nach "register_globals".

Dann schaust du, ob es auf on oder off steht.

ist auf on. was bedeutet das in dem fall?

Bei ON werden GET Variablen autom. in Skripten verfügbar gemacht:

xxx.php?var=inhalt

-> in Scripten wird dann die Variable $var vorhanden sein.

Wenn auf OFF wird die Variable nur über $_GET['var'] erreichbar sein, wodurch es schwieriger wird, fremde Variablen in den Code einzuschleusen.

Grüsse

Es sollte also auf off sein!
Das muss du ändern.

das werde ich wohl kaum ändern können. das wird wohl der hoster machen müssen.

Das kannst du sicher in deiner .htaccess - Datei übersteuern. Das sollte eigentlich immer möglich sein.

Da wäre dieses Möglichkeit denkbar.
[1]

Oder
[2]

Hier wäre die .htaccess-Möglichkeit.
[3]






Links:
http://www.homepage-forum.de
http://phorum.org/
http://www.php-resource.de

Also das mit dem "register_globals" sollte kein Problem sein.

Hat jemand ein Link zu einem Script mit der Zahlen- / Buchstabenabfrage als Bild? Oder wie Patrick- geschrieben hat: "Baue am besten eine Abfrage ein, inder der User eine Ziffern / Zahlenkombination eingeben muss, die in einem Bild steht.
Nur bei korrekter Eingabe wird die E-Mail versendet."

gruss rene76

hmm ein bekannter von mir hat eine ähnliches problem.
jedoch benutzte er ein Perl Script

Das Hauptproblem ist aber nicht das zusagen der Admin darüber haufenweise Mails bekommt, sondern, man könnte über das Feld Absender gleich noch ein Bcc anhängen und damit dann die Mails an viele verschiedene Adresse gleichzeitig senden.

darum solltest du auch den Inhalt der Variable $email genau prüfen ob dort nur eine Emailadresse drin steht !!!!

Meine Idee für die Absicherung wäre eine einfache Session.
auf der formularseite wird eine Session erzeugt, und ein WErt darin gespeichert, dieser wird vor dem Absenden der Daten überprüft und danach die Session gelöscht.

damit ist den user dann nicht mehr möglich mehrfach auf dem Submit Button zu klicken, und auch eine Nutzung des Scriptes von Außen sollte damit unterbunden werden.

denn bei meinem Bekannten war es so, das die Zugriffe mit ständig wechselnden IP Adressen wahrscheinlich von Außen kamen ?
denn wenn man manuell das Formular abschickte, erschien in den Logfiles die URL des Formulares als Referer.
bei diesen Fakemails war dort als Referer immer nur die Startseite obwohl es da keine Verbindung zu dem Script gibt...

Hallo

Mich würde es noch interessieren, wie das Problem schlussendlich gelöst wurde. Ich hatte zum Glück noch keine solche Attacke, will mich aber trotzdem dagegen wapnen.

Grüsse

Gegen die Robots kann man sich wehren, aber wenn am anderen Ende realle Personen sitzen und die ganze Zeit das Kontaktformular zuspammen, gibt es keine Schutzmöglichkeit.

Du kannst die IP für eine bestimmte Zeit sperren, doch der Spammer kann die IP wechseln. Was ist wenn normale User über einen Proxy surfen müssen und du die IP sperrst, da schon jemand eine Nachricht geschrieben hat? Ein anderer, der den gleichen Proxy benutzt, kann dir keine Mails schreiben.
Dann muss du doch deine Mailadresse veröffentlichen...

Man sollte sich auch gegen Mail Injection schützen, dabei wird ein Formular missbraucht um gleichzeitig an weitere Empfänger Spam Mails zu versenden.

Mehr Infos wie das geht und was man dagegen machen kann:
http://securephp.damonkohler.com/index.php/Email_Injection
http://at.php.net/mail

Danke für den Input.

Das mit der IP find ich noch gut. Wird die IP für lediglich 1 Minute gesperrt, dann ist das schon nervend für jemand, der da was "böses" will.

Greez

Nö, wäre es nicht, wozu kann man Programme schreiben ;-)


MfG Sascha Ahlers

Und wie ist denn Deine Lösung?

Back to the roots! -> E-Mail ;-)

Ansonsten hilft nur eine Kontroll-Kode innerhalb einer Grafik, ohne das diese irgendwelche Rückschlüsse darauf im HTML-Quelltext mit einer Überprüfung der E-Mail-Adresse via Script und DNS Eintrag (MX-Record).
Dies ist aber nicht gerade förderlich für die Barriefreiheit, von daher erachte ich eine einfache E-Mail-Adresse am sinnvollsten, vorausgesetzt natürlich, dass der Server entsprechende SPAM-Filter hat.



MfG Sascha Ahlers

Danke Dir,

Das mit dem Email ist ein bisserl schwieirig, wenn man die Infos auch noch in ne DB abspeichern muss (z.B. Support-Requests, Ordering von Produkten in einem Shop,...).

Ich komm wohl nicht herum das mit dem Kontroll-Code innerhalbt einer Grafik zu tun.

Grüsse

Philipp