SPAM - Script missbraucht

Dieses Thema im Forum "Web-Programmierung" wurde erstellt von freso, 27.02.2006.

  1. freso

    freso Thread Starter MacUser Mitglied

    Beiträge:
    1.279
    Zustimmungen:
    24
    MacUser seit:
    27.09.2002
    hallo,

    ich habe gerade ne mail von meinem provider bekommen, dass mein mailscript missbraucht worden ist.

    hier der text:

    ich benutze auf der seite ein php script um mails zuversenden

    <?php
    $empfaenger = "mail@domain.de";
    $headers = "From:$email";
    $nachricht =
    "Name: {$_POST['name']}
    Strasse, Nr: {$_POST['strasse']}
    PLZ, Ort: {$_POST['ort']}
    Telefon: {$_POST['telefon']}
    eMail: {$_POST['email']}

    Nachricht: {$_POST['nachricht']}

    Formular gesendet von balballbal";

    mail("$empfaenger", "Anfrage", $nachricht, $headers);
    ?>

    benutze also gar kein formmail etc. was kann ich tun? gibt es eine sicherere möglichkeit oder anderes script das ich verwenden kann auf php basis?

    gruß freso
     
  2. emaerix

    emaerix MacUser Mitglied

    Beiträge:
    1.482
    Zustimmungen:
    21
    MacUser seit:
    19.03.2004
    Mit Formmail Skript meinen die wohl, dass Du ein Webformular zum Versenden von Mails an Dich aufgesetzt hast, so dass der Versender Deine Email-Adresse nicht sieht und unabhängig von einem Email-Programm ist.

    Das Problem bei Deinem Code ist, dass keine Kontrolle der eingetragenen Daten vorgenommen wird, sprich Dein Formulas davon ausgeht, dass bei der Email-Adresse wirklich eine Adresse drin steht. Das öffnet jemandem, der Dein Skript mißbrauchen will die Möglichkeit statt einer Adresse anderen Code zu übergeben und so das Skript zu umgehen.

    Wo aber genau der Fehler liegt kann ich Dir nicht sagen, dafür sind meine PHP Kenntnisse zu bescheiden.
     
  3. wegus

    wegus MacUser Mitglied

    Beiträge:
    15.045
    Zustimmungen:
    1.318
    MacUser seit:
    13.09.2004
    Das Problem liegt darin, daß bei obigem Skript die Zieladresse leicht von außen manipuliert wer den kann! Quasi Jeder kann damit mails überall hinschicken - Spammen eben!!!

    Ein einfaches:

    mail("mail@meinedomaine.de", "Anfrage", $nachricht, $headers);

    würde dies z.B. erfolgreich verhindern, der Empfänger kann nicht mehr geändert werden. Leider häufen sich die unangenehmen Zeitgenossen die Webseiten mit solchem Unsinn austricksen :( Waren es früher nur die Großen, so trifft es heute Jeden! Mailer sind ein Risiko und gehören 100%ig abgesichert oder man muß mit solchen Überaschungen rechen.
     
  4. Jakob

    Jakob MacUser Mitglied

    Beiträge:
    1.067
    Zustimmungen:
    21
    MacUser seit:
    05.01.2004
    Leider nicht. Was passiert, wenn Du als *Absender* z.B.
    Code:
    meinemail@domain.de[b]\nCc:[/b]spamopfer1@spam.de,spamopfer2@spam.de
    usw. eingibst? Genau… man muss also selbst bei vermeintlich festgesetztem Empfänger noch die anderen Felder auf Cc: Bcc: usw. untersuchen und rausschmeißen. Wie das so ist im Internet, hat sich schon mal jemand Gedanken drüber gemacht.
     
    Zuletzt von einem Moderator bearbeitet: 15.03.2016
  5. wegus

    wegus MacUser Mitglied

    Beiträge:
    15.045
    Zustimmungen:
    1.318
    MacUser seit:
    13.09.2004
    @Jakob: Du hast mich glaub ich falsch verstanden ( oder ich Dich), ich gehe von einem festverdrahteten Adressaten aus! Der Adressat bei einem Webformular muß nicht eingebbar sein, wenn es z.B. um Kundenanfragen einer Firma auf einer Webseite geht!

    Webmailer mit eingebbarem Adressaten sind ein Faß ohne Boden für Spammer ein Paradies!
     
  6. Jakob

    Jakob MacUser Mitglied

    Beiträge:
    1.067
    Zustimmungen:
    21
    MacUser seit:
    05.01.2004
    Der Adressat ist fest verdrahtet, aber man gibt ja noch seine eigene eMail-Adresse an (der „Absender“) und dieses Feld kann man - s. mein vorheriges Posting - auch sehr einfach zum Spamversand nutzen.
     
  7. BalkonSurfer

    BalkonSurfer Banned

    Beiträge:
    5.164
    Zustimmungen:
    0
    MacUser seit:
    27.07.2003
    Wie lange braucht man eigentlich, um das o.g. Script "auszunutzen" - immerhin brauche ich ja zumindest ungefähr ne Ahnung, wie das Script aufgebaut ist sonst ist das ja wie im Mist stochern
     
  8. wegus

    wegus MacUser Mitglied

    Beiträge:
    15.045
    Zustimmungen:
    1.318
    MacUser seit:
    13.09.2004
    wo gibst Du das denn ein?

    In meinem Webmailer gäbe es nur ein Feld für den Nachrichtentext,
    Subject würde autogeneriert als Kundenanfrage vom tt.mm.jjjj,
    der Adressat wäre ebenfalls hardcodiert. Wo käme denn der Absender hin !?
    Bei mir stünderer im mailtext selbst und der wird ja nun nicht ausgewertet!?

    verstehe das wohl wirklich nicht, würd es aber gern ;)
     
  9. freso

    freso Thread Starter MacUser Mitglied

    Beiträge:
    1.279
    Zustimmungen:
    24
    MacUser seit:
    27.09.2002
    ich habe auch noch ein wenig rumgesucht im internet, aber ohne wirklichen erfolg. habe jetzt das script mal hergenommen, das mir der provider empfiehlt. hoffe damit ist ruhe im karton. F**K SPAM
     
  10. max@hismac

    max@hismac MacUser Mitglied

    Beiträge:
    1.394
    Zustimmungen:
    47
    MacUser seit:
    05.03.2004
    ein feld für den absender brauchst du schon, oder wie willst du sonst auf die anfrage reagieren? wenn man da dann tatsächlich noch weitere informationen einträgt, müsstest du die adresse darauf abklopfen. übrigens öffnet dieses problem auch bei den meisten datenbankabfragen tür und tor, aber dazu nicht mehr.
     
Die Seite wird geladen...

Diese Seite empfehlen