Benutzerdefinierte Suche

SPAM - Script missbraucht

  1. freso

    freso Thread StarterMacUser Mitglied

    Mitglied seit:
    27.09.2002
    Beiträge:
    1.279
    Zustimmungen:
    24
    hallo,

    ich habe gerade ne mail von meinem provider bekommen, dass mein mailscript missbraucht worden ist.

    hier der text:

    ich benutze auf der seite ein php script um mails zuversenden

    <?php
    $empfaenger = "mail@domain.de";
    $headers = "From:$email";
    $nachricht =
    "Name: {$_POST['name']}
    Strasse, Nr: {$_POST['strasse']}
    PLZ, Ort: {$_POST['ort']}
    Telefon: {$_POST['telefon']}
    eMail: {$_POST['email']}

    Nachricht: {$_POST['nachricht']}

    Formular gesendet von balballbal";

    mail("$empfaenger", "Anfrage", $nachricht, $headers);
    ?>

    benutze also gar kein formmail etc. was kann ich tun? gibt es eine sicherere möglichkeit oder anderes script das ich verwenden kann auf php basis?

    gruß freso
     
    freso, 27.02.2006
  2. emaerix

    emaerixMacUser Mitglied

    Mitglied seit:
    19.03.2004
    Beiträge:
    1.483
    Zustimmungen:
    22
    Mit Formmail Skript meinen die wohl, dass Du ein Webformular zum Versenden von Mails an Dich aufgesetzt hast, so dass der Versender Deine Email-Adresse nicht sieht und unabhängig von einem Email-Programm ist.

    Das Problem bei Deinem Code ist, dass keine Kontrolle der eingetragenen Daten vorgenommen wird, sprich Dein Formulas davon ausgeht, dass bei der Email-Adresse wirklich eine Adresse drin steht. Das öffnet jemandem, der Dein Skript mißbrauchen will die Möglichkeit statt einer Adresse anderen Code zu übergeben und so das Skript zu umgehen.

    Wo aber genau der Fehler liegt kann ich Dir nicht sagen, dafür sind meine PHP Kenntnisse zu bescheiden.
     
    emaerix, 27.02.2006
  3. wegus

    wegusMacUser Mitglied

    Mitglied seit:
    13.09.2004
    Beiträge:
    14.982
    Zustimmungen:
    1.545
    Das Problem liegt darin, daß bei obigem Skript die Zieladresse leicht von außen manipuliert wer den kann! Quasi Jeder kann damit mails überall hinschicken - Spammen eben!!!

    Ein einfaches:

    mail("mail@meinedomaine.de", "Anfrage", $nachricht, $headers);

    würde dies z.B. erfolgreich verhindern, der Empfänger kann nicht mehr geändert werden. Leider häufen sich die unangenehmen Zeitgenossen die Webseiten mit solchem Unsinn austricksen :( Waren es früher nur die Großen, so trifft es heute Jeden! Mailer sind ein Risiko und gehören 100%ig abgesichert oder man muß mit solchen Überaschungen rechen.
     
    wegus, 27.02.2006
  4. Jakob

    JakobMacUser Mitglied

    Mitglied seit:
    05.01.2004
    Beiträge:
    1.067
    Zustimmungen:
    21
    Leider nicht. Was passiert, wenn Du als *Absender* z.B.
    Code:
    meinemail@domain.de[b]\nCc:[/b]spamopfer1@spam.de,spamopfer2@spam.de
    usw. eingibst? Genau… man muss also selbst bei vermeintlich festgesetztem Empfänger noch die anderen Felder auf Cc: Bcc: usw. untersuchen und rausschmeißen. Wie das so ist im Internet, hat sich schon mal jemand Gedanken drüber gemacht.
     
    Jakob, 27.02.2006
  5. wegus

    wegusMacUser Mitglied

    Mitglied seit:
    13.09.2004
    Beiträge:
    14.982
    Zustimmungen:
    1.545
    @Jakob: Du hast mich glaub ich falsch verstanden ( oder ich Dich), ich gehe von einem festverdrahteten Adressaten aus! Der Adressat bei einem Webformular muß nicht eingebbar sein, wenn es z.B. um Kundenanfragen einer Firma auf einer Webseite geht!

    Webmailer mit eingebbarem Adressaten sind ein Faß ohne Boden für Spammer ein Paradies!
     
    wegus, 27.02.2006
  6. Jakob

    JakobMacUser Mitglied

    Mitglied seit:
    05.01.2004
    Beiträge:
    1.067
    Zustimmungen:
    21
    Der Adressat ist fest verdrahtet, aber man gibt ja noch seine eigene eMail-Adresse an (der „Absender“) und dieses Feld kann man - s. mein vorheriges Posting - auch sehr einfach zum Spamversand nutzen.
     
    Jakob, 27.02.2006
  7. BalkonSurfer

    BalkonSurferMacUser Mitglied

    Mitglied seit:
    27.07.2003
    Beiträge:
    5.157
    Zustimmungen:
    1
    Wie lange braucht man eigentlich, um das o.g. Script "auszunutzen" - immerhin brauche ich ja zumindest ungefähr ne Ahnung, wie das Script aufgebaut ist sonst ist das ja wie im Mist stochern
     
    BalkonSurfer, 27.02.2006
  8. wegus

    wegusMacUser Mitglied

    Mitglied seit:
    13.09.2004
    Beiträge:
    14.982
    Zustimmungen:
    1.545
    wo gibst Du das denn ein?

    In meinem Webmailer gäbe es nur ein Feld für den Nachrichtentext,
    Subject würde autogeneriert als Kundenanfrage vom tt.mm.jjjj,
    der Adressat wäre ebenfalls hardcodiert. Wo käme denn der Absender hin !?
    Bei mir stünderer im mailtext selbst und der wird ja nun nicht ausgewertet!?

    verstehe das wohl wirklich nicht, würd es aber gern ;)
     
    wegus, 27.02.2006
  9. freso

    freso Thread StarterMacUser Mitglied

    Mitglied seit:
    27.09.2002
    Beiträge:
    1.279
    Zustimmungen:
    24
    ich habe auch noch ein wenig rumgesucht im internet, aber ohne wirklichen erfolg. habe jetzt das script mal hergenommen, das mir der provider empfiehlt. hoffe damit ist ruhe im karton. F**K SPAM
     
    freso, 27.02.2006
  10. max@hismac

    max@hismacMacUser Mitglied

    Mitglied seit:
    05.03.2004
    Beiträge:
    1.396
    Zustimmungen:
    52
    ein feld für den absender brauchst du schon, oder wie willst du sonst auf die anfrage reagieren? wenn man da dann tatsächlich noch weitere informationen einträgt, müsstest du die adresse darauf abklopfen. übrigens öffnet dieses problem auch bei den meisten datenbankabfragen tür und tor, aber dazu nicht mehr.
     
    max@hismac, 27.02.2006
Die Seite wird geladen...
Ähnliche Themen - SPAM Script missbraucht
  1. leo-magic
    Antworten:
    0
    Aufrufe:
    766
    leo-magic
    28.12.2012
  2. tocotronaut

    Email Spam

    tocotronaut, 08.07.2012, im Forum: Web-Programmierung
    Antworten:
    5
    Aufrufe:
    975
    falkgottschalk
    17.07.2012
  3. Dandy68
    Antworten:
    0
    Aufrufe:
    788
    Dandy68
    09.06.2012
  4. kazu
    Antworten:
    9
    Aufrufe:
    4.628
  5. flozirkus
    Antworten:
    3
    Aufrufe:
    923
    Benjamin-Do
    30.03.2008