Mail Scripte sicher machen

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Mail Scripte sicher machen

    Hallo,

    es kommt ja häufig vor, dass Mailscripte zum versenden von Spam-Mails missbraucht werden.
    Jetzt wollte ich mal fragen, was es für Möglichkeiten gibt, dem vorzubeugen.

    Mit Captcha bei einem einfachen Mailformular zu arbeiten finde ich ziemlich nervig. Außerdem sind die meisten Kunden nicht so angetan davon. Soweit ich weiß gibt es ja auch schon Bots die das erkennen.

    Mit preg_replace kann ich ja in den Felder z.B. CC, BCC etc. rausnehmen.

    Was gibt es denn noch für Möglichkeiten??

    Ip-Sperre?? Wortfilter??
    Wie macht ihr so was??
    Zuletzt geändert von kakktus; 18.10.2006, 10:04.

  • #2
    Was ist denn GG und BGG? Lachen und Blindes Lachen?

    Das einfachste ist, dass du einfach ne Feste Empfängeradresse verwendest.

    Mehr zum Thema erfährst du nach der nächst Maus äh Suche.

    Kommentar


    • #3
      Hi,
      meinte natürlich CC und BCC

      Fefeste Empfängeradresse ist schon klar und suchen ist auch klar aber es hätte ja sein können, dass es noch weitere Möglichkeiten gibt, die hier noch ncht gepostet wurden.

      Kommentar


      • #4
        Dann hättest du ja auch im vorhanden Thread nachfragen können. Da hatte man wenigstens erkannt, dass die Frage nicht ins Blaue gestellt wurde.

        Kommentar


        • #5
          hätte hätte hätte....
          Na klasse, eigentlich wollte ich nicht über sawas diskutieren, sondern eher mal alle guten und sicheren Möglichkeiten in einem Beitrag zusammenfassen. Aber so was scheint hier nicht zu gehen

          Kommentar


          • #6
            Von mir aus, gerne. Fang einfach schonmal mit den Punkten an, die du bereits herausgefunden hast.

            Sicher werden Erweiterungen ganz automatisch erscheinen.

            Kommentar


            • #7
              also anfangen würde ich mal mit überprüfen der Absender-adresse (abgesehen von der Pflichtfeldprüfung):


              PHP-Code:
              function check_emailsyntax($email) {
                  if (
              eregi("^([a-z0-9_]|\-|\.)+@(([a-z0-9_]|\-)+\.)+[a-z]{2,4}\$",$email)==1) {
                      return 
              true;
                  } else {
                      return 
              false;
                  }

              ... und dann unerlaubte Zeichen und CC, BCC etc. entfernen.

              PHP-Code:
               $from preg_replace"/[^a-z0-9 !?:;,.\/_\-=+@#$&\*\(\)]/im"""
                
              $_POST['from_mail'] );

               
              $frompreg_replace"/(content-type:|bcc:|cc:|to:|from:)/im"""
                
              $from);

               
              $textpreg_replace"/(content-type:|bcc:|cc:|to:|from:)/im"""
                
              $_POST['text'] ); 

              als weiteres könnte man eine IP-Sperre einbauen. Wie lange sollte man eine IP-Adresse sperren??

              Kommentar


              • #8
                adressprüfung gut und schön, aber sowohl ereg als auch eine TLD mit 2-4 Buchstaben sind nicht mehr standesgemäß, ganz zu schweigen von Umlaut-Domains.

                Und selbst wenn die Adresse Syntaktisch korrekt ist, heißt das noch lange nicht, dass sie existiert, geschweige denn dem "Einträger" auch gehört. Der großteil der Spams wird übrigens eine korrekte Adresse angeben. Die sind doch nicht blöd.

                Und auch deine CC-Sache ist eher sub-optimal. im header macht die überprüfung vielleicht noch sinn. aber du scheinst die Funktion ohnehin falsch anzuwenden.

                Es gibt deutlich bessere Methoden, die alle schon aufgezählt wurden...

                Kommentar


                • #9
                  gut darum ja dieser Beitrag
                  Wie wäre es denn mit nem Verbesserungsvorschlag??

                  Kommentar


                  • #10
                    OffTopic:
                    Wozu wenn der schlechter ist, als der Rest?
                    Muss ich mir jetzt echt die mühe machen selbst nach den vorhandenen Threads zu suchen?

                    Kommentar


                    • #11
                      So, jetzt war ich so fleißig die Threads rauszusuchen:
                      http://www.php-resource.de/forum/sea...earchid=244695

                      Dann kannst du so fleißig sein, alles richtige zusammenzutragen. Dann haste deinen Thread.

                      Kommentar


                      • #12
                        Vergiss es einfach.
                        Das scheint hier in dem Forum kein Sinn zu machen.
                        Von mir aus mach den Beitrag gleich wieder dicht.


                        EDIT: Oh, danke für die Mühe....
                        Zuletzt geändert von kakktus; 18.10.2006, 11:18.

                        Kommentar

                        Lädt...
                        X