nicht angemeldet
+ (SICHERHEIT) Formmailer
Hallo, Gemeinde
Mein Provider hat alle Kunden informiert, dass es aufgrund falsch konfigurierter oder veralteter Formmailer immer wieder zu Missbrauch kam (Relaying, Spam) und schlicht die betroffenen Scripts lahmgelegt. Jetzt suche ich eine Alternative.
Ich benötige keine besonders ausgefallenen Funktionen, die Möglichkeit, Attachments anzuschließen wäre jedoch vorteilhaft.
Wer hat Tips?
Danke & LG
Orlando
-
Hi,
Mein Provider hat alle Kunden informiert, dass es aufgrund falsch konfigurierter oder veralteter Formmailer immer wieder zu Missbrauch kam (Relaying, Spam) und schlicht die betroffenen Scripts lahmgelegt. Jetzt
Vernünftig von dem Provider. Anscheinend hast du einen, der sich etwas besser auskennt, als der traurige Grossteil...
suche ich eine Alternative.
Such halt ein sicheres Formmail-Skript :)
Man kann diese an ein paar Charakteristika eher erkennen:
* Die Receiver-Adresse ist hart im Skript oder in einer Konfigdatei codiert.
* Das Skript funktioniert nur von festgelegten Webseiten aus.
* Das Skript sendet nur eine Mail an eine Adresse und nicht an viele Leute.
* Falls mehrere Receiver, dann werden diese nicht über das Formular anhand einer E-Mailadresse vorgegeben, sondern aus einer festen AUswahlliste, wovon nur eine ID übergeben wird.Ich benötige keine besonders ausgefallenen Funktionen, die Möglichkeit, Attachments anzuschließen wäre jedoch vorteilhaft.
Das mit Attachments kannst du vergessen.
Für ein Attachment müsste eine Datei auf dem Server geladen werden und dort temporär gelagert werden. D.h. du läßt zu, das jemand von aussen, irgendetwas, was du nichts kennst, auf dein Server ablegt.
Wenn an der Stelle das Skript nicht sauber ist, ist das eine Sicherheitslücke.Ciao,
Wolfgang-
Hallo,
zwei Punkte, die ich noch ergänzen möchte:
* IP-Sperre: Du sperrst die Nutzung des Mailer für 2-3 Min. nachdem der User eine Mail verschickt hat. Dies kannst Du über die IP (also den User identifizieren) machen.
Und wer wirklich mal in der vorangegangenen E-Mail was vergessen hat meiner Erfahrung nach Verständis dafür und wartet diese 2 Min. bevor er erneut was schicken kann (eine Vernünftige Erklärung des Grunds der Sperre vorausgesetzt)
* E-Mail Länge: Die E-Mail vom Text er auf ca. 10-15 KB begrenzen. Da kann man schon eine ganze Menge erzählen, bis 15 KB reiner Text zusammengekommen sind... (dies hier sind z.B. keine 700 Byte)Grüße...
Alex :)
-
Hi, Wolfgang
Vernünftig von dem Provider. Anscheinend hast du einen, der sich etwas besser auskennt, als der traurige Grossteil...
Kann ich nur bestätigen :)
* Die Receiver-Adresse ist hart im Skript oder in einer Konfigdatei codiert.
* Das Skript sendet nur eine Mail an eine Adresse und nicht an viele Leute.Ich habe bereits einige Alternativen, die ich am Wochenende ausprobieren werde. Obige Voraussetzungen sind bei allen gegeben.
* Das Skript funktioniert nur von festgelegten Webseiten aus.
Naja, so weit ich gesehen habe, wird meist der Referer geprüft, aber dort kann ja alles mögliche stehen (Ferrari, Lotus Elise,...), auch die Adresse des Formulars. Werde mich daher an dem orientieren, was ich so an dokumentierten Bugs zu den einzelnen Varianten finde.
Das mit Attachments kannst du vergessen.
Da hast du wohl recht. Bösartiges Zeugs lasse ich mir lieber per Mail-Client zuschicken ;-)
Danke an dich und Alexander
LG Orlando
-
-
Hallo Orlando,
Mein Provider hat alle Kunden informiert, dass es aufgrund falsch konfigurierter oder veralteter Formmailer immer wieder zu Missbrauch kam (Relaying, Spam) und schlicht die betroffenen Scripts lahmgelegt. Jetzt suche ich eine Alternative.
Bezieht sich auf http://www.worldwidemart.com/scripts/ / Matt's Free Perl CGI Scripts.
Ein paar Leute in London, die Perl / CIG *wirklich* beherrschen haben Matt's CGI's neu + besser + sicherer implementiert. Zu finden unter http://nms-cgi.sourceforge.net/
Grüße
K@rl