hallo Christoph,

Ein Dateiname der Art 'head -c 16 /dev/random | md5sum' waere da schon eine ganz gute Erste-Hilfe-Massnahme.

Oha. Es ist mir tatsächlich neu, daß ich als Dateiname auch eine pipe angeben könnte.

Nur wenn diese drei Voraussetzungen "name", "mail" und "text" erfüllt sind,
Heissen die Formular-Felder evt auch so?

Öhm ... sie hießen bis vor kurzem auch so, ja. Das "Problem" hab ich ja erst seit rund einer Woche. Inzwischen sollten sie nicht mehr so heißen. Das Formular ist ein paar Jahre alt, und "früher" ist ja niemand auf die Idee gekommen, daraus Unsinn abzuleiten.

Trotzdem kommen ein paar ganz wenige "durch", deren Inhalt allerdings völliger Unsinn ist.
Du hast ja auch "Unsinn" nicht verboten! ;-)

Ganz einfach deshalb, weil ich selbst ein guter Mensch bin und mir einfach nicht vorstellen konnte, daß jemand eben "Unsinn" posten will. Das kann ich aber noch beheben und allerhand "Unsinn" kann ich auch verbieten. Definiere du aber bitte mal mit regExes "Unsinn".

Trotzdem kriege ich in meinem "mailer" überhaupt nichts angezeigt - egal, ob ich mir das sogar in WindowsXP mit OE anschaue oder in FreeBSD unter KMail.
Ein Hexeditor wuerde da wahrscheinlich auch nicht helfen. Aber zumindest die Zeilenenden sichtbar machen.

Naja, selbst im OE gibts die Möglichkeit, den "Quelltext" anzeigen zu lassen (wozu die mail allerdings erst vom Server runtergeladen werden muß), und da kriege ich dann schon allerhand zu sehen, und es braucht keinen Hexeditor.

es gibt keine reale mail-Adresse, die "XXX@christoph-schnauss.de" heißen kann, dafür existiert kein Konto.
Waere ja auch noch schoener, dann wuerde man ja noch schneller auffliegen! ;-)

Ok, dann hab ich an dieser Stelle wnigstens mal was richtig gemacht ;-)

Wie gesagt: er will wahrscheinlich Dein Formular als Spamrelay gebrauchen.

Ja, wahrscheinlich. Aber kann ich auch irgendwie rauskriegen, ob er das hingekriegt hat? Meine Sorge ist einfach, daß meine Adresse tatsächlich als "Spam-Schleuder" mißbraucht werden könnte, _obwohl_ alles, was ich selber an den logs usw. diagnostizieren kann, dagegenspricht und _obwohl_ mein Provider durchaus konziliant ist, das Problem kennt, und Gegenmaßnahmen probiert.

BTW: Deine Fehlermeldungen vom Formular sind wenig aussagekraeftig. Sei doch nicht so sparsam mit den Worten!

Och ...

PS: ihr müßt jetzt nicht unbedingt alle mein Formularscript daraufhin testen, ob es bei fehlerhaften Angaben tatsächlich nur Fehler meldet ... ;-)
Ja, noe, wieso? Du hast doch schon den Code gepostet, wir nutzen also die so veroeffentlichten Sicherheitsluecken direkt ;-)

Boah ... immer auf das Schlimme. Hehe, ich habe nicht wirklich alle Sicherheitslücken gepostet (es gibt noch mehr *g*). Aber ich arbeite dran.

Das Doofe ist ja, daß man auf eventuelle "Lücken" immer erst dann aufmerksam wird, wenns mal ein anderer mit irgendwelchem nervigen Zeugs testet.

Grüße aus Berlin

Christoph S.