offenes Mail-Relay bei CMS

    Ein CMS kann man vielmals als offenes Mail Relay nutzen. Ich habe das schon sehr früh erkannt ( bisher ist nix passiert! ) und schaue wie das Kunden einrichten.
    Bei Joomla ist es bspw so das man bei Kontaktformularen eine Kopie an sich selber senden kann. Das ist die potentielle Schwachstelle. Hat man nun kein Captcha eingebaut, kann man Mails an wen auch immer verschicken, wenn man die Absender Mail als Sende Mail missbraucht.
    Keine meiner Kunden ist oder war betroffen. Ich schaue immer das alles sicher ist.

    Trotzdem möchte ich darauf aufmerksam machen, das dies ausgenutzt werden kann. Es ist ein leichtes so 1000de Spam Mails unter Euren Namen zu versenden. Evtl steht ihr dann auch in der Haftung.
    Captcha sollte immer eingebaut sein.

    Schaut einfach mal nach ob das bei euch möglich ist.

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!

    Support 24h Bereitschaft 0173 6107465 - NUR Für Kunden von SEO NW!

    Man kann doch das Mailrelay/den Mailaccount auch so einstellen, das nur x Mails pro Stunde erlaubt sind.
    Ich kann mir jetzt nicht vorstellen, das einer von uns z.B. mehr als 10 Mails/h von seiner Kontaktseite bekommt.
    Oder man bastelt sich selbst was rein: Je User-IP 5 Mails/Tag.

    Wer zuerst "Datenschutz" sagt, hat verloren.

    Ich bin davon betroffen gewesen bzw. ist es jetzt noch immer möglich, wird aber nicht mehr ausgenutzt. Damals war es auch kein Bot oder so, sondern ein neuer Anbieter, der damit seine neue Seite beworben hat und so gleichzeitig an meinen Kunden und einen anderen, fremden seine Werbung schickte.

    Ehrlich gesagt gibt es dazu auch keinen Schutz. Captcha macht es schwerer, aber es ist dennoch möglich. IP Sperren verhindern es auch nicht wirklich. Gut, genutzt wird es noch immer, aber mein System fängt seit gut 2 Jahren alles ab.

    Allerdings ist das kein "open Relay", denn das ist ja eigentlich was anderes. Bedeutet ja eigentlich, dass eines eine Mail mit einem fremden Absender und einem fremden Empfänger sendet, über einen Server, der dafür eigentlich nicht zuständig ist. Kopien werden aber eigentlich im Namen des Betreibers gesendet, also kein "open Relay" sondern nur ein Missbrauch der Email-Adresse bzw. eben eine absichtliche Falscheingabe.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Jo, wollte heute morgen noch schreiben, wie ich das derzeit umsetze, aber da musste ich weg. Jetzt auch nur kurz. Wie gesagt, Captcha nicht, denn das kann sehr leicht gebrochen werden. IP Sperre nach x Nachrichten geht bei mir nicht, da das schon 10-100 oder mehr am Tag sein können.

    Ich habe also nun eine Mischung aus verschiedenen Dingen.

    1. Aufruf der Übertragungsseite nur, wenn vorher das Formular aufgerufen wurde.
    2. Hinweis auf "Kopie senden" erst nach dem Absenden des Formulars, nicht gleich als Checkbox dabei.
    3. Verstecktes Feld per "type=hidden"
    4. Verstecktes Feld per type="text" und "display:none"
    5. Zeitmessung zwischen Erstaufruf und Absenden
    6. Erkennung von aktiven URL in der Nachricht. BB-Code, HTML etc. Das macht ein normaler User nicht.
    7. Erkennung von Falscheingaben und deren Häufung. Sind nur bestimmte Felder falsch, ok. Oft sind aber viele oder gar alle echten Felder falsch ausgefüllt.

    So, und bei allen Punkten, teils auch in Kombination miteinander, (außer 2) wird beim Eintreten (5., wenn Zeit zu kurz) die IP per modifizierter Bottrap direkt geblacklisted. Das hat bisher ca. 800 IPs erwischt und keiner davon hat sich bisher je beschwert. Scheint also die Richtigen getroffen zu haben.

    Wobei ich sagen muss, dass die meisten per 5 und 7 erfasst werden. Eher wenige per 3 oder 4.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Nur mal so gefragt: Welchern Sinn macht das, wenn der Sender sich selbst ne Kopie schicken kann?

    Weil, wenn ich antworte (falls ich antworte :D), dann sitzt unterhalb sowieso immer die Originalnachricht von dem Typen.

    Wer zuerst "Datenschutz" sagt, hat verloren.

    Der Sinn ist, dass der Sender eine Kopie hat! Wenn der ein Formular ausfüllt, dann hat der sonst ja nichts, wo steht, was er geschrieben hatte. Im Mailprog haste dazu den Ordner "Gesendet", bei einem Webformular aber nichts.

    Und genau auch bei solchen Fällen wie "falls ich antworte" ist es hilfreich. Ich finde nichts nervender als Mails an Unternehmen, die dann nicht beantwortet werden. Ruft man dann an, dann Antworten wie "Haben sie nicht gesendet, habe ich nicht bekommen oder was auch immer". Hier kannste dann aber sagen: "Hallo, die Kopie habe ich" - sonst haste ja keinen Nachweis.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(