Kontaktformular vor Spam schützen ...

Jürg Gutzwiller

Jürg Gutzwiller

Mitglied
Hallo

Ausgangslage:

- Vor rund 2 Monaten habe ich alle meine internen Kontaktformulare mit neuen Email-Adressen ersetzt.
- alle Email-Adressen bestehen aus Name.Name@mrzeglingen.ch (wobei die Namen nicht einfach nachvollziehbar sind!)
- Sämtliche Kontaktformulare sind in verschiedenen speziellen Ordnern auf dem Server abgelegt
- einige der Ordner wurden mit der Datei robots.txt mit Dissallow "geschützt"
- sämtliche Kontaktformulare werden mit einem javascript aufgerufen (z.B: <a href="javascript:webmaster_kontakt()">Kontakt Webmaster</a>)
- alle Email-Adressen werden mit einem Formmail-Programm aufgerufen (<input type=hidden name="recipient" value="name.name@mrzeglingen.ch">)

Was habe ich vergessen, nicht berücksichtigt oder vergessen, denn seit einigen Tagen werden nun diese "geschützten" Email-Adressen mit SPAM eingedeckt.

Wie soll ich mich nun verhalten?

Kann ich das hidden name="recipient" zusätzlich schützen, so, dass auch diese Adresse nicht mehr sichtbar ist?

Für Eure Stellungnahmen und Tipps danke ich Euch herzlich.

Gruss
Jürg
 
Wie wäre es mit einen Beispiel oder Programmcode?


CODE <input type=hidden name="recipient" value="name.name@mrzeglingen.ch">

Hört eher nach einen Openrelay an.


Die robots.txt spielt bei Spambots keine Rolle, die wird i.d.R. völlig ignorier oder nur herangezogen, um gerade die unerlaubten Seiten anzusteueren.
 
Kurzes Suchen listet

QUOTE <input type=hidden name="recipient" value="schöne Mailadresse zum Spammen">


Insofern verstehe ich die Frage nicht
biggrin.gif


Mailadressen, die geschützt werden sollen, haben nichts im Quellcode von Seiten zu suchen. Und der Bot muß nur einmal die JavaScript-Datei laden, dann hat er alles, was sein Herz begehrt.

Ein


QUOTE FormMail
Copyright 1995 - 2002 Matt Wright
Version 1.92 - Released April 21, 2002


hört sich für mich nicht unbedingt toll an - seither hat sich viel getan.
 
Vielen Dank für die Antworten.

Hier ein Beispiel, wie die Kontaktformulare aufgebaut sind:

<form method="POST" action="http://www.mrzeglingen.ch/cgi-bin/FormMail.pl">
<input type=hidden name="recipient" value="name.name@mrzeglingen.ch">
<input type=hidden name="required" value="Vereinsname, Name_Vorname, email">
<input type=hidden name="subject" value="Kontaktformular OK-3SpieleTurnier">
<input type=hidden name="env_report" value="REMOTE_HOST,REMOTE_ADDR,REMOTE_USER,HTTP_USER_AGENT, HTTP_REFERER">
<input type=hidden name="redirect" value="http://www.mrzeglingen.ch/maennerriege/_contact/3spieleturnier_ok_fragen_danke.html">
<input type=hidden name="print_blank_fields" value="1">
<input type=hidden name="missing_fields_redirect" value="http://www.mrzeglingen.ch/maennerriege/_contact/3spieleturnier_ok_fragen_fehler.html">


Ich habe das Formmail seit 5 Jahren im Einsatz und die Entwicklung nicht weiter verfolgt. Beim Durchsuchen nach Lösungen unter Ayom.com habe ich auch einen Verweis auf Jax-Formmailer gefunden, ist diese Lösung für die heutigen Anforderungen besser geeignet?

Apropos javascript: ich dachte, dass die Bot keine Javascripte auslesen ...


 
QUOTE (Jürg Gutzwiller @ So 29.07.2007, 18:58)Ich habe das Formmail seit 5 Jahren im Einsatz und die Entwicklung nicht weiter verfolgt.
...
Apropos javascript: ich dachte, dass die Bot keine Javascripte auslesen ...

Ich bin bei der Entwicklung all dieser Scripte auch nicht auf dem laufenden - weshalb auch.

Aber ich behandele das nach dem Umkehrschluß: Wenn Du neue Mailadressen einpflegst und kurz darauf vom Spam überflutet wirst, dann scheint das keine große Hürde für die Spambots zu sein.

Also müssen die Intelligenteren davon inzwischen JavaScript können, folglich finden sie diese Adressen.

Allerdings ist es grundsätzlich keine sinnvolle Idee, eine Zielmail für ein Kontaktformular in der Html-Seite selbst anzugeben. Da liegt die Vermutung nahe, daß es da längst bessere Formulare gibt. Letzteres weiß ich aber nicht - weil ich es, siehe oben, nicht mitverfolge, ich nutze diese Dinger ohnehin nicht.
 
huhu,

mein kontaktformular basiert auf php daher sieht man nirgends im quellcode eine emailadresse (somit dürften die spambots diese auch nicht sehen, oder täusche ich mich?)

so sieht dann der quelltext aus:

CODE <form name="form1" method="post" action="kontakt.php">

<label for="sendername">Ihr Name <font color="#FF0000">*</font></label><br>
<input name="sendername" type="text" id="sendername" size="40"><br>

<label for="senderemail">Ihre E-Mail Adresse <font color="#FF0000">*</font></label><br>
<input name="senderemail" type="text" id="senderemail" size="40"><br>

<label for="modelname">Ihre Telefonnummer </label><br>
<input name="telefon" type="text" id="telefon" size="40"><br>

<label for="nachricht">Ihre Nachricht <font color="#FF0000">*</font></label><br>
<textarea name="nachricht" id="nachricht" cols="31" rows="6"></textarea><br>

<input name="checkbox" type="checkbox" id="checkbox" value="Ja">
<label for="checkbox">Kontakt per E-Mail erwünscht</label><br>

<input name="checkbox2" type="checkbox" id="checkbox2" value="Ja">
<label for="checkbox2">Kontakt per Telefon erwünscht</label><br><br>

<div class="text"><input name="Abschicken" type="submit" value="Senden">
<input type="hidden" name="filled" value="1">        * = Pflichteingaben</div>
<input type="hidden" name="id" value="">
</form>
 
@Jürg Gutzwiller
Kannst du auf deinem Webspace kein PHP verwenden? Sonst meld dich mal, dann machen wir ein sicheres PHP Mail script, ähnlich wie das von HPI-Service.

@HPI-Service
Solange die Mails per PHP versendet werden und keine Email Adressen im Quellcode stehen, so ist alles im grünen Bereich. Kannst optional noch ein Captcha (in meiner Signatur) Code setzen, damit du nicht überflutet wirst.
 
QUOTE Solange die Mails per PHP versendet werden und keine Email Adressen im Quellcode stehen, so ist alles im grünen Bereich.

was die email-adresse betrifft, sicherlich!
es gibt aber leider genügend php-kontaktformulare im netz die sich simpel direkt per
post url/kontakt.php?und_hier_die_richtigen_parameter_zum_versenden
aufrufen lassen und so als spamschleuder mißbrauchen lassen.


QUOTE Also müssen die Intelligenteren davon inzwischen JavaScript können, folglich finden sie diese Adressen.

müssen sie das wirklich können? js-dateien sind auch nur text-dateien. und die bots folgen halt jedem link. die dümmeren bots können einen link zu einer js-datei nicht von einem link zu einer html-datei unterscheiden. lesen dumm den text, finden ein @ zeichen und freuen sich.
wink.gif



es ist spät und um diese uhrzeit habe ich gemeine ideen:

- man ersetze die email-adresse in dem kontaktformular durch eine von jemanden den man nicht leiden kann.

- füge im body-tag der seite ein onload="ersetzeemail()" ein.

- dann noch javascript funktion

function ersetzeemail() {
var x = document.body.innerHTML;
a='@';
b='name.name';
c='domain.com';
mailadresse = b+a+c;
input='kanndich@nichtleiden.com" ';
output=mailadresse;
y= x.replace(input,output);
x= y;
document.body.innerHTML = x;
}

und der spambot soll ruhig kommen.

nimm die steine die man dir in den weg legt und bau dir was nettes daraus
cool.gif
 
@Duvi

Vielen Dank für Deine Möglichkeit jemanden bewusst viel SPAM zuzustellen. Ich habe das Gefühl, dass ich diese Möglichkeit jedoch auch mit einer "SPAM@mrzeglingen.ch" - Adresse einsetzen könnte. Ich werde diese Variante auf jeden Fall ausprobieren

@HPI-Service
Auch Dir ein grosses Dankeschön für das PHP Script. Gemäss Provider kann ich PHP einsetzen. Ich habe jedoch keine Erfahrung damit und habe während meiner Nachforschung auch von der Möglichkeit gelesen, dass falsch eingesetzte PHP-Kontaktformulare als wahre Fundgrube für Spammer gelten.

@Roberto Zehnder
Dein Angebot würde ich gerne in Anspruch nehmen, da ich jedoch keine Erfahrung mit PHP habe, könnte eine derartige Aufgabe leicht zu einem "Grossauftrag" werden und da es sich um eine Vereinsseite handelt, wären die Kosten wohl nicht ganz gerechtfertigt.

Ich danke allen Antwortgebern für die Ratschläge und Tipps.

Gruss
Jürg
 
QUOTE (HPI-Service @ So 29.07.2007, 22:46)mein kontaktformular basiert auf php daher sieht man nirgends im quellcode eine emailadresse (somit dürften die spambots diese auch nicht sehen, oder täusche ich mich?)

Wenn ich auf deine Domain gehe und dort das Kontaktformular suche, dann steht die Mail

- im Header: meta http-equiv="reply-to" content=""
- im Klartext
- als Link

Da spielt das Kontaktformular bzw. die Tatsache, daß die Seite aus PHP zusammengebaut wird, keine Rolle - das ist ja alles schon auf dem Präsentierteller
tongue.gif
 
QUOTE (Jürg Gutzwiller @ Mo 30.07.2007, 01:22) Dein Angebot würde ich gerne in Anspruch nehmen, da ich jedoch keine Erfahrung mit PHP habe, könnte eine derartige Aufgabe leicht zu einem "Grossauftrag" werden und da es sich um eine Vereinsseite handelt, wären die Kosten wohl nicht ganz gerechtfertigt.

Meld dich doch einfach per PN oder Mail, helf dir gerne, auch kostenlos, dem Spam zuliebe
wink.gif
 
@jAuer

ja richtig steht im quelltext im header und im body tag als mail-link und dem bin ich mir auch bewusst.
biggrin.gif
aber rede ja nur von dem kontaktformular und wenn du das aufrufst http://www.hpi-service.de/formular/kontakt.php dann erscheint da nirgends die email-adresse im quelltext.

sprich wenn man dieses kontaktformular einbaut dann ist das doch spam-sicher (natürlich nur wenn man nicht die email adresse wie ich im header oder als maillink einbindet
rolleyes.gif
)

gruß
Mirko
 
QUOTE (Jürg Gutzwiller @ Mo 30.07.2007, 02:22)[...]
@HPI-Service
Auch Dir ein grosses Dankeschön für das PHP Script. Gemäss Provider kann ich PHP einsetzen. Ich habe jedoch keine Erfahrung damit und habe während meiner Nachforschung auch von der Möglichkeit gelesen, dass falsch eingesetzte PHP-Kontaktformulare als wahre Fundgrube für Spammer gelten.
[...]

Das gilt nun aber für jede Programmiersprache, letztendlich kommt es häufig eher auf den Entwickler an und sein Fachwissen über die Programmiersprache. Deswegen kann jemand, der Programmieren gelernt hat wohl in jeder Sprache programmieren, aber er kennt deswegen noch nicht alle Eigenarten und Tücken einer anderen Programmiersprache.
 
QUOTE (HPI-Service @ Mo 30.07.2007, 19:43)sprich wenn man dieses kontaktformular einbaut dann ist das doch spam-sicher (natürlich nur wenn man nicht die email adresse wie ich im header oder als maillink einbindet
rolleyes.gif
)

In dem Fall fällt die Möglichkeit, daß man direkt selbst zugespamt wird, weg - da nach außen hin keine Adresse sichtbar ist.

Das schließt aber nicht aus, daß ein Bot (1) wiederholt das Formular ausfüllt und absendet (eine Bot-Aktion für eine Spammail an einen selbst - ok, teuer, aber möglich) und daß (2) das Formular anfällig gegen Mailheader-Injektionen ist und deshalb dazu benutzt werden kann, an andere Leute Mails zu versenden, ohne sich selbst authentifizieren / identifizieren zu müssen. Letzteres sind wie offene Mailserver zu betrachten - und natürlich ein Paradies für jeden Spammer.
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben