Kontakt-Formular nicht sicher

Hallo,

vorhin hat mich folgende eMail meines Hosters erreicht:

Sehr geehrter Kunde,

vor kurzem wurden unsere Server Opfer von DDOS-Attacken.
Dabei wurden sämtliche Webseiten dahingehend überprüft, ob mithilfe
diesen Spams verschickt werden können.

Leider wurde über Ihre Webpräsenz bzw. dem darin enthaltenen
Kontaktformular eine Spam-Attacke ausgelöst. Dabei wurden tausende
Spammails versendet.

Wir haben Ihr Kontaktformular/Indexseite vorsorglich deaktiviert bzw.
umbenannt, damit im Moment keine weiteren Massenspams verschickt werden können.

Wir bitten Sie nun dringlichst, Ihr Kontaktformular auf Sicherheit zu
überarbeiten. Bitte aktivieren Sie dieses im jetzigen Zustand NICHT!!!


Bei Fragen kontaktieren Sie uns
unter [EMAIL]info@super-online.de[/EMAIL]

Das betreffende Formular sieht so aus

<div class="chapter">Kontaktformular</div>

<div class="content">

Für Ihre individuellen Fragen bieten wir Ihnen hier die Möglichkeit, diese zu stellen. Sie werden so schnell wie es mir möglich ist, eine 

Antwort bekommen.<br/>

Leider können wir Ihnen keine andere Kontakt-Möglichkeit wegen Missbrauchs von Privat- oder Messengernummern geben.<br/><br/> 





<form action="?page=contact" method="post">

<table border="0" cellspacing="3" cellpadding="0" style="width: 100%">

<tr valign="middle">

<td align="left" style="width: 10%"><span class="fontnormal">Vorname:</span></td>

<td style="width: 90%"><input type="text" name="vorname" style="width: 60%" /></td>

</tr>

<tr valign="middle">

<td align="left" style="width: 10%"><span class="fontnormal">Nachname:</span></td>



<td style="width: 90%"><input type="text" name="nachname" style="width: 60%" /></td>

</tr>

<tr valign="middle">

<td align="left" style="width: 10%"><span class="fontnormal">e-Mail:</span></td>

<td style="width: 90%"><input type="text" name="email" style="width: 60%" /></td>

</tr>

<tr valign="middle">

<td align="left" style="width: 10%"><span class="fontnormal">Betreff:</span></td>

<td style="width: 90%"><select name="betreff" style="width: 60%;">

                       <option value="-1">Bitte ausw&auml;hlen:</option>

                       <option value="Auftrag">Auftrag</option>

                       <option value="Frage/n">Frage/n</option>

                       <option value="Kritik">Kritik</option>

                       <option value="Anregung/en">Anregung/en</option>

                       <option value="Sonstiges">Sonstiges</option></select>

</td>



</tr>

<tr valign="middle">

<td align="left"><span class="fontnormal">Nachricht:</span></td>

<td><textarea cols="30" rows="6" name="nachricht" style="width: 60%;"></textarea></td>

</tr>

<tr>

<td colspan="2"><br /><input type="submit" value="Senden" name="submit" />&nbsp;<input type="reset" name="Reset" value="L&ouml;schen" /></td>

</tr>

</table></form>

</div>



<?php

if (isset ($_POST['submit'])) {

  if (!empty ($_POST['vorname']) AND !empty($_POST['nachname']) AND !empty($_POST['email']) AND !empty($_POST['nachricht'])) {

   $absender = 'From:' .$_POST['email'];

   mail("admin@tr-art.de", $_POST['betreff'] , $_POST['nachricht'] , $absender);

   echo "Vielen user-158k für Ihr Interesse! Sie werden so schnell wie möglich eine Antwort bekommen!"; }

  else {

   echo "Bitte geben Sie alle Felder ein, damit die eMail verschickt werden kann!"; }

}

?> 

Was ist daran nicht sicher?
Wo kann man von außen darauf zugreifen?

Viele Grüße,
Justus

Also erstmal ist der Empfänger ja statisch, jedoch solltest du bei den Formular Variablen htmlspecialchars benutzen

Huii, was ne div-Suppe...

Eine einfache Spam-Sperre kannst du realisieren, indem du die IP des Besuchers mit der Zeit des Mailversands speicherst und diesem user-129utzer dann ~5 Minuten verbietest, weitere Mails zu verschicken.

Es geht doch um Spam. Also zum einen könntest du eine IP-Sperre einbauen, allerdings lässt sich auch das leicht umgehen. Du könntest desweiteren bekannte Bots per .htaccess von deiner Seite ausschließen. CAPTCHA´s heißt die zur Zeit sicherste Methode, oder du testet mal die neue Methode von user-124, MAWCHA´s

Edit : Sorry für doppelt genannte Punkte, war noch auf der Suche von user-124 Methode :/

darum gehts meine meinung nach nicht

das script ist unsicher

natürlich kann man im grunde auch ne spam bombe schicken, aber auf den ersten blick eben nur an ihn (das ist das, was ihr meint).

Original von user-333
Hallo,

vorhin hat mich folgende eMail meines Hosters erreicht:

Sehr geehrter Kunde,

vor kurzem wurden unsere Server Opfer von DDOS-Attacken.
Dabei wurden sämtliche Webseiten dahingehend überprüft, ob mithilfe
diesen Spams verschickt werden können.

Leider wurde über Ihre Webpräsenz bzw. dem darin enthaltenen
Kontaktformular eine Spam-Attacke ausgelöst. Dabei wurden tausende
Spammails versendet.
.....

Also, da wird auch kein htmlspecialchars helfen.

machts aber um einiges sicherer

Vor was denn?

Vor nix. Um eine "Header Injection" zu unterbinden, müsste man Linefeeds entfernen.

ohne htmlspecialchars kann da doch jeder depp drin rumspielen

Es wird eine stinknormale E-Mail versendet. Selbst wenn da wirklich gefährlicher HTML- oder JavaScript-Code mitgeschickt wird : Da wird keine HTML E-Mail versendet. Und es geht immernoch um Spam.

Ganz abgesehen davon wird ja im text/plain format gesendet...

Original von user-317
Es wird eine stinknormale E-Mail versendet...

Original von user-317
Es wird eine stinknormale E-Mail versendet. Selbst wenn da wirklich gefährlicher HTML- oder JavaScript-Code mitgeschickt wird : Da wird keine HTML E-Mail versendet. Und es geht immernoch um Spam.

^
ich red von was ganz anderem

Dann klär mich/uns auf

öhm ja
Soll ich lieber bei meinem Webhoster nachfragen, was er mir vorschlägt?

grundsätzlich gilt:
vom user beinflussbare werte immer nachbearbeiten - mit addslashes, htmlspecialchars oder was auch immer sei mal dahingestellt.

zudem würde es bestimmt sinnmachen, die von sven angesprochene technik CAPTCHA zu verwenden.

gruß, user-228