Mail Spamming über contact-us form

[Petruschka]

Hallo,

ich erhalte seit einigen Tagen massive Spam-Mails, vornehmlich aus Russland, die ganz simple über das Kontaktformular ausgelöst werden.

Das ist ja, wie ich herausgefunden habe auch ganz einfach zu bewältigen.

Aufruf in der URL-Zeile: www.domain.de/contact us

Schwubs, und sofort steht das Formular zur Verfügung, ohne jede Hürde.

Das kann ja auch der dümmste Russen-Spammer leicht ausführen und schon bekommt man diesen ganzen Müll ins Fach.

Da bin ich doch sicher nicht der Einzige der von sowas betroffen ist.

Deshalb hoffe ich doch sehr, dass in diesem Forum ein Schlauerle ist der weiss wie man das am besten abstellt.

Prestashop Version 1.6.17

[Whiley]

vor 2 Stunden schrieb Petruschka:

Da bin ich doch sicher nicht der Einzige der von sowas betroffen ist.

https://www.prestashop.com/forums/topic/664420-captcha-kontaktformular/

https://www.prestashop.com/forums/topic/607921-spam-im-kundenservice/

https://www.prestashop.com/forums/topic/664684-spam-im-kontaktformular/

Es geht den Spammern keineswegs darum Müll in deinem Shop abzuladen, dein Shop wird dazu benutzt Spam-Mails an russische Empänger - mit deinem Absender - zu verschicken.

Grüsse
Whiley

[Petruschka]

Hallo,

Mail-Spamming über contact-us ließe sich natürlich eindämmen mit einem Captcha-Modul !

Davon habe ich bereits 3 verschiedene im Prestahop gekauft !

Keines dieser Module hat nach Installation funktioniert !

Mit drei verschiedenen Templates (alles Premium-Templates vom Prestashop) getestet ohne Erfolg.

Also offenkundig, falls überhaupt, nur mit irgentwelchen Anpassungen integrierbar.

Wieder mal Arbeit für einen kostenpflichtigen Programmierer oder dem Lieferanten des Moduls alle Türen öffnen (mit entspr. Risiko).

ABER eine Erste-Hilfe-Massnahme ist die allseits bekannte Kontaktfomular-URL (/contact-us) verändern, mit eine langen, wirren Zeichenkette und dann ein redirect von www.domain.de/contact-us  auf www.domain.de einrichten.

Das hilft erstmal und es dauert etwas bis das jemand herausgefunden hat.

Prämisse ist natürlich das auf  Seite keine Kontakt-Link stehen darf, Ist bei mir mit einem contact-form modul gelöst.

Zwischenzeitlich bekommt man ja vielleicht eines der Captcha-Module zum laufen.

Grüsse

[NSN]

Hat sich schon mal jemand mir Ahnung vom Programmieren das Modul aus dem dänischen Forum angeschaut?

https://www.prestashop.com/forums/topic/663210-modul-spam-i-kontaktform/

Ich weis nicht was das Modul ändert oder macht, aber der Spam hat seit dem zur Gänze aufgehört.

[Whiley]

vor 10 Stunden schrieb NSN:

https://www.prestashop.com/forums/topic/663210-modul-spam-i-kontaktform/

Ich weis nicht was das Modul ändert oder macht, aber der Spam hat seit dem zur Gänze aufgehört.

Dort wird ein unsichtbares Feld in das Kontaktformular eingebaut, daß als Honeypot genutzt wird - eine ähnliche Lösung ist in der aktuellen PS-Version 1.6.1.18 per default vorhanden.

Bezogen auf die momentanen Spamwellen mit Mails nach Rußland u. nach China wirken derartige Lösungen  - zumindest im Moment - zu 100%

Captchas sind - wegen der negativen Auswirkungen auf die Benutzer-Usabillity - gänzlich ungeeignet.

Grüsse
Whiley

[eleazar]

vor 5 Stunden schrieb Whiley:

Dort wird ein unsichtbares Feld in das Kontaktformular eingebaut, daß als Honeypot genutzt wird - eine ähnliche Lösung ist in der aktuellen PS-Version 1.6.1.18 per default vorhanden.

Was genau dieses Modul macht, weiß ich nicht,  aber ganz sicher baut es kein unsichtbares Feld ein. Ganz im Gegenteil: es hebelt ein hidden field sogar aus.

[wmunich]

Hi @eleazar ,

sorry vielleicht eine blöde Frage aber warum baut das Modul kein Feld ein bzw. hebelt eines aus? Welches?

Soweit ich das sehe wir beim onClick event sehr wohl ein hidden input erzeugt/plaziert das beim submit im Controller ausgewertet wird.

Hab ich irgendwas übersehen bzw. wo liegt das Problem?

Danke Dir, Tom

[eleazar]

Ja, schon. Aber abgefragt wird darüber eigentlich, ob wirklich ein Mausklick auf den Button Senden erfolgt ist, wenn ich das richtig verstehe. Und hier scheint mir eine Schwachstelle des Moduls zu liegen, denn den wiederum kann man mit geeigneten Befehlen simulieren, so dass es dauerhaft keinen echten Schutz bietet.