newsletter.php Missbrauch

Fragen und Tipps & Tricks zur Newsletter Software SuperMailer oder zum BirthdayMailer

Moderatoren: mirko, Wolfi

Antworten
matyliat
Beiträge: 16
Registriert: 01.04.2008, 10:53

Beitrag von matyliat » 02.12.2008, 14:49

Ok, danke für den Tipp, das werde ich gleich mal ausprobieren....

Benutzeravatar
mirko
Beiträge: 21706
Registriert: 25.11.2001, 15:14
Wohnort: Leipzig
Kontaktdaten:

Beitrag von mirko » 02.12.2008, 13:46

Das ist aber sehr seltsam, normalerweise trägt kein Script echte E-Mail-Adressen ein und klickt auch noch auf den Link, damit der Eintrag erfolgt. Zur weiteren Erhöhung der Sicherheit könnte man auch noch die vorbereiteten Einstellungen für $CryptKeyFile=\"\"; und $CryptKeyErrorPage=\"\"; verwenden, dazu die Kommentare im Script genau beachten, da Dateirechte gesetzt werden müssen. In dem Fall wird dier Sicherheit erhöht, so dass nur noch mit Einmalschlüsseln bei der Anmeldung gearbeitet wird.

matyliat
Beiträge: 16
Registriert: 01.04.2008, 10:53

Beitrag von matyliat » 02.12.2008, 12:12

Hallo Mirko!

Danke für die Hinweise. Double-Opt-In habe ich bereits seit längerem im Gebrauch (ist ja auch rechtlich erforderlich). Captcha habe ich gestern eingebaut - danke für dieses einfach einzubauende Skript.

Was bei mir passiert ist, ist eher mysteriös:

Ein Spambot hat e-Mail-Adressen über die newsletter.php (ohne Formular, diesers wurde gar nicht aufgerufen!) eingetragen, sodaß der Versand der Bestätigungsmail ausgelöst wurde, die aber auch bestätigt wurden, bis auf einen, der sich mächtig aufregte....

Das bedeutet für mich, dass die Newsletteranmeldung ohne Dateneingabe im Formular möglich ist - eh klar.... Mit dem Einbau des Captcha wird das jetzt verhindert, oder?

Danke für Deine Hilfe!
Lg
Matthias

Benutzeravatar
mirko
Beiträge: 21706
Registriert: 25.11.2001, 15:14
Wohnort: Leipzig
Kontaktdaten:

Beitrag von mirko » 02.12.2008, 11:24

Hallo,

wenn man kein Double-Opt-In nutzt, dann könnte das Script missbraucht werden. Ein Spambot könnte einfach das Script mit den entsprechenden Parametern aufrufen (Scripte könnten Webformulare auslesen) und damit An- und Abmeldungen durchführen.

Lösung:

* Double-Opt-In nutzen, es werden in dem Fall aber auch Mails als unzustellbar zurückkommen, falls ein Spambot das Anmeldeformular ausfüllt und versendet.

* Captcha nutzen, siehe dazu http://www.supermailer.de/captcha/ , wobei Captcha nicht gerade benutzerfreundlich ist aber kann man leider nicht ändern, um das Script zu schützen.

matyliat
Beiträge: 16
Registriert: 01.04.2008, 10:53

Beitrag von matyliat » 01.12.2008, 21:29

Hallo an alle!

Ich habe den großen Verdacht seit heute, dass die newsletter.php missbraucht werden kann...

Der Verdacht bestätigte sich durch mehrere Punkte:

1.) Ein Mail von einem verärgerten Mann, der ein RE: auf die Bestätigungsmail sendete, er zeige mich an, weil er hätte sich nirgendst angemeldet.
2.) Ein erhöhte Anmeldequote (normal pro Tag 3-4 heute 40)
3.) Eine Unsubscribe obwohl dieser User sich noch nie angemeldet hatte.
4.) Laut Statistik wurde die Formular-Seite nur 4x aufgerufen die newsletter.php aber 40x....????

Ich habe nun die die newsletter.php vorerst einfach umbenannt, sodaß das nun plötzlich keine weiteren Anmeldungen stattfinden.

Ist es theoretisch möglich die Newsletter.php mittels irgendeines Skriptes für Anmeldungen von E-Mail-Adressen zu missbrauchen? Rechtlich könnte das zu Problemen führen, wenn das möglich wäre.

Vielen Dank für die Hilfe!
Die heutigen Anmeldungen nehme ich nun vorerst nicht in die Datenbank auf....

Viele Grüße
Maty

Mein Portal:
http://www.issgesund.at

Antworten