Hello,

wenn die empfängeradresse im klartext per formular angegeben wird - wer sollte dann den spammer daran hindern, hierfür eine andere, beliebige emailadresse zu übergeben?

So ein Kontaktformular nutze ich doch nur, daß man mir was schreibt und nicht irgendwem.

ja, du - der spammer aber nicht.

Viel schlimmer noch ist die die Injizierbarkeit des Formmailers über

- subjekt
  - from
  - to

also alle Parameter, die in die Header eigehen.

Im Prinzip kann man jeden Formmailer missbrauchen, der eine Usereingabe ungeparst und unkastriert in die Header der Mail übernimmt.

Harzliche Grüße aus http://www.annerschbarrich.de

Tom