Sven Rautenberg: Erfahrungsbericht: Formularspam erfolgreich bekämpft

Beitrag lesen

SELF-Forum

Erfahrungsbericht: Formularspam erfolgreich bekämpft

Sven Rautenberg Homepage des Autors
+6 Informationen zu den Bewertungsregeln

Moin!

  • Warum wurden von diesem Bot immer nur 3 "Test"mails verschickt?
      Anstatt mal eben 200 los zu schicken.

Ich bin überzeugt, dass es sich sehr wohl um einen Bot handelt, aber um einen, der potentielle Spamversandstellen erkunden soll. Deshalb werden auch nur drei (ich meine, die in meinem Umfeld aufgetretenen Spamtests bestanden immer aus vier) Versandversuche unternommen, um nicht durch allzu großes Aufsehen Verdacht zu erregen.

  • Nachdem ich das display:none Feld eingebaut und ausgewertet habe,
      kamen nur noch 3 weitere Mails. Wurde diese "Hürde" vom Bot erkannt?

Man weiß es nicht.

  • Und gründsätzlich: Wir wird die Page ../kontakt.php, per Bot, aufgerufen?

Checke mal die Logfiles. Da besteht bei mir nämlich noch eine investigative Lücke. Ich könnte mir aber vorstellen, dass der Bot recht "gut" ist - er ruft in jedem Fall die Formularseite ab, um die enthaltenen Felder zu erkennen, und dürfte vermutlich auch Cookies beherrschen (wäre jedenfalls ein leichtes, das mit reinzuprogrammieren). Nur CSS kann er eben noch nicht - und er kann auch nicht darauf verzichten, diverse @-Zeichen und signifikante Mailheader als Text zu senden.

Meine Vorgehensweise, deren Erfolg ich aber noch nicht genau nachgeprüft habe (dazu kommen die Bots dann doch zu selten, und offenbar gehen sie auch geplant-koordiniert vor und belästigen eine Fundstelle nicht endlos): Wenn im gesamten POST-Text (mit implode(" ", $_POST) zu einem String kombiniert) mehr als X @-Zeichen vorkommen, ist irgendwas faul. Eines kommt vor, weil der Absender seine Mailadresse angibt, ein weiteres kommt vielleicht vor, weil er in der Textarea nochmal eine komplette Mailsignatur inkl. Mailadresse reinschreibt, und eventuell schreibt er auch noch die Mailadresse seiner Frau und seines Chefs rein. Aber so ab 5 @-Zeichen wird die Sache dann doch suspekt.

Dann zähle ich die im POST-Text gefundenen Wörter, und summiere die Vorkommen typischer Mail-Injection-Texte: "bcc:", "mime-type:", "7bit", ... - wenn von denen eine gewisse Anzahl enthalten ist, gebe ich einfach HTTP-Status 404 als Antwort auf den Sendeversuch zurück. Sozusagen mein virtueller Stinkefinger.

- Sven Rautenberg

--
My sssignature, my preciousssss!
Beitrag melden
+6
Informationen zu den Bewertungsregeln