FormMailer Sichere Quelle
0 0 0 
Patrick Andrieu
FormMailer Sichere Quelle
Hallo Leute,
Kennt jemand eine zuverlässige (sichere Quelle für den Download von FormMailer 2.9 oder höher ?
(Dies ist kein Doppelposting. Das Thema hat sich im Verlauf der Ursprungproblematik verändert. So das hier ein neues Thema übersichtlicher ist.)
Gruss gary
-
Hallo,
Kennt jemand eine zuverlässige (sichere Quelle für den Download von FormMailer 2.9 oder höher ?
Was, da gibts ein Update? Die schlimmste und wahrscheinlich auch einzigste Magge von FormMail.pl liegt darin, dass die eMail_addr des Recipienten als CGI-Parameter mitgegeben wird.
Genau das kannst Du doch selbst abstellen, gary, trau Dich ;-)
Steht alles weiter unten im Fred von Dir.
Viele Grüße vom Buzzer
-
Hi Buzzer,
Ein gutes gefühl, zur spater Stunde noch Kompetente Leute zu erwischen...
Es ist so, der Patrick hat mir eine komplette Anleitung gegeben, die ich mir als word-datei gespeichert habe. Nur seine Anleitung funktioniert nur mit FormMail v. 2.9. Laut seinen Aussagen.
Ich habe Matt's Script Archive / Version 1.92 .
Da gibt es keinen Passus zum Alias E-Mails einrichten.
Nur zum repetieren: Sinn der Anpassung ist es, in der:
<input type="hidden" name="recipient" value="beispiel@muster.com">
Anweisung statt der e-mail einen Wert z.B. "1" zu übergeben.Das Mailprog hat dann eine Liste, da wird dann der "1" eine E-Mailaddresse zugewiesen.
Zweck der Übung ? Der potenzielle Spamer kann nicht beliebige E-Mail in die value-funktion einsetzen ? Hab ich das Richtig verstanden ?
gruss gary
-
Hi!
Ja.
1. ein Spammer kann das Script nicht einfach als Spambot missbrauchen, da er keine beliebeigen Adressen uebergeben kann.
2. ein Spammer kann mit seinem Harvester nicht beliebig Mailadressen sammeln, da es keine im Formular gibt.
Ein ordentlicher Mailer hat aber noch den ein oder anderen Trick auf Lager, der Spammern den Missbrauch unmoeglich machen sollten. (Stichwort Mailheaderinjection)
Zum Form Mailer. Ich dachte dabei immer an php stat perl...?
-
Hi Steel,
Ehrlich gesagt hab ich von php genauso wenig ahnung wie von perl. Das besagte Program FormMailer.pl lag bei meinem Provider im cgi-bin ordner.
Ich hab dort rwx Rechte.Jaja das mit der Mail entpuppt sich doch schwieriger als erwartet.
gruss gary
-
Aehm. Wenn Du es schon hast, warum suchst Du es dann noch? Vertraust Du Deinem Provider nicht?
-
Aehm. Wenn Du es schon hast, warum suchst Du es dann noch? Vertraust Du Deinem Provider nicht?
Doch ich vertrau meinem Provider. Das Problem ist, das ich in der FormMailer.pl Datei eine Zeile finden muss, die ungefähr so aussieht:
%recipient_alias = (
'1' => 'form@example.com,
);
Und die gibt es in der *.pl Datei nicht. Also bin ich dann quasi unfähig Alias einzurichten. Laut Patrick wär das aber in der V2.9 anders. Und da beisst sich die katze wieder in den Schwanz. Es gibt bei google kein
FormMail v 2.9.das ist das Problem...
gruss gary
-
Hoi!
Doch ich vertrau meinem Provider. Das Problem ist, das ich in der FormMailer.pl Datei eine Zeile finden muss, die ungefähr so aussieht:
%recipient_alias = (
'1' => 'form@example.com,
);
Und die gibt es in der *.pl Datei nicht. Also bin ich dann quasi unfähig Alias einzurichten. Laut Patrick wär das aber in der V2.9 anders. Und da beisst sich die katze wieder in den Schwanz. Es gibt bei google kein
FormMail v 2.9.das ist das Problem...
Also ich finde bei google immer ein php-script. Auch bei Sourceforge lande ich immer bei einem php-script.
-
Es gibt bei google kein
FormMail v 2.9.
das ist das Problem...
Also ich finde bei google immer ein php-script. Auch bei Sourceforge lande ich immer bei einem php-script.
ja aber kein FormMail - wie gesagt ich hab nur die Anleitung von diesem einen Programm.
Ausserdem ist mir noch was in Bezug auf die Mailer Anpassung gekommen:
Das man Alias einrichtet und zu welchem Zweck ist mir ja bekannt. Dann müsste man aber im Mailerprogramm nicht nur Alias E-Mail einrichten, sondern die
<input type="hidden" name="recipient" value="abc@muster.com">
Funktion auf dem Server also respektive FormMail daran hindern auf solche Anfragen zu reagieren, oder ?Denn was nützt mir ein value code wie 1,2,3, wenn ich mit der "alten Methode trotzdem indirekt Mails versenden kann.
Gruss gary
-
-
So,
ich muss jetzt ins Bett, Matratzenhorchdienst. Morgen fruh werd ich beizeiten hoffentlich ne Lösung finden - mit hilfe des Forums hier.Gute nacht an alle
gary...
-
*seuftz*
Da bin ich neidisch. Ich wuerd auch gern mal um diese Zeit ins Bett gehen koennen. :(
-
-
-
-
-
-
-
-
Kennt jemand eine zuverlässige (sichere Quelle für den Download von FormMailer 2.9 oder höher ?
Nein, sorry. Aber ich empfehle nms-FormMail, ein Projekt, das ursprünglich von den London PerlMongers initiiert wurde und laufend gepflegt wird. Für Dich interessant sollte dieses Paket sein.
Siechfred
-
Hi Siechfred,
Ich dreh jetzt gleich durch. Dein link ist ja ein mords teil!
Ich hab Formmail.pl im CGI-Ordner liegen. Wenn ich jetzt von mir aus etwas anderes da hineinkopiere gehts erst richtig los: Scheinbar muss ich dann einen Pfad zum "Sendmail-Prog." auf dem server finden. Muss diverse Einstellungen vor nehmen, von dennen ich noch nicht einmal geträumt habe und und und. Die Chancen, das dann überhaupt noch was funktioniert, würd ich dann eher als sehr gering einschätzen.
Was ich benötige:
-
Ein Programm FormMail wenn möglich grad das was ich bereits habe.
Der Provider wird sich schliesslich etwas dabei gedacht haben, grad dieses Programm draufzuspielen. Ausserdem gehe ich davon aus, das das meiste schon passend eingestellt ist. -
Die Möglichkeit value="adresse@beispiel.com" abzuschalten und stattdessen value="code" anzugeben(Das heisst glaub Alias Funktion)
Aber, aber, aber... das ist sooooo kompliziert. Ich will doch bloss halbwegs sicher Daten vom Betrachter zu mir als e-mail verschicken.
Ist das so schwer ? Es sieht ganz danach aus...
Verzweifelter grussgary ;-)
-
Hab das im Forumsarchiv gefunden. Ist der Sicher und kann man da die E-Mail addresse fest einstellen ?
grus gary
-
Hab das im Forumsarchiv gefunden. Ist der Sicher und kann man da die E-Mail addresse fest einstellen ?
grus gary
#!/usr/bin/perl
-------> Individuelle Parameter des Skriptes - bitte anpassen!
--> SMTP-Programm zum Versenden der Mail:
$Sendmail_Prog = "/usr/lib/sendmail";
--> Ziel-Mailadresse, an die gesendet werden soll:
$mailto = 'mailadresse@example.org';
-------> Modul für CGI-Scripts einbinden:
use CGI;
-------> Modul für CGI-Scripts zum Einlesen der Formulardaten anwenden:
$query = new CGI;
@names = $query->param;-------> interne Daten aus den erwarteten hidden-Feldern auslesen:
$delimiter = $query->param('delimiter'); # ---> Begrenzerzeichen zwischen name und value
$returnhtml = $query->param('return'); # ---> URL für Dankeseite
$subject = $query->param('subject'); # ---> E-Mail-Subject-------> alle Whitespace-Zeichen (Leerzeichen, Tabulator, Newline) in Leerzeichen wandeln
# VERHINDERT sonst möglichen MISSBRAUCH des Skripts
$subject =~ s/\s/ /g;-------> Text der E-Mail aus den Formulardaten ermitteln:
$mailtext = "";
foreach(@names) {
$name = $_;
@values = "";
@values = $query->param($name);
if($name ne "return" && $name ne "subject" && $name ne "delimiter") {
foreach $value (@values) {
$mailtext = $mailtext.$name;
$mailtext = $mailtext.$delimiter;
$mailtext = $mailtext.$value."\n";
}
}
}-------> E-Mail versenden:
open(MAIL,"|$Sendmail_Prog -t") || print STDERR "Mailprogramm konnte nicht gestartet werden\n";
print MAIL "To: $mailto\n";
print MAIL "Subject: $subject\n\n";
print MAIL "$mailtext\n";
close(MAIL);-------> Dankeseite an Browser senden:
print "Location: $returnhtml\n\n";
-
Hab das im Forumsarchiv gefunden. Ist der Sicher und kann man da die E-Mail addresse fest einstellen ?
Das ist der einfache Formmailer von SELFHTML Aktuell. Nicht sehr komfortabel, aber wenn's Dir ausreicht.
Siechfred
PS: Ich habe jetzt mal den Bereich geändert, mit JS hat das hier nix mehr zu tun :)
-
PS: Ich habe jetzt mal den Bereich geändert, mit JS hat das hier nix mehr zu tun :)
Ja ist in Ordnung. Das kann es geben, das man was anfängt, und dann etwickelt sich die Sache in eine ganz andere Richtung.
So Jetzt zurück zum Problem:
Wie Ihr jetzt alle wisst hab ich FormMail.pl Version 1.92 von meinem Provider. Mir würde es genügen, eine feste E-mail in dieses Programm zu schreiben, da ich die Bestellungen immer an die selbe (meine) E-Mail schicke. Ob man dies über alias macht ist mir eigentlich egal. Ich möchte nur nicht das ein Spamer meine e-mail "clientseitig" im Quelltext lesen kann,oder per value-Befehl sich sogar eine e-mail aussuchen kann.
Ich glaube es war Patrick, der mir empfohlen hat, den Mailer "Upzudaten"
(kann man das auf deutsch so sagen Upzu....?)Soll ich das machen und wie mach ich das ?
Der bisherige Mailer ist nämlich, da er ja im Ordner CGI-Bin lag bereits konfiguriert (bis auf die Antispam Einstellungen)
Oh Gott was für ein Projekt...
lieben gruss Gary
-
Wie Ihr jetzt alle wisst hab ich FormMail.pl Version 1.92 von meinem Provider.
Du hast Matt Wright's FormMail 1.92.
Mir würde es genügen, eine feste E-mail in dieses Programm zu schreiben, da ich die Bestellungen immer an die selbe (meine) E-Mail schicke.
Im ReadMe steht was dazu. Wenn ich das recht verstanden habe, sollte in der Konfiguration Folgendes Dein Spam-Problem lösen können:
@recipients = ('^dein_name\@example\.org$');Damit ist laut Doku der Versand ausschließlich an die E-Mail erlaubt, auf die der RegExp passt, also auf dein_name@example.org.
Ich möchte nur nicht das ein Spamer meine e-mail "clientseitig" im Quelltext lesen kann
Dann musst Du in der Tat einen anderen Formmailer nehmen oder den Code des verwendeten über das oben geschriebene hinaus anpassen. Die Quick'n'Dirty-Variante:
1. Lade FormMail herunter
2. Öffne die lokale Kopie in einem einfachen Texteditor
3. Suche nach der Zeile "sub check_required {"
4. Füge in nach dieser Zeile folgendes ein:$Config{'recipient'} = 'dein_name@example.org';5. Abspeichern, wieder nach cgi-bin hochladen, Rechte 755 vergeben, testen.
Wenn es funktioniert (wovon ich ausgehe), kannst Du das versteckte Eingabefeld 'recipient' im Formular nun guten Gewissens löschen. Wenn's nicht geht, nochmal nachfragen.
Siechfred
-
Hi Siechfred,
Dein Tipp hat funktioniert. Mir ist es gelungen nur eine e-mail fix ins Mailerprog einzubauen. Ich hab es getestet, er nimmt jetzt keine anderen e-mails mehr an. Wenn jemand versucht, eine andere Mail zu schicken, bringt er eine Fehlermeldung.
Danke nochmals für deine Hilfe.
Gruss Gary
-
-
Hallo gary!
Ich möchte nur nicht das ein Spamer meine e-mail "clientseitig" im Quelltext lesen kann,oder per value-Befehl sich sogar eine e-mail aussuchen kann.
Die Gefahr eines Formmailers ist aber weniger die, dass ein Harverster Deine im Klartext gegebene E-Mail-Adresse aus der Formularseite einsammelt, sondern vielmehr, dass das Programm als Spamschleuder (Spam relay) von speziellen Bots benutzt wird.
Sicher ist ein Schutz für eine Überflutung Deiner Mailbox, wenn Deine Adresse nicht sichtbar ist, für Dich ratsam. Aber ebenso wichtig wenn nicht viel wichtiger ist es, zu vermeiden, dass andere Leute mit Spammails überflutet werden, die von Deinem Server ausgehen.
Deswegen die Empfehlung, auf Version 3.14 zu updaten (upzudaten hört sich in der Tat komisch an *g*). Siechfred hat Dir nun eine Möglichkeit gezeigt, über $Config{'recipient'} die (aber dann nur eine) E-Mail-Adresse im Skript zu vermerken. Die andere Varianten über %recipient_alias (in der neuen FormMail-Version) erlaubt Dir mehrere Adressen anzugeben (dies ist aber nur für Dich interessant, wenn Du a) mehrere Empfänger für die Mails benötigst oder b) je nach Formular (das ist bei mir der Fall) eine andere Empfängeradresse brauchts).
Viele Grüße aus Frankfurt/Main,
Patrick--
_ - jenseits vom delirium - _
[link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
Nichts ist unmöglich? Doch!
Heute schon gegökt?-
Hi nochmal,
Bin grad An nem anderen terminal (auser Hause). Ich hab den original Mailer soweit hinbekommen, das er die Formulare einliest und als e-mail versendet. Ich habe repicients auf eine einzige e-mail eingestellt (datei im cbi-bin ordner und die rechte so wie empfohlen vergeben. Jetzt siet man zwar im Quelltext auf dem client meine Bestell e-mail (value="meine mail", aber man kann keine andere e-mail dort einsetzten, weil sonst mein Mormmailer fehler meldet. Somit ist jetzt schluss mit spamming. Also kann man sehr wohl das "hidden" in verbindung mit value nutzen, wenn man sein Mailprogramm.pl sagt, das nur an diese eine adresse verschickt werden darf.
So i've made it with your help !
Danke nochmals.
Es gibt noch ein paar kleinigkeiten:
Ich würd gerne eine eigene Bestätigungsseite verwenden und nicht die Standartinfo "Thank you for filling this form."
und "this is what you submitted: blablabla"Aber das krieg ich sicher auch noch hin...
Danke Gary
-
Hallo gary!
Ich würd gerne eine eigene Bestätigungsseite verwenden und nicht die Standartinfo "Thank you for filling this form."
und "this is what you submitted: blablabla"Mit der neuen Version gibt es die Möglichkeit, folgendes anzugeben:
<input type="hidden" name="redirect" value="danke_seite.html">
Vielleicht war auch die Version 1.92 soweit.
Viele Grüße aus Frankfurt/Main,
Patrick--
_ - jenseits vom delirium - _
[link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
Nichts ist unmöglich? Doch!
Heute schon gegökt?-
Mit der neuen Version gibt es die Möglichkeit, folgendes anzugeben:
<input type="hidden" name="redirect" value="danke_seite.html">
Vielleicht war auch die Version 1.92 soweit.
Hi Patrick,
Der Tipp mit "redirect" war klasse. Funktioniert super. Also nur zur info: FormMailer V 1.92 kann deinen Befehl umsetzten. Falls nochmal so ein Rookie wie ich dannach gragen sollte...
Vielen Dank Gary
-
-
-
-
-
-
-
-
-
-
Hallo gary!
Es macht wirklich keinen Spaß, wenn Du ständig neue Threads aufmacht. Ich lese nun mal in der Regel von unten nach oben und hätte mir meine Antwort dort sparen können (sind immerhin 10mn Tipperei gewesen), wenn ich gewußt hätte, dass es hier erneut um Deine Fragen zu FormMail.pl geht.
Siechfred und ich komme auf jeden Fall zum selben Schluß: Update auf Version 3.14!
Viele Grüße aus Frankfurt/Main,
Patrick--
_ - jenseits vom delirium - _
[link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
Nichts ist unmöglich? Doch!
Heute schon gegökt?-
Hallo Siechfrid und Patrick,
es tut mir wirklich leid. ich hab in meinem ursprünglichen Thread deine Antwort nicht gesehen. Ich war kurz weg und hab meinen Browser geschlossen. Dadurch waren nach dem neustart die Fragen und Antworten nicht mehr makiert, so das alles gleich aussieht. Und da ich so ein Riesenthread produziert habe, hab ich einfach nichts mehr gesehen.
Was ebenfalls schwierig ist, ist wenn jemand zwischenrein postet, da wird dann quasie die ganze chronologie zerstört und man weis , wenn man neu den Browser öffnet nicht mehr was neu ist und alt.
Also wirklich entschuldigung. Ich habs übersehen - ehrlich !
gruss gary
-
Hallo gary!
es tut mir wirklich leid. ich hab in meinem ursprünglichen Thread deine Antwort nicht gesehen.
Konntest Du ja nicht, diesen Thread hast du schon gestern abend eröffnet, meine Antwort im alten ist aber von heute morgen ;)
Ich wollte damit sagen, dass es überflüssig war, diesen Thread zu öffnen, da im alten hätte weiter diskutiert werden können.
Aber OK. Zu Deinen Fragen ist nun schon genug gesagt worden, ich denke, um auf Nr. Sicher zu gehen, kommst Du um ein Update nicht drum herum.
Viele Grüße aus Frankfurt/Main,
Patrick--
_ - jenseits vom delirium - _
[link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
Nichts ist unmöglich? Doch!
Heute schon gegökt?
-
-