Kontaktformular mit Bestätigungsmail?

[Tommy Herrmann]

ja klar, aber was ich gerade nicht verstehe ist doch, dass im Script "mailscript.php" ja die Lösung vom Captcha, das im Formular via JavaScript geschrieben wird, überprüft wird.

Wie ist es dann möglich diese Lösung zu umgehen?

https://www.mobirise-tutorials.com/Kont ... orial.html

Code: Alles auswählen

// Optionaler Captcha Spamschutz von Tommy vom 07.10.2024
session_start(); // Startet oder übernimmt die Session

if ($_SERVER["REQUEST_METHOD"] == "POST") {
  $captchaUserInput = $_POST['captcha'];
  $captchaCorrectResult = $_SESSION['captcha_result'];

  // Optional: Speichere die Benutzereingabe zur Ausgabe auf anderer Seite
  $_SESSION['captcha_user_input'] = $captchaUserInput;

  // Debugging: Ausgabe der Werte zur Überprüfung
  // echo "Eingabe: " . $captchaUserInput . "<br>";
  // echo "Erwartetes Ergebnis: " . $captchaCorrectResult . "<br>";

  // Überprüfe das Captcha
  if (intval($captchaUserInput) === intval($captchaCorrectResult)) {
    // Debugging: Werte vergleichen - richtig
    // Captcha korrekt - Hier weiter mit dem Senden der Mail
    // echo "Nachricht wurde erfolgreich verschickt!";
    
  } else {
    
    // Debugging: Werte vergleichen - falsch
    // Captcha falsch - Fehlermeldung anzeigen und Link zurück zur Seite
    // echo "Das Captcha wurde falsch beantwortet. Bitte versuche es erneut.<br>";
    // echo '<a href="Mail-Senden.php">Zurück zum Formular</a>';
    
    // Umleitung auf erstellte Fehlerseite und Abbruch vom Script
    header("Location: " . "Kontakt-Captcha.php");
    exit;
  }
} 

[Klaus]

Müsste ich mir mal angucken, kannte ich bisher nicht ... hast Du das selber neu gemacht?

Entweder Fehler im Skript so dass das immer oder unter bestimmten Umständen "durchkommt" oder das Captcha ist so einfach dass es SPAM Bots problemlos auslesen können.

Ich guck später mal ...

Ich glaube das Formular hat das Problem dass es wenn es 1 mal gelöst wurde in der gleichen Session immer wieder gesendet werden kann.

Guck mal in Dein Postfach ich hab das jetzt so gute 15 mal abgesendet mit keinen Inhalt ...

[Tommy Herrmann]

Hat die KI "ChatGPT" für mich entwickelt.

Klaus,

ich habe das soeben im Hersteller-Forum gemeldet und zuvor auch selbst nochmals getestet, in der Hoffnung, dass der Support das morgen lesen wird:

https://forums.mobirise.com/discussion/ ... ptcha-keys

[Volker]

oder ganz einfach curl und da gilt nix.

Ist curl nicht Standardmäßig deaktiviert ?

In meiner PHP.ini ist das Ding aus - braucht eh keiner

[Tommy Herrmann]

Kann erst morgen wieder reagieren, da ich jetzt noch eingeladen bin.

[Volker]

Klaus,

kannst Du meins auch mal testen ?

https://niederastroth.de/Mail/

Bin gespannt ob da auch 15 Mails ohne Inhalt kommen.

Danke

[Klaus]

Hast noch ne IP Sperre drinnen, oder?

[Volker]

Ja ist drin,
aber wie ich sehe nutzt das auch alles nix

Wie geht das mit SOAP UI ? Bin zu blöd das zu testen

Aber leer sind die Mails nicht

mailspam.png (7.57 KiB) 6969 mal betrachtet

Habe 8 Mails bekommen

[Klaus]

Ich war noch bei der "Vorbereitung" im Browser selber und hab erst mal nur geguckt wie das Formular "tickt".

(Leer könnte ich es nur dann machen wenn das in der mail.php nicht geprüft würde und das wird es anscheinend.)

Dabei hab ich halt per Klick jedes mal die IP gewechselt.
Das enthaltene VPN ist der einzige Grund warum ich den 10er jedes Jahr noch für die MCA TP ausgebe ... damit ich meine FW Einstellungen testen kann. ;-)

Ich denke die Zeile mit dem der Rechenaufgabe ist gut automatisch auslesbar und lösbar.
Die IP Sperre nervt da schon mehr wobei große Bots wohl über ausreichend IPs verfügen dürften ...
Kommt dann noch ne "Tagessperre" (max. Anzahl) dazu sollte Ruhe sein ... blöd ist dabei halt immer dass Kunden auch nicht mehr durchkommen wenn der Bot schon alles verbraucht hat.

Ist halt auch die Frage ob es immer ne Mail sein muss oder ob es nicht besser wäre die Kontaktanfragen in eine Datei oder DB zu Speichern und dann per Frontend einen Zugriff auf jeden Eintrag zu ermöglichen.
Da müsste ein fixes Filtern nach SAPM einfach sein ...

[Volker]

Das mit DB gibts ja von PHP Jabbers.
Hab ich testweise mal hier laufen

https://niederastroth.de/kontakt1/

Aber wie können wir den das mailscript hier sicherer machen ? da fällt mir nix mehr ein. OK die Rechenaufgabe war auch nur mal ein Versuch

https://niederastroth.de/form/index.php ... ctionLogin
Hier kann sich der User einloggen und die Mails auch noch in der DB sehen, löschen usw.

[Klaus]

Vielleicht vorab ne IP Sperre und ne max. Anzahl Sperre und danach die reCAPTCHA v3 Prüfung.

Das reduziert die Kosten für die Captcha Prüfung, sperrt leider ggf. auch Kunden aus.
Wobei das beim Formoid auch so sein dürfte und da hängt noch Cloudflare vorne drann.

Kann aber gut sein dass Bots Formulare mit reCAPTCHA gar nicht erst angreifen weil sie eh nicht durchkommen.

Schon gesehen, Formoid verwendet, falls es keine "Fake News" sind noch n "x-powered-by PHP/5.4.12"

[Volker]

Ich werde mal das Rechen Captcha gegen Wörter austauschen
Ist vielleicht Sicherer und ich nehme tolle Wörter

https://niederastroth.de/Mail/

Nun fühl ich mich sicherer

[Klaus]

Brot + Zeit = Brotzeit oder Zeit * Zeit = Mahlzeit!? ;-)

Ich muss Tommy Skript noch mal ansehen aber wie geschrieben ich vermute dass man das X mal absendne kann wenn man 1 mal das Cahtch gelöst hat.

[Klaus]

Dein Spamschutz ist so einfach das bekomme ich ja sogar in der Shell hin, noch n sed und das zwischen dem strong auslesen und ins Feld einfügen, bzw. mit dem Post mitsenden ...

Code: Alles auswählen

$ curl -s https://www.niederastroth.de/Mail/index.php | grep -i Spamschutz
<h5 class="mbr-fonts-style display-5">Spamschutz:&nbsp; <strong>Rotationsmaschine </strong></h5>

[Volker]

Och Menno
Ich versuch was anderes Klaus

Jetzt hab ich die Wörter als Bild
Allerdings sieht es noch nicht gut aus, weil meine CSS Kenntnisse mal wieder nicht reichen

https://niederastroth.de/Mail/

Habs hin bekommen

So Klaus - jetzt Du

[vloppy]

Wo soll da der Unterschied zu einem normalen Captcha sein? Wort oder Zahlen oder Google Captcha werden fast alle geknackt. Ich habe über 40 Formulare im Einsatz die alle eine menschliche Frage stellen und eine menschliche Antwort brauchen und keines davon wurde gehäckt oder mißbraucht. Dazu brauchen die Formulare eine explizite Zustimmung zum Datenschutz und das scheint mir auch wichtig zu sein, da kein Spamboot das lesen kann, um dann ein Häckchen zur Zustimmung zu setzen - schöne Woche dä Vloppy, der seit letzter Woche sein Webdesign Kleinunternehmen einstellt hat.

[Tommy Herrmann]

Moin Vloppy,

aber das Häkchen kann der Spammer doch einfach setzen, ohne irgendetwas zu lesen

Das mit den Fragen ist meist ein guter Spamschutz, nur doof wenn man internationale User hat, die dann kein Deutsch können.

Na denn genieße Deinen Ruhestand. Hauptsache Du bleibst uns hier erhalten

[Tommy Herrmann]

@ Volker;

setze doch die class="cap" auf eine Pixelgröße, damit das nicht so verzerrt aussieht, also als Beispiel:

Code: Alles auswählen

.cap {
  height: 80px;
  width: 200px;
}

[Volker]

Danke Tommy,

ich weiß nie wann man % oder px oder rem oder was auch immer nimmt

Aber nun sind wir auch nicht Klüger als vorher was das Mailscript angeht. Egal ob SMTP oder PHP mail.
Wie kann man das Spambot sicher machen ? Oder geht das überhaupt nicht ?

Ich habe jetzt eine IP Sperre und ein Captcha drin. Leider bin ich auch zu doof das selber zu testen, da müsste Klaus nochmal ran. Oder mir (uns) mal erklären wie man sowas mit z.B. Soap UI testen kann.

[Tommy Herrmann]

… ich kann das leider auch nicht

Nur wenn man genau weiß, wie das mit dem Hack solcher Formulare geht, könnte man vielleicht auch etwas dagegen tun.

Schon die Tatsache, dass die Scripts eben öffentlich sind, macht einen Angriff natürlich viel leichter.

Klaus hat mir ja gestern auch 98 Mails innerhalb weniger Minuten geschickt, trotz Captcha.

Es kann also nur so sein, dass da ein Captcha generiert wird, er die Lösung kennt und dann die Dateien gar nicht mehr neu aufruft. So kann dann die Lösung direkt eingetragen werden.

Dann nutzt Dir überhaupt kein Captcha etwas, weder ein Rätsel noch ein Bild oder irgendwelche Buchstaben. Auch eine IP Sperre ist Quatsch, weil solche Spammer mit jeder Mail eine neue IP verwenden.

Google reCAPTCHA scheint einer der wenigen Möglichkeiten zu sein das zu unterbinden. Auch das ist beim "Arclab" Formular-Generator mit dabei und deren Scripts sind schon mal um einiges komplizierter zu knacken.