Spammer-Szenario via "Link per email senden"

flotte · 23. Februar 2021

Seit geraumer Zeit beobachten wir ein neues Spammer-Szenario, welches die Funktion "Link per Email an einen Freund senden" benutzt.

Typische URL ist exaple.com/component/mailto/?tmpl=component&template=xxx&link=xxx

Bei den Standard-Kontaktformularen gibt es ja eine Spam-Schwachstelle wenn "Kopie der Email erhalten" aktiv ist und die Formulare sind auch aufrufbar, wenn sie gar nicht verlinkt sind. Wie man das löst ist mir klar,

Bin aktuell gerade nicht auf dem Laufenden bezüglich dieser Funktion mir dem oben genannten Szenario. Wie kann man diese Schwachstelle global so abschalten, das sie nicht mehr funktioniert?

j!-n · 23. Februar 2021

Einen Schalter für die Funktion kenne ich auch nicht. Ich erschlage das mit ECC+. Ein Template-Override von com_mailto ist auch denkbar.

kitepascal · 23. Februar 2021

Mails können doch ohne den Link Parameter, der gegengeprüft wird, nicht versendet werden?

Indigo66 · 23. Februar 2021

Ich kenne den mailto: aus frühren Installationen (1.5?) und Link bzw. URL an Freund senden. Glaube das gibt es unter J!1.3 gar nicht mehr. In 1.5 konnte man das abstellen (Plugin).

flotte · 23. Februar 2021

Ich habe mir das gerade noch mal angesehen. Man kann das kleine Email-Icon rechts oben bei einem Beitrag durch Deaktivieren der entsprechenden Option beim Beitrag bzw. auch global deaktivieren. Dann wird es nicht mehr angezeigt.

ABER: Die Funktion ist dennoch aufrufbar. Also derselbe Mist wie bei dem Spam-Programm über eigentlich nicht sichtbare Kontaktformulare

Ein Captcha kann man einbinden, aber leider sind viele Captchas schnell hackbar und auch das Google ReCaptcha ist schon aus Datenschutzgründen keine wirklich gute Lösung. Warum (zum Teufel) kann man solche Funktionen nicht vollständig abschaltbar machen? Spamming ist heutzutage leider ein riesen Ärgernis. Wir haben als Provider fast täglich mit Blacklistings genau wegen solcher Funktionen zu tun. Das nervt aber so was von...

Tom: Nach einem Plugin habe ich auch Ausschau gehalten, aber bin nicht fündig geworden. Falls das darüber geht, wäre ich dankbar für eine Info mit Angabe des konkreten Plugins.

Kubik-Rubik · 23. Februar 2021

Zitat von flotte

Bin aktuell gerade nicht auf dem Laufenden bezüglich dieser Funktion mir dem oben genannten Szenario. Wie kann man diese Schwachstelle global so abschalten, das sie nicht mehr funktioniert?

Hey Uwe, ich habe doch bereits 2018 auf deinen Wunsch den Schutz dieses Formulars in ECC+ umgesetzt. Die Option heißt "Mail an einen Freund - Artikelkomponente" in den Einstellungen.

Zitat von flotte

Warum (zum Teufel) kann man solche Funktionen nicht vollständig abschaltbar machen? Spamming ist heutzutage leider ein riesen Ärgernis. Wir haben als Provider fast täglich mit Blacklistings genau wegen solcher Funktionen zu tun. Das nervt aber so was von...

Ich verstehe deinen Frust, aber Joomla! ist ein Open-Source Projekt, das vom Engagement der Benutzer lebt. Aufregen bringt hier nicht viel, besser wäre eine aktive Teilnahme. Macht doch einen Pull Request gegen das öffentliche GitHub Repository oder finde jemanden, der das lösen kann (eine mögliche Lösung habe ich unten angefügt).

Es ist relativ einfach zu lösen. Man kann die Option für die Anfrage des E-Mail Icons abfragen und den Aufruf komplett unterbinden. Hier ist ein Beispiel, wie man die Mailto-Komponente komplett deaktiviert, damit überhaupt keine E-Mails mehr versendet werden können.

Öffne: components/com_mailto/mailto.php

Suche:

Code

defined('_JEXEC') or die;

Ersetze mit:

Code

use Joomla\CMS\Access\Exception\NotAllowed;
use Joomla\CMS\Component\ComponentHelper;
use Joomla\CMS\Language\Text;

defined('_JEXEC') || die();

$paramsContent = ComponentHelper::getParams('com_content');

if ((int)$paramsContent->get('show_email_icon') !== 1) {
    throw new NotAllowed(Text::_('JERROR_ALERTNOAUTHOR'), 403);
}

Alles anzeigen

Das war's schon! Ein direkter Aufruft der Mailto-Komponente wird dann immer diesen Fehler werfen, wenn die Option deaktiviert ist:

Gruß

Re:Later · 23. Februar 2021

Nur nebenbei: In J4 ist com_mailto, Mail an Freund, entfernt worden.

flotte · 24. Februar 2021

Danke für die Infos Volkmar und Viktor, speziell auch für den Hinweis das ECC+ hier eine spezielle Option anbietet. Sorry Viktor, hätte ich eigentlich wissen müssen, da ich Dein Produkt ja schon seit langer aktiv empfehle. Muss mir das noch mal ansehen, damit ich betroffene Kunde hier besser unterstützen kann. Werde auch unsere FAQ anpassen.

Bin in den letzten Monaten kaum noch dazu gekommen, mich intensiver mit internen Funktionen von Joomla und diversen Erweiterungen zu beschäftigen, weil das Business einfach zu viel Zeit verschlingt. Auch J4 habe ich mir ehrlicherweise nur ganz zu Beginn bei den ersten Veröffentlichungen mal angesehen. Muss wohl ein wenig mehr mit Joomla machen und mich auch wieder stärker in die Community einbringen - aber der Tag hat nur 24 h.

Tags