Spammer-Szenario via "Link per email senden"

  • Seit geraumer Zeit beobachten wir ein neues Spammer-Szenario, welches die Funktion "Link per Email an einen Freund senden" benutzt.

    Typische URL ist exaple.com/component/mailto/?tmpl=component&template=xxx&link=xxx


    Bei den Standard-Kontaktformularen gibt es ja eine Spam-Schwachstelle wenn "Kopie der Email erhalten" aktiv ist und die Formulare sind auch aufrufbar, wenn sie gar nicht verlinkt sind. Wie man das löst ist mir klar,

    Bin aktuell gerade nicht auf dem Laufenden bezüglich dieser Funktion mir dem oben genannten Szenario. Wie kann man diese Schwachstelle global so abschalten, das sie nicht mehr funktioniert?

  • Ich habe mir das gerade noch mal angesehen. Man kann das kleine Email-Icon rechts oben bei einem Beitrag durch Deaktivieren der entsprechenden Option beim Beitrag bzw. auch global deaktivieren. Dann wird es nicht mehr angezeigt.

    ABER: Die Funktion ist dennoch aufrufbar. Also derselbe Mist wie bei dem Spam-Programm über eigentlich nicht sichtbare Kontaktformulare :-(

    Ein Captcha kann man einbinden, aber leider sind viele Captchas schnell hackbar und auch das Google ReCaptcha ist schon aus Datenschutzgründen keine wirklich gute Lösung. Warum (zum Teufel) kann man solche Funktionen nicht vollständig abschaltbar machen? Spamming ist heutzutage leider ein riesen Ärgernis. Wir haben als Provider fast täglich mit Blacklistings genau wegen solcher Funktionen zu tun. Das nervt aber so was von...


    Tom: Nach einem Plugin habe ich auch Ausschau gehalten, aber bin nicht fündig geworden. Falls das darüber geht, wäre ich dankbar für eine Info mit Angabe des konkreten Plugins.

  • Bin aktuell gerade nicht auf dem Laufenden bezüglich dieser Funktion mir dem oben genannten Szenario. Wie kann man diese Schwachstelle global so abschalten, das sie nicht mehr funktioniert?

    Hey Uwe, ich habe doch bereits 2018 auf deinen Wunsch den Schutz dieses Formulars in ECC+ umgesetzt. Die Option heißt "Mail an einen Freund - Artikelkomponente" in den Einstellungen.


    Warum (zum Teufel) kann man solche Funktionen nicht vollständig abschaltbar machen? Spamming ist heutzutage leider ein riesen Ärgernis. Wir haben als Provider fast täglich mit Blacklistings genau wegen solcher Funktionen zu tun. Das nervt aber so was von...

    Ich verstehe deinen Frust, aber Joomla! ist ein Open-Source Projekt, das vom Engagement der Benutzer lebt. Aufregen bringt hier nicht viel, besser wäre eine aktive Teilnahme. Macht doch einen Pull Request gegen das öffentliche GitHub Repository oder finde jemanden, der das lösen kann (eine mögliche Lösung habe ich unten angefügt).


    Es ist relativ einfach zu lösen. Man kann die Option für die Anfrage des E-Mail Icons abfragen und den Aufruf komplett unterbinden. Hier ist ein Beispiel, wie man die Mailto-Komponente komplett deaktiviert, damit überhaupt keine E-Mails mehr versendet werden können.


    Öffne: components/com_mailto/mailto.php


    Suche:

    Code
    defined('_JEXEC') or die;

    Ersetze mit:

    Das war's schon! Ein direkter Aufruft der Mailto-Komponente wird dann immer diesen Fehler werfen, wenn die Option deaktiviert ist:



    Gruß

  • Danke für die Infos Volkmar und Viktor, speziell auch für den Hinweis das ECC+ hier eine spezielle Option anbietet. Sorry Viktor, hätte ich eigentlich wissen müssen, da ich Dein Produkt ja schon seit langer aktiv empfehle. Muss mir das noch mal ansehen, damit ich betroffene Kunde hier besser unterstützen kann. Werde auch unsere FAQ anpassen.

    Bin in den letzten Monaten kaum noch dazu gekommen, mich intensiver mit internen Funktionen von Joomla und diversen Erweiterungen zu beschäftigen, weil das Business einfach zu viel Zeit verschlingt. Auch J4 habe ich mir ehrlicherweise nur ganz zu Beginn bei den ersten Veröffentlichungen mal angesehen. Muss wohl ein wenig mehr mit Joomla machen und mich auch wieder stärker in die Community einbringen - aber der Tag hat nur 24 h.