Wissensdatenbank

Webseiten mit einem (Kontakt- oder Feedback-) Formular, das eine E-Mail sendet, werden von Spammern schnell gefunden. Anschliessend suchen Sie nach einer Sicherheitslücke: Viele Kontaktformulare prüfen nicht, ob in bestimmten Feldern ein Zeilenumbruch vorhanden ist. Insbesondere betrifft dies das Feld, in dem die E-Mail-Adresse des Absenders eingetragen werden muss.

Vorgehensweise

Wir greifen auf jeden Fall anschliessend ein, indem wir die Kopfzeilen der PHP-Funktion mail() auf Zeilenumbrüche prüfen. Sie müssen aber:

• Ihre Mailversand-Skripte schützen, indem Sie ein Captcha-System einfü hren oder die Empfänger ausdrücklich einschränken.
• Beim E-Mail-Versand über den PHP-Befehl mail() sicherstellen, dass die Argumente vor der Verwendung validiert wurden. Die erhaltenen Werte eines Formulars müssen geprüft werden, bevor sie durch die Funktion mail() verwendet werden.
• Eventuelle Zeilenumbrüche in allen Feldern, die normalerweise eine E-Mail-Adresse enthalten (diese Felder heissen meistens $email, $sender oder $from):

$EMAIL = str_replace("\n","", str_replace("\r", "", $EMAIL));

Weitere Informationen

Spammer nutzen meistens Skripte aus, die so aussehen:

$MESSAGE = $_POST[msg];
$RECIPIENT ="webmaster@ihredomain.com";
$SUBJECT = "Kontaktformular";
$EMAIL = $_POST[email];

// Ohne diese Zeile ist Ihr Skript nichtgeschützt!!!!
$EMAIL = str_replace("\n", "", str_replace("\r", "", $EMAIL));

mail($RECIPIENT, $SUBJECT, $MESSAGE, "From:$EMAIL");