Shariff Wrapper opens site to spammers: "?view=mail" always available

  • Resolved nachtigall

    (@nachtigall)


    9 years, 6 months ago

    I deliberately did not activate the “mail” option but I do only use “mailto”. The reason is simply that with “mail” it is just a matter of time that all kinds of spammers will use the mail form to send out there Spam mails.

    I had this already on another website and once the spammers get to know about this, then it only takes a few hours and peng: Suddenly, they send out thousands mails within a very quick time… And then your whole mail domain gets blacklisted by spam protection. Very bad, especially in my case where I use the mailing to send out mails to customers…

    So, as I said, I disabled the “mail” option. BUT: The form is still there, the spammers just need to append “?view=mail” to the URL and then they can easily send out mail! Can you please make sure that the form and also the server side data handling part is really only activated when the “mail” option is set? With “server side data handling” I mean that it is not enough to hide the form, a client must not be able to sent data in order to perform an email (otherwise spammers could just sent out mail by using “curl”).

    https://www.ads-software.com/plugins/shariff/

Viewing 2 replies - 1 through 2 (of 2 total)
  • Plugin Author 3UU

    (@3uu)

    Version 2.2.2 behebt das “Problem”.

    Ganz so schlimm ist es aber gar nicht. Das Plugin hat von Anfang an einen “leaked bucket” ( https://de.wikipedia.org/wiki/Leaky-Bucket-Algorithmus ) eingebaut. Das macht es fuer Spamer uninteressant und verhindert durch die Begrenzung auch, dass Dein Server geblacklistet wird. Grenzwert ist nen Erfahrungswert aus aus aktuell gut 25 Mio Emails, die ich so jaehrlich ueber meine Systeme versende ?? Aber Du hast Recht, dass ein clever gesteuerter Angriff per DDoS diesen Grenzwert umgehen kennte. Auch wenn der Aufwand fuer einen Spamer es sicher uninteressant machen wuerde. Aber man weiss ja nie, ob nicht doch mal einer drunter ist, der nicht wirtschaftlich denken kann. Aber sogar dann wuerden natuerlich die Limits Deines Mailservers zuschlagen. Falls die nicht gesetzt sind und/oder Du sie nicht setzen kannst, bringt das Plugin jetzt nun nen Blocker mit, dass die Formular-Funktionalitaet nur verfuegbar macht, wenn diese allgemein im Admin-Menu gesetzt sein muss.

    Thread Starter nachtigall

    (@nachtigall)

    Aber sogar dann wuerden natuerlich die Limits Deines Mailservers zuschlagen.

    Naja, genau das w?re aber eine Katastrophe für mich, weil dann die wichtigen Mails nicht mehr rausgingen ?? Rechnungen, Bestellmails, Notifications…

Viewing 2 replies - 1 through 2 (of 2 total)
  • The topic ‘Shariff Wrapper opens site to spammers: "?view=mail" always available’ is closed to new replies.