Tophost

[Diavolo_Rosso]

per quanto riguarda la non fruibilità dei form, io ho risolto sulla mia tagboard impostando il div che la contiene con display:none; e trasformandolo tramite un javascript collegato a un link cosi da costringere l'utente a cliccare sul link per far visualizzare il blocco e poter postare (un pò come avviene con gli spoiler su forumfree)

Qui non sono sicuro al 100% ma credo che la tua soluzione non sia molto sicura...

Hai presente quei programmini che spediscono la posta dai siti di tiscali, telecom ecc ecc... Non fanno altro che simulare il click sui bottoni delle pagine. Se tu hai il form nascosto visualizzabile tramite un click si potrebbe applicare lo stesso sistema e spedire email all'inverosimile.

Comunque ripeto sono andato un po' a naso...

vabbè...il mio non è il caso di un form mail....cmq vedrò....proverò un altro sistema tra quelli proposti qui in giro

[Onorem]

Per i form autocostruiti è inutile che fissi il destinatario quando è possibile iniettare intestazioni dal campo from. La validazione degli input dell'utente è cosa basilare. Ciao  

[luigi.amorfini]

scusate, sono arrivato in ritardo per caso avete risolto questa cosa delle mail?.

io vi do una mano , proteste farci usare i provider della nostra posta personale con l'smpt di tiscali o alice o etc... , invece di usare l'smpt del sito...

può essere un'idea?.

ciao.  :ciao:  

[luigi.amorfini]

scusate, sono arrivato in ritardo per caso avete risolto questa cosa delle mail?.

io vi do una mano , proteste farci usare i provider della nostra posta personale con l'smpt di tiscali o alice o etc... , invece di usare l'smpt del sito...

può essere un'idea?.

ciao.  :ciao:

scusate ho sbagliato ad scrivere : smpt invece di : (SMTP)  

[Tophost]

Abbiamo trovato delle ruleset per mod_security (che noi usiamo) proprio
per combattere questo tipo di problema in maniera indiretta. Proviamo ad installarle per vedere come performano.

Comunque sarebbe una buona pratica impedire che le form sia fruibili dai bot e tenere presente sempre il problema dell'inclusione di url da parte di script php nati per includere file (e' la tecnica usata nel 99% dei casi).

Dopo pochi giorni dalla messa su strada delle ruleset abbiamo constatato che per ora non si lamenta nessuno per falsi positivi e questo e' gia' un successo.

Al momento segnaliamo che qualche php-spammer e' stato bloccato.

[doGmaI]

Ma non è possibile per i server che spediscono la posta modificare i dati della mail inserendo IP reale e casella del mittente?

Nel senso che spesso gli spammer hanno la bella idea di "cambiare" il campo FROM della mail (alcuni si spingono oltre falsificando anche l'IP)
Mi chiedo a questo punto se il mail agent che spedisce la posta non possa forzare l'indirizzo IP reale o quantomeno l'indirizzo di posta. In questo modo si potrebbe per lo meno bloccare un indirizzo email o segnalare con certezza che indirizzo email spedisce spam

Non potrebbe essere un'idea?

[luigi.amorfini]

Abbiamo trovato delle ruleset per mod_security (che noi usiamo) proprio
per combattere questo tipo di problema in maniera indiretta. Proviamo ad installarle per vedere come performano.

Comunque sarebbe una buona pratica impedire che le form sia fruibili dai bot e tenere presente sempre il problema dell'inclusione di url da parte di script php nati per includere file (e' la tecnica usata nel 99% dei casi).

Dopo pochi giorni dalla messa su strada delle ruleset abbiamo constatato che per ora non si lamenta nessuno per falsi positivi e questo e' gia' un successo.

Al momento segnaliamo che qualche php-spammer e' stato bloccato.

ciao, ho trovato su internet questa dichiarazione:

<?php
ini_set('SMTP','Tuo provider smtp');
?>

Si protebbe ogni script di invio mail la definizione smtp.
senza usare i vostri server ma i server di posta di tiscali , etc...
Cosi, non ci sarranno più problemi , penso...

L'ho trovata su internet però in un forum che mela passata un mio amico (sul forum).
Però non sono sicuro se funziona...

Ciao, e saluti.  :ciao:  :ciao:  

[Diavolo_Rosso]

Ma non è possibile per i server che spediscono la posta modificare i dati della mail inserendo IP reale e casella del mittente?

Nel senso che spesso gli spammer hanno la bella idea di "cambiare" il campo FROM della mail (alcuni si spingono oltre falsificando anche l'IP)
Mi chiedo a questo punto se il mail agent che spedisce la posta non possa forzare l'indirizzo IP reale o quantomeno l'indirizzo di posta. In questo modo si potrebbe per lo meno bloccare un indirizzo email o segnalare con certezza che indirizzo email spedisce spam

Non potrebbe essere un'idea?

se usano i form di invio mail, non si ha nessuna info su chi le manda se non l'ip, ma penso proprio che se qualcuno ha intenzione di infrangere la legge lo fa utilizzando dei proxy, e non direttamente dal proprio pc. ergo....totale anonimita dello spammer.

[ercoppa]

puo creare problemi questo script:
[CODE]
<?php


$nome =$_POST['nome'];
$email =$_POST['email'];
$testo =$_POST['testo'];
$corpo = "
Da : ".$nome."
E-mail : ".$email."
Testo : ".$testo;


//al posto di tua mail potete mettere + di una mail
mail("miaemail@imbuto.com", "Hai ricevuto un email da un visitatore del tuo sito",$corpo );

//se volete inviare una mail di conferma all'utente attivate l'opzione levando // prima di mail e personalizate il testo'
mail("$email", "Conferma email mandata dal sito ercoppa.org","Ti ringrazio per avermi contatattato ti rispondero appena possibile" );

echo "E-mail inviata con successo!!";


?>

[doGmaI]

Se lo script è tutto qui e non ci sono altri controlli in giro allora si.
Al posto di $email come hai detto tu puoi mettere + indirizzi
E' facile fare spam.
Immaginati che io vengo li e mando una mail inserendo in $email indirizzi anche di persone che non sanno niente di niente di quello che sto facendo... Riceverebbero come minimo tutti una mail che conferma la ricezione di una mail che non hanno mai spedito

[ercoppa]

disabilito la risposta automatica allora.  :rolleyes:  

[luigi.amorfini]

disabilito la risposta automatica allora.  :rolleyes:

io, metterei una email di convalida al'utente oppure il blocaggio di tot ore prima che riscriva il messaggio.

[luigi.amorfini]

io, per il blocaggio in tendo l'hoster delle email  es*@tiscali.it , esem*@alice.etc + con l'ip del cliente.
però non lo so se si può fare.