Versand einer Bestätigungs E-Mail

[alexander_ro]

Hi, Mädels und Jungs ...

ich bin gerade dabei mir ein HTML-Formular zu bauen über das man Nachrichten zu mir senden kann. Ich möchte dem Internet User eine Bestätigung an seine Mail Adresse zusenden die den Text seiner Nachricht und andere Informationen enthält. Damit das Formular aber nicht zum Spam versenden benutzt werden kann und mir etwas die Erfahrung zur Prüfung von Mail Adressen fehlt wäre ich für Tipps/Links auf was ich achten muss dankbar. Es geht mir nur darum eventuellen Spam Versand zu verhindern nicht darum die Richtigkeit der Mail Adresse festzustellen.

Bei meiner bisherigen Suche bin ich nur auf verweise zu diversen Frameworks gestoßen die mir aber nicht viel nützen weil das Projekt in C++ Programmiert ist.

Grüße
Alexander

[Emess]

Wenn das Formular im Internet stehen soll, müsstest du schon php und mysql bemühen.
Wenn du damit nicht vertraut bist geht das nicht so nebenbei.

[alexander_ro]

Ja das soll im Internet stehen.

Was kann PHP das C++ nicht kann?

Wozu brauch ich die Datenbank um den SPAM Versand zu verhindern?

[Emess]

Was kann PHP das C++ nicht kann?

Da ich mit der Sache nur insofern vertraut bin, weil ich mal ein Kontaktformular erstellt habe, kann ich dir das so nicht sagen.

Wozu brauch ich die Datenbank um den SPAM Versand zu verhindern?

Ich würde sagen, weil da hinterlegt werden kann ob es sich um bekannte Absender handelt.

Ob man dein Vorhaben aber wirklich so realisieren kann weiß ich nicht.
Bin aber gespannt was es für Möglichkeiten gibt!

[mindX]

Kann durchaus sein, dass ich die Fragestellung nicht richtig verstanden habe, aber mir fiel spontan "Captcha" ein.

http://de.wikipedia.org/wiki/Captcha
http://www.google.com/recaptcha
https://developers.google.com/recaptcha ... y?hl=de-DE

[Draal]

Hallo alexander_ro,

derzeit lassen sich Spambots sehr gut durch Captcha stoppen. Das heisst, vor dem Uebergeben eines Formulares muss der Besucher meist eine Zahlenkombination eingeben, die er von einer zufaellig dargestellten Grafik ablesen muss.
Spambots koennen diese Grafik im normalerweise nicht lesen.
Im Allgemeinen ist so ein Formular in php gehalten.
Eine Datenbank allerdings zum Erkennen von Spambots halte ich allerdings fuer etwas opulent.

viele Gruesse

Draal

[alexander_ro]

Die Prüfung ist zwingend notwendig wenn man automatisch eine Bestätigungs Mail vewrsenden will. Auf die offensichtlichen Merkmale einer Mail Adresse zu prüfen wäre ja nicht so schwer. Was ich nicht weiß ist welche Formen der Zeichencodierung HTML oder Mailserver verstehen mit denen man die Prüfung umgehen kann.

Sowas zum Beispiel: &xxx; #nnn; usw. eine schlichte Prüfung auf das Zeichen würde es nicht erkennen.

Mit der eigenen Datenbank abgleichen ist leider nicht möglich ich kenne ja nicht unbedingt die Adresse von dem der mir was zusenden will.

Es geht eigentlich nur darum zu verhindern das jemand über dieses Mail Adress Feld meinem Mailserver eine Adressliste unterschiebt.

[Draal]

Hallo alexander_ro,

Die Prüfung ist zwingend notwendig wenn man automatisch eine Bestätigungs Mail vewrsenden will.

nein, ist es eigentlich nicht. Ein in php gehaltenes Formular schickt Dir ueber die sendmail Funktion, oder auch eine andere, eine E Mail zu. Wieso sollte es das nicht bei einer korrekt eingegebenen E Mail Adresse des jenigen, der Dich anschreibt, koennen?
Ich hatte vor etlichen Jahren mal so ein script auf einer HP im Einsatz.

viele Gruesse

Draal

[alexander_ro]

Ein in php gehaltenes Formular schickt Dir ueber die sendmail Funktion, oder auch eine andere, eine E Mail zu.

Doch die Prüfung ist nötig. Wenn Du die Eingabe aus dem HTML-Formular einfach an die "sendmail" Funktion übergibst. Kann ich mit einem Aufruf des Formulars hunderte SPAM Mails versenden. Da lohnt sich evtl. sogar die manuelle Eingabe des Captcha. Die PHP Funktion nimmt auch eine Liste an Mailempfängern entgegen.

Siehe PHP-Doku:
http://php.net/manual/de/function.mail.php

[Draal]

Hallo alexander_ro,

Doch die Prüfung ist nötig. Wenn Du die Eingabe aus dem HTML-Formular einfach an die "sendmail" Funktion übergibst. Kann ich mit einem Aufruf des Formulars hunderte SPAM Mails versenden. Da lohnt sich evtl. sogar die manuelle Eingabe des Captcha.

Bei einem halbwegs sinnvollen Skript ginge das eigentlich nur, indem man Dich mit der Angabe vieler Absender E Mail Adressen anschreibt. Indes glaube ich kaum, dass sich da die manuelle Eingabe der Captcha Herausforderung fuer jeweils eine Mail lohnt.

Die PHP Funktion nimmt auch eine Liste an Mailempfängern entgegen.

Ja, aber nur, wenn man das im Script zulaesst. Ich, fuer meinen Teil, wuerde meine E Mail Adresse im Script festschreiben und so wuerde sie fuer den Absender gar nicht erst sichtbar.
Die einzige Schwachstelle sehe ich eigentlich nur, dass man aus dem Quelltext der Bestaetigungs E Mail den Standort des smtp Servers herausfinden kann.
Ich arbeite schon einige Zeit mit Webpraesenzen, aber Spam war eigentlich nie wirklich ein Problem.

viele Gruesse

Draal

[alexander_ro]

Ja, aber nur, wenn man das im Script zulaesst.

Deshalb meine Frage hier ... wie man das verhindert.

Ich, fuer meinen Teil, wuerde meine E Mail Adresse im Script festschreiben und so wuerde sie fuer den Absender gar nicht erst sichtbar.

Es geht ja nicht um meine Mailadresse. Ich muss mir keine Bestätigung zusenden. Es geht um die Mailadresse die der User am HTML-Formular eingibt und an die ich die Bestätigung senden will. Ohne Prüfung kann der beliebiges eingeben so eben auch eine Liste mit Mailadressen.

Ich arbeite schon einige Zeit mit Webpraesenzen, aber Spam war eigentlich nie wirklich ein Problem.

Kann ja sein das Deine Lösung Kugelsicher ist, mir fehlt die aber noch . Wenn Du aber keine Prüfung hast war das reiner Zufall.

Grüße
Alexander

<Edit>
Hier habe ich was gefunden das in die Richtung geht:
http://www.php.de/php-tipps-2008/47203- ... merke.html
Das hier gezeigte Script hat meiner Meinung nach auf jeden Fall eine Lücke. Werden die Zeichen die per RegEx gefiltert werden mit HTML-Entities Codiert findet die das Script nicht mehr.

http://forum.de.selfhtml.org/archiv/2006/6/t131443/
</Edit>

[novalix]

Hi,

wenn Du wirklich sinnvoll prüfen willst, ob die vom User im Formularfeld eingetragene Mailadresse zu dem entsprechenden User gehört, kommst Du um eine verbindliche Registrierung nicht herum.
Falls Registrierung keine Option ist, kannst Du lediglich prüfen, ob der eingetragene Wert syntaktisch eine gültige Mailadresse ist und dafür sorgen, dass alles was darüber hinausgeht (z.B. eine Liste von Mailadressen) verworfen wird.

Du willst ja zwei Mails versenden.
Die erste vom User generierte an Dich. Ich gehe davon aus, dass der User hier Einfluss auf den Body der Mail nehmen soll.
Die zweite soll eine reine Bestätigungsmail mit fest vorgegebenen Content sein, in welchem lediglich die vorher vom User erstellte Variable "Mailadresse" und ggf. "Name" eingefügt werden. Spammer haben üblicherweise wenig Interesse einzelne Mails mit feststehenden von ihnen nicht beeinflussbaren Content durch die Gegend zu senden.

Zur Feldeingabeprüfung stehen Dir prinzipiell zwei Wege zur Verfügung:

1. Serverseitig
Nimm, was Dir am besten in den Kram passt. C++ über CGI, Perl, Brainfuck, ... meinetwegen auch PHP.

2. Clientseitig
Javascript

Code dazu solltest Du im Netz jede Menge finden können.

Groetjes, niels

Edit: "n"

[alexander_ro]

wenn Du wirklich sinnvoll prüfen willst, ob die vom User im Formularfeld eingetragene Mailadresse zu dem entsprechenden User gehört,

Nein will ich nicht weil das so nicht geht. Es geht mir lediglich darum SPAM versand zu verhindern. Gibt der User eine falsche Mailadresse an bekommt der die Nachricht nicht.

Falls Registrierung keine Option ist, kannst Du lediglich prüfen, ob der eingetragene Wert syntaktisch eine gültige Mailadresse ist und dafür sorgen, dass alles was darüber hinausgeht (z.B. eine Liste von Mailadressen) verworfen wird.

Genau darum gehts nur ist das nicht so einfach. Die beiden vorher genannten Links habe ich gerade erst gefunden. Da werden Teile der Probleme beschrieben.

Du willst ja zwei Mails versenden.

Nein nur eine an die Mailadresse die ich über das HTML-Formular erhalte. Die Mail enthält auch noch andere Texte aus dem Formular.

Die zweite soll eine reine Bestätigungsmail mit fest vorgegebenen Content sein, in welchem lediglich die vorher vom User erstellte Variable "Mailadresse" und ggf. "Name" eingefügt werden. Spammer haben üblicherweise wenig Interesse einzelne Mails mit feststehenden von ihnen nicht beeinflussbaren Content durch die Gegend zu senden.

Der Content ist nur Teilweise fest. Ein Teil stammt aus Eingaben die ich über das HTML-Formular erhalte. Es ist ein irrglaube das man ohne Prüfung über so ein Formular nur eine Mail versenden kann. Die Masse des SPAM wird derzeit über kaputte Formulare versendet.

2. Clientseitig

Ein Client seitige SPAM Verhinderung ist völlig Nutzlos weil man die ohne großen aufwand umgehen kann.

Code dazu solltest Du im Netz jede Menge finden können.

Bisher habe ich nichts gefunden das nach einer sicheren Methode aussah. Scheinbar hatte ich gestern immer mit den falschen Suchbegriffen gesucht. Die zwei oben verlinkten Seiten gehen ja schon in die Richtung besonders die aus dem Selfhtml Forum.

Grüße
Alexander

[Draal]

Hallo alexander_ro,

Ohne Prüfung kann der beliebiges eingeben so eben auch eine Liste mit Mailadressen.

Beliebiges nuetzt ihm aber wenig und eine Listeneingabe muss man natuerlich verhindern.

Kann ja sein das Deine Lösung Kugelsicher ist, mir fehlt die aber noch . Wenn Du aber keine Prüfung hast war das reiner Zufall.

Ob meine Loesungen kugelsicher sind, wage ich nicht zu behaupten. Indes habe ich die Erfahrung gemacht, dass Spambots an jedem von mir gesetzten Captcha scheiterten. Zumeist versuchten sie es aber in Gaestebuechern und Foren. Kontaktformulare wurden eher selten bemueht.
Und wenn ich in die Logfiles meines Apachen sehe, so sind die Anfragen von Spambots und Hackversuchen von erheblichem Umfang. An Zufall mag ich da nicht glauben.

viele Gruesse

Draal

[sys_op]

Hmmm

Du kannst
1. die Mailadresse zuerst mal auf Gültigkeit prüfen (mit der Funktion filter_var) und dann
2. ob der Mailadresse ein gültiger Mailserver gegenübersteht (DNS-Kontrolle) und
3. ein Captcha ist schon fast ein muss.

Am schönsten (sichersten) sind die Captschas, die z.B. eine kleine Rechenaufgabe aufgeben (z.B 15 +7) und das Ergebnis muss eingetragen werden.

Der Code erledigt die ersten 2 Punkte

Code: Alles auswählen

<?PHP

function check_mail_adresse($mail,$mxcheck=1) 
{
   if ( filter_var($mail, FILTER_VALIDATE_EMAIL ) === FALSE ) 
   {
      return false;
   }
   if ( $mxcheck ==1 ) 
   {
      $pice = explode('@', $mail);
      if (  !checkdnsrr($pice[1], "MX") and !checkdnsrr($pice[1], "A" ) and !checkdnsrr($pice[1], "CNAME" ) ) 
      {
         return false;
      } 
   }
   return true;
}

// aufruf mit MX-Check
if(check_mail_adresse("tralala@gmx".net) == true)
{ 
  mach was erlaubtes;
}

// Aufruf ohne MX-Chheck
if(check_mail_adresse("tralala@gmx".net, 0) == true)
{ 
  mach was erlaubtes;
}

[alexander_ro]

Gibts da eine Beschreibung was dieser Filter "FILTER_VALIDATE_EMAIL" macht und ob der auch die Probleme um die E-Mail Injection verhindert?

Ich habe mal bei php.net in der referenz geschaut aber da steht nix dazu.

Nach allem was ich bis jetzt so hier gelesen habe und unter dem Suchbegriff "E-Mail injection" gefunden, ist es das wichtigste das man LF und CR aus allem was als Header gelten könnte herausfiltert. Weil man dann die Mail Header Zeilen nicht mehr abschließen kann.

Mit den Captcha bin ich mir noch unsicher weil die nicht gerade User freundlich sind. Ich brauch das für eine Landingpage für Internet Werbung da wollte man sowas gerne vermeiden. Ich muss euch aber schon recht geben es geht fast nicht ohne.

Alexander

[sys_op]

Filter Schalter
http://us3.php.net/manual/de/filter.fil ... lidate.php

Ich prüfe auf \r und \n selber. Das kannst du aber selber herausfinden, indem du an deine Mailadresse einfach ein \n oder \r anhängts und prüfst. Kommt false zurück, ist das in der Prüfung enthalten. (komisch, daran habe ich selber eigentlich noch nie gedacht)

Ich mache das so und gebe gleich eine entsprechende Fehlermeldung aus:

Code: Alles auswählen

if(stristr($subject,"\r") or (stristr($subject,"\n") or ($subject == ""))) $_SESSION['fehler'] = "Betreff fehlerhaft oder leer....";

Das selbe mache ich mit von aund an (sofern ich an zulasse)

Spambots hatte ich früher viele, bis ich die Captchas als Riegel vorgeschoben habe. Mittlerweile arbeite ich auch mit Blacklisten und Wortfiltern (wie z.B. Viagra oder sex und porn)

[novalix]

wenn Du wirklich sinnvoll prüfen willst, ob die vom User im Formularfeld eingetragene Mailadresse zu dem entsprechenden User gehört,

Nein will ich nicht weil das so nicht geht. Es geht mir lediglich darum SPAM versand zu verhindern. Gibt der User eine falsche Mailadresse an bekommt der die Nachricht nicht.

Es gibt aber eben keine rein technische Möglichkeit eine Email-Adresse zu verifizieren. Du wirst also kaum feststellen können, was eine "falsche" und eine "richtige" Adresse ist. Spammer versenden ihre Ergüsse gerne an "richtige" Adressen.

Falls Registrierung keine Option ist, kannst Du lediglich prüfen, ob der eingetragene Wert syntaktisch eine gültige Mailadresse ist und dafür sorgen, dass alles was darüber hinausgeht (z.B. eine Liste von Mailadressen) verworfen wird.

Genau darum gehts nur ist das nicht so einfach. Die beiden vorher genannten Links habe ich gerade erst gefunden. Da werden Teile der Probleme beschrieben.

Deswegen sind syntaktische Prüfungen, ob es sich bei einem String um eine Mail-Adresse handelt, auch keineswegs ein geeigneter Spamschutz.

Du willst ja zwei Mails versenden.

Nein nur eine an die Mailadresse die ich über das HTML-Formular erhalte. Die Mail enthält auch noch andere Texte aus dem Formular.

Das habe ich anders verstanden. In Deinem Eingangspost steht folgendes

ich bin gerade dabei mir ein HTML-Formular zu bauen über das man Nachrichten zu mir senden kann. Ich möchte dem Internet User eine Bestätigung an seine Mail Adresse zusenden die den Text seiner Nachricht und andere Informationen enthält.

Ich lese daraus, dass der Nutzer über ein von Dir bereitgestelltes Formular eine Mail an Dich senden kann. Solch ein Formular sichert man dahingehend ab, dass der Inhalt der Mail ausschliesslich an eine von Dir vorgegebene Adresse versendet wird und keinerlei Einfügung in den Mailheader (vor allen Dingen nicht in "To", "CC" und "BCC") vorgenommen werden kann.
Diese Sicherungsmaßnahme unterläufst Du, indem eine Quasi-Kopie der Mail an die vom User eingetragene Adresse versendet wird.

Die zweite soll eine reine Bestätigungsmail mit fest vorgegebenen Content sein, in welchem lediglich die vorher vom User erstellte Variable "Mailadresse" und ggf. "Name" eingefügt werden. Spammer haben üblicherweise wenig Interesse einzelne Mails mit feststehenden von ihnen nicht beeinflussbaren Content durch die Gegend zu senden.

Der Content ist nur Teilweise fest. Ein Teil stammt aus Eingaben die ich über das HTML-Formular erhalte. Es ist ein irrglaube das man ohne Prüfung über so ein Formular nur eine Mail versenden kann. Die Masse des SPAM wird derzeit über kaputte Formulare versendet.

Ich hätte schreiben sollen "sollte". Lass den Content aus der Kopie heraus. Versende eine reine Bestätigung, dass eine Mail eingereicht wurde. Das reduziert die Lust der Spammer Dein Formular zu missbrauchen erheblich.

2. Clientseitig

Ein Client seitige SPAM Verhinderung ist völlig Nutzlos weil man die ohne großen aufwand umgehen kann.

Zu überprüfen, ob es sich bei einem String um eine Mailadresse handelt, ob server- oder clientseitig, ist kein Spamschutz. Du musst allerdings sicherstellen, dass keine Liste von Adressen übergeben wird -> Whitespace, Zeilenumbrüche, Kommas, etc. werden nicht angenommen.

Code dazu solltest Du im Netz jede Menge finden können.

Bisher habe ich nichts gefunden das nach einer sicheren Methode aussah. Scheinbar hatte ich gestern immer mit den falschen Suchbegriffen gesucht. Die zwei oben verlinkten Seiten gehen ja schon in die Richtung besonders die aus dem Selfhtml Forum.

Eine sichere Methode wirst Du auch nicht finden. Das Loch reisst Du selber, indem Du dem nicht verifizierten User gestattest den Inhalt und das Ziel einer vom System erstellten Mail zu bestimmen. Da läuft auch die von @sys_op vorgeschlagene DNS-Prüfung ins Leere. Wenn ein Spammer meine Mail-Adresse in Dein Formular setzt, dann prüft Dein System, ob meine Mailadresse auf einem korrekt adressierbaren Server gehostet ist. Das ist sie.

Groetjes, niels

[Cae]

Zugegebenermassen scrollt der Thread nur durch mein Sichtfeld, aber zum Thema aktiv Anfragen im DNS bezueglich der angegebenen E-Mail-Adresse wuerde ich vorsichtig sein. Ich denke da in Richtung DoS-Zombie, jemand stellt massenweise Anfragen zu irgendwelchen MX, dein Skript fragt alle ab und killt (u.U.) den im System angegebenen DNS-Server. Nicht gut.

Das eine verlinkte PHP-Skript oben mit dem RegEx-Haufen drin sieht fuer mich auf den ersten Blick wasserdicht aus, sofern man PHP trauen koennte. Es gibt einen Haufen whitegelistete Zeichen, da ist zwar sowas wie < mit drinnen (was < entspraeche, welches nicht in der Whitelist ist), aber es wird nirgendswo aktiv expandiert. Tja, sicher sein kann man sich bei dieser Gruetze [1] natuerlich nicht.

Gruss Cae

[1] z.B. '9223372036854775807' == '9223372036854775808'

[alexander_ro]

Guten Morgen ...

Du wirst also kaum feststellen können, was eine "falsche" und eine "richtige" Adresse ist.

Davon war ja auch nie die Rede.

Ich lese daraus, dass der Nutzer über ein von Dir bereitgestelltes Formular eine Mail an Dich senden kann.

Da steht "Nachrichten". Eine Nachricht erhalte ich in der Tat aber keine Mail.

Solch ein Formular sichert man dahingehend ab, dass der Inhalt der Mail ausschliesslich an eine von Dir vorgegebene Adresse versendet wird und keinerlei Einfügung in den Mailheader (vor allen Dingen nicht in "To", "CC" und "BCC") vorgenommen werden kann.

Was aber wohl kaum möglich ist wenn ich einer mir noch nicht bekannten Person ein Mail zusenden will.

Diese Sicherungsmaßnahme unterläufst Du, indem eine Quasi-Kopie der Mail an die vom User eingetragene Adresse versendet wird.

Das ist keine Sicherungsmaßnahme sondern die totale Zerstörung der funktionalität ...

Lass den Content aus der Kopie heraus. Versende eine reine Bestätigung, dass eine Mail eingereicht wurde.

Nicht nur das ich es geistlos finde Menschen mit derartig Inhaltsleeren Mails zu malträtieren sprechen Gesetzliche Anforderungen dagegen.

Eine sichere Methode wirst Du auch nicht finden.

Wenn die Methode eine akzeptables Maß an Sicherheit erreicht ist das völlig in Ordnung. Ich bin kein Politiker ich muß nicht von absoluter Sicherheit Sprechen wo diese nie zu erreichen ist.

aber zum Thema aktiv Anfragen im DNS bezueglich der angegebenen E-Mail-Adresse

Da hast Du recht, keine gute Idee und habe ich auch nicht vor. Weil es für das was ich verhindern will auch nichts nützt.

Grüße
Alexander