[Gelöst] Spamflut über Kontaktformular eindämmen

Hallo,

was vor Monaten mit einer Anfrage pro Nacht angefangen hat, hat sich inzwischen zu >10 Anfragen pro Tag gemausert.

Urplötzlich wurden über das Anfrageforumlar Nachrichten mit russischen(?) Schriftzeichen geschickt inzwischen dann auch englische Nachrichten und nun auch deutsche mit Link zu irgendwelchen Angeboten vermute ich.

Kann ich das irgendwie eindämmen? Als Captcha ist Honeypost eingestellt. Ich wollte es dann mal mit Buchstaben und Zahlen versuchen, aber ich schaffe es nicht, das Formular umzustellen.

Es geht um das Kontaktformular, nicht um die Anfragemöglichkeit beim Produkt. Die Umstellung des Captchas wirkt sich immer nur auf die Bewertungen und die Blogkommentare aus, nicht aber auf das Kontaktformular.

Suche ich an der falschen Stelle (Grundeinstellungen, Storfront, captcha)? Für Newsletter gibt es einen separaten Menüpunkt, gibt es noch weitere?

LG

 

@SB‍ Gesundes Neues erstmal. So einfach ist das nicht. Die Suche und teilweise die Ergebnisse sind eben nicht ausreichend. Und wenn die Frage zum tausensten Mal gestellt wird, dann muss man sich schon fragen ob am System oder dem Handbuch etwas nicht stimmen kann.

Und schau mal die interne Forumssuche. Versuche mal Begiffe wie “ip”, “get” oder “dns” zu finden.

Aktuelle IP-Sperrliste für htaccess (Benutzung auf eigene Gefahr):

deny from 85.25.236
deny from 37.187.148
deny from 46.138.153
deny from 194.247.190
deny from 182.92.223
deny from 158.69.252
deny from 192.42.116
deny from 178.120.202
deny from 79.126.55
deny from 93.188.39
deny from 5.35.51
deny from 69.12.70
deny from 91.77.27
deny from 178.140.240
deny from 188.163.19
deny from 82.193.109
deny from 42.51.194
deny from 54.37.188
deny from 5.101.64
deny from 93.77.75
deny from 185.17.184
deny from 37.115.124
deny from 79.139.224
deny from 178.120.206
deny from 188.230.21
deny from 77.121.150
deny from 80.78.68
deny from 79.139.225
deny from 186.178.77
deny from 81.171.18
deny from 95.161
deny from 95.25
deny from 51.38.14
deny from 42.236.10
deny from 206.189.118
deny from 95.163
deny from 46.105.124
deny from 136.243.11
deny from 46.173.1
deny from 80.252.153
deny from 176.59.53
deny from 145.255.21
deny from 94.41.135
deny from 217.107.106
deny from 178.159.37
deny from 89.70.227
deny from 149.202.86
deny from 195.184.208
deny from 188.165.229
deny from 95.37
deny from 46.119.114
deny from 23.250.85
deny from 64.85.24
deny from 185.57.80
deny from 109.184.115
deny from 62.106.121
deny from 103.212.43
deny from 205.251.151
deny from 192.169.136
deny from 89.109.2
deny from 178.212.79
deny from 92.127.197
deny from 95.191
deny from 5.188.210
deny from 176.51.0
deny from 185.206.224
deny from 93.120.179
deny from 93.120.187
deny from 109.184.143
deny from 109.184.229
deny from 31.184.238

 

2 „Gefällt mir“

Hallo zusammen, 

ich versuche mein Anliegen anders zu formulieren:

Spam hab ich ausschließlich über dieses eine Kontaktformular. 

Ich hab verschiedene Ideen, das Problem zu lösen, die ich am austesten bin. 

Dabei ist mir aufgefallen, dass ich für dieses Formular das Buchstaben/Zahlen Captcha nicht aktivieren kann. Meines Wissens sollte das unter Grundeinstellungen, Storfront, captcha einzustellen sein. Dort habe ich wie überall Honeypot eingestellt. Die Änderung greift aber nicht beim Kontaktformular, sondern nur bei Bewertung und Blogkommentar. 

Google bringt etliche Ergebnisse dazu, die aber auch nur den von mir genannten Menüpunkt für die Einstellung nennen. 

Also entweder wird das zwischenzeitlich an anderer Stelle eingestellt oder in meinem System stimmt etwas anderes nicht. 

In beiden Fällen dürfte aber anzunehmen sein, dass derzeit gar kein Captcha verwendet wird. 

Also würde mir zunächst die Info genügen, wo ich diese Einstellung für das Kontaktformular vornehme. 

Ein Filter macht gar keinen Sinn, weil in den Nachrichten nichts enthalten ist, was ein echter Kunde nicht auch schreiben könnte. 

Aber wie gesagt, bevor ich weitersuchen kann muss ich herausfinden, ob das Captcha Vlt gar nicht vorhanden ist. 

Ich hoffe, so ist das jetzt verständlicher. 

Wenn du keine Kunden aus Länder wie Ukraine , Russland , China ect. hast kannst du via .htaccess ein Komplett Blocking dieser Länder machen. Danach sollte Ruhe sein.
EU Staaten solltest du aber nicht Blocken, da die EU Geoblocking im Online-Handel verbietet. Aber für Länder außerhalb der EU ist dies kein Problem.

Hier ein Beispiel wie dies aussehen könnte.

   GeoIPEnable On
      SetEnvIf GEOIP_COUNTRY_CODE (CN|RU|A1|UA) BlockCountry
      Deny from env=BlockCountry

 

In den Beispiel werden die Länder China , Russland , Anonyme Proxys und die Ukraine geblockt die liste kannst du natürlich beliebig erweitern. 

2 „Gefällt mir“

Dass ich die Länder blocken könnte, weiß ich. Wenn die Sender aber aus DE sind hilft das nicht. Es geht aber auch NICHT um Registrierungen oder Bestellungen, sondern um das Kontaktformular. 

Sonst habe ich das Problem nicht. Daher u. a. der Verdacht, dass das Captcha nicht funktioniert. Da Honeypot nicht sichtbar ist für mich und die Änderung in Buchstaben Zahlen nicht funktioniert, kann ich nicht weiter testen. 

Zu folgendem Ergebnis bin ich jetzt bzgl. Spamnacherichten gekommen:

Stelle ich von für die Anfrageformulare von Honeypot auf Buchstabe/Zahlen-Captcha, kommt nicht eine Spammail mehr. 5 Tage lang getestet - nichts. Gestern auf Honeypot zurückgestellt -> heute Nacht das Postfach wieder voll Spam.

Man hat also die Wahl zwischen “mit Spammails leben” und “Kunden mit Buchstaben/Zahlencaptcha nerven”.

Was ich nicht prüfen kann ist, ob Honeypot auch wirklich ausgegeben wird oder ob er für Bots einfach leicht zu umgehen ist.

 

Was das Anzeigeproblem des Captchas angeht:

Grundeinstellungen, Storfront, captcha  ist schon richtig für die Formulare. Angezeigt wurde das Buchstaben/Zahlen-Captcha bei mir erst, nachdem ich es mal für die Registrierung aktiviert und wieder abgeschaltet habe.

 

1 „Gefällt mir“

Wir haben ebenfalls ein Problem mit dem “/contact”.

Das kuriose dabei ist, das “/contact” überhaupt nicht mehr aufrufbar ist, da wir es sowohl die Shopseiten als auch die Formulare dafür abgeschaltet haben.

Anstelle des Standardkontaktformulars haben wir das Ticketsystem von Shopware laufen. Darüber ("/Ticket/…") erhalten wir auch Spammails, die ich leider noch nicht richtig gefiltert bekommen. Dort sind es allerdings hauptsächlich “normale” Spammails ohne diesen kryptischen (Schadcode?) Text. 

InputFilter ist aktiviert und mit einigen der Zeichen versehen, die in den Nachrichtentexten mit auftauchen. Zudem haben wir eine Captcha-Anfrage laufen. Wenn ich selber ein Ticket eröffnen will und die Zeichen als Mitteilung eintrage, sagt mir der Shop ja auch nach versuchtem absenden, dass ich etwas in das Feld “Mitteilung” soll. Das System hat dann dieses Feld geleert.

So sieht eine Errormail inhaltlich aus:

Ich weiß, das die CSRF Protection die Versuche vereitelt. Trotzdem habe ich ein bissl Muffe, das irgendwann mal solche Versuche erfolgreich durchkommen und Schadcode installieren, aktivieren oder sonstewas.

Kann ich noch irgendetwas machen, um diese Versuche einzudämmen?

Das Problem dürfte aber weniger mit dem von mir geschilderte zu tun haben - außer dass es auch um Spam geht.

Du verwendet für das Ticketsystem vermutlich ein Plugin und das verwendete Captcha ist nicht das von SW für die Kontaktformulare zur Verfügung gestellte?

Die Frage war hier letztendlich - nach den Tests - ob der Honeypot möglicherweise gar nicht ausgegeben wird. Mit Buchstaben/Zahlencaptcha kommt nicht eine einzige Spammail durch.

Einen Filter habe ich nicht, kann ich auch nicht nutzen. Die Spammails sind inzwischen alle Deutsch und enthalten keine außergewöhnlichen Wörter.

Das ist richtig, das Ticketsystem ist das Shopware Plugin. Das Captcha aber das Standard.
Und ich wollte nur verdeutlichen, dass die Spams weiterhin kommen, obwohl die angesprochenen Contact und Kontakt (also Deutsch und Englisch) Formulare / Shopseiten deaktiviert sind, sprich überhaupt nicht aufrufbar.

Deutsche Spammails haben wir auch die wir ebenfalls nicht filtern können. Die sind dann auch über das Ticketsystem angefragt, handeln meist von XXX und werden ebenfalls via CSRF geblockt. 

Nichts desto trotz habe ich halt großteils die Probleme via /contact und Kontaktformular obwohl nicht aufrufbar.

Dann habe ich dich falsch verstanden. Dachte, der Spam käme über das Ticketsystem. Welches Captcha ist denn aktiviert für die Formulare?

Standard Captche (Zahlen/Buchstaben). 

Aber wie gesagt, die Formulare sind überhaupt nicht aktiv, genauso wie die dazugehörigen Shopseiten. “/Contact” und “/Kontakt” gibt es quasi nicht im Shop

 

Edit

(Etwas Offtopic und dennoch gehört es irgendwie dazu) Kann es sein, das die Bots, die die Controller direkt ansprechen dadurch den Inputfilter umgehen?
Denn gerade kam eine CSRF-Errormail betreffend das Ticketsystem mit Inhalt einiger Symbole, die ich im Filter stehen habe. Starte ich einen Versuch über das Ticketsystem mit diesen Symbolen komme ich nicht weiter und es gibt keine Errormail.

Seit ich Zahlen/Buchstaben eingestellt habe, kommt keine Spammail mehr durch. Bei mir waren es jede Nacht sehr viele. Es ist also nicht so, dass zufällig im Moment keine gesendet werden würden.

Warum die Formulare überhaupt bei dir genutzt werden können, kann dir sicherlich ein SW-Fachmann sagen bzw. das Problem beheben. Bei solchen Sachen halte ich mich auch lieber an eine Agentur, die weiß, was sie macht. :wink:

Den Emaileingang an sich kannst du sicherlich verhindern, indem du die EMailadresse im Formular auf example zurücksetzt. Verhindert aber den Auftruf des Formulars nicht.