Kontaktformular mit Bestätigungsmail?

[dettec61]

Die Teststeite ist zwar noch da, der zugehörige script existiert nicht mehr. Die Testseite war ausserdem 3 Tage in Betrieb mit captcha und alles war okay. Dann habe ich die Testseite zur offiziellen Seite gemacht, den funktionierenden Script nochmal umbenannt und alles aktiviert.
Dann ging das spamen los.
Erst las ich dann wieder die normale Mail eingetragen habe und den Script durch Umbenennen in *.alt ausser Betrieb genommen habe, hörte das spamen auf die Teststeite hat keinerlei Wirkung darauf.
Die hat ja sogar im Aktiven Zustand keinen Spam verursacht. Habe sie aber jetzt trotzdem gelöscht

[Tommy Herrmann]

Sorry, eben war das Script noch da - das hatte ich doch geprüft

Nochmals, es ist nicht möglich das Captcha zu umgehen ohne dass der Spambot umprogrammiert würde. Auch dann ist das auch fast unmöglich, denn die Bilder des Captchas müssen zunächst in Klarschrift übersetzt werden.

Ich glaube, dass Dein Server gehackt wurde. Hattest Du mal bei Deinem Provider angerufen, die können das feststellen.

Vielleicht wäre es auch ratsam das Script "PHPMailer" zu wechseln, also die allerneueste Version 6.9.3, die in meinem neuesten Download auch mit dabei ist.

https://www.mobirise-tutorials.com/Kont ... Mailer-New

Du wechselst dann also nur die Dateien und Verzeichnisse am Server mit den neuesten aus dem Download.

Oder - warum nimmst Du nicht den Generator von "Arclab". Besser geht nicht.

[dettec61]

Also, keine Ahnung. Das Script existiert zwar noch, aber zum einen mit captcha und zweitens in .alt umbenannt. Also nicht ausführbar. Das neu angegriffene Script heist hinten yl. gleich wie das alte. Die ersten Buschstaben sind aber anders.
Den Namen kann man aber leider im Formular lesen. Deswegen überlege ich ja die Formularseite anders zu benennen und das Script in eine Unterverzeichnis zu legen. Das hattest du mir ja vorgeschlagen, nur weis ich nicht wie das bei "action" eingetragen werden muss im Formular.
Lt. one.com ist der Server nicht gehackt worden, die haben aber den hohen Mailverkehr festgestellt.
Die php Version werde ich erneuern.
Bei Arclab hast du gestern noch geschrieben das es nicht ratsam wäre, da ohne eigenen Zugriff keine Anpassung mehr möglich wäre.
Würde mir das dennoch gerne ansehen.
Aber den letzten Test möchte ich noch machen.
Könntest du mir verraten wie der Eintrag bei "action" im Formular aussehen müsste mit Unterverzeichnis?
Habe da schon ein paar Dinge probiert, jedesmal kam ein Fehler oder das Script wurde nicht gefunden...

[Volker]

Wenn das Mailscript in einem anderen Verzeichnis liegt, muss auch der PHPMailer dort liegen.

Also alles in ein Unterverzeichnis Beispiel "test"

Dann muss die action eben so aussehen : action="test/mailscript.php"

Ich muss aber nicht erwähnen das das Kontakformular nur einen Ebene höher liegen darf ?

[vloppy]

Wir eriinern uns an die Panik nach der Entscheidung LG München I, hier auf der Seite die die Diskussionen bezüglich des Kontaktformulares am Laufen hält.:

Code: Alles auswählen

  <link rel="preload" href="https://fonts.googleapis.com/css?family=Merriweather:300,300i,400,400i,700,700i,900,900i&display=swap" as="style" onload="this.onload=null;this.rel='stylesheet'">
  <noscript><link rel="stylesheet" href="https://fonts.googleapis.com/css?family=Merriweather:300,300i,400,400i,700,700i,900,900i&display=swap"></noscript>
  <link rel="preload" href="https://fonts.googleapis.com/css?family=Jost:100,200,300,400,500,600,700,800,900,100i,200i,300i,400i,500i,600i,700i,800i,900i&display=swap" as="style" onload="this.onload=null;this.rel='stylesheet'">
  <noscript><link rel="stylesheet" href="https://fonts.googleapis.com/css?family=Jost:100,200,300,400,500,600,700,800,900,100i,200i,300i,400i,500i,600i,700i,800i,900i&display=swap"></noscript>

[Tommy Herrmann]

Detlev,

das mit dem anderen Unterverzeichnis kann es nicht sein. Das steht doch dann auch wieder sichtbar in der "action" vom Formular. Das ist also Quatsch und das brauchst Du gar nicht erst probieren.

Kommen die Spams denn nur bei einer ganz bestimmten E-Mail-Adresse - oder bei allen E-Mail-Adressen, die Du im Script einträgst? Wenn es nur eine bestimmte Adresse ist, dann ist diese E-Mail gehackt und nicht das Script.

Du solltest in jedem Fall mal bei Deinem Provider anrufen und fragen ob da alles in Ordnung ist.

[Tommy Herrmann]

Vloppy,

was meinst Du jetzt mit den Google-Fonts? Das ist doch ein ganz anderes Thema als das Kontakt-Formular. Oder meinst Du die Verwendung von "Formoid"? Das wollte wir ja eben gerade durch das Script verhindern.

[Volker]

Man könnte auch eine Art IP Ban einbauen, damit der Spambot nach x Nutzung des Formulars einfach gesperrt wird.

Code: Alles auswählen

session_start(); // Session starten für Danke-Seite, Captcha und IP-Ratelimitierung
// --- IP-Rate-Limiting-Konfiguration ---
$ip = $_SERVER['REMOTE_ADDR'];
$limit_file = __DIR__ . '/rate_limit.json'; // Datei zur Speicherung der Zugriffsversuche
$max_attempts = 3;        // Maximal erlaubte Versuche innerhalb des Zeitfensters
$time_window   = 10 * 60;  // Zeitfenster in Sekunden (hier: 10 Minuten)

// Lade vorhandene Daten, falls vorhanden
if (file_exists($limit_file)) {
    $data = json_decode(file_get_contents($limit_file), true);
} else {
    $data = [];
}
/ Aktuelle Zeit
$current_time = time();

// Bereinige alte Versuche (älter als das Zeitfenster)
foreach ($data as $ip_address => $attempts) {
    $filtered_attempts = array_filter($attempts, function($timestamp) use ($current_time, $time_window) {
         return ($current_time - $timestamp) <= $time_window;
    });
    if (!empty($filtered_attempts)) {
         $data[$ip_address] = $filtered_attempts;
    } else {
         unset($data[$ip_address]);
    }
}

// Prüfen, ob die aktuelle IP das Limit überschritten hat
if (isset($data[$ip]) && count($data[$ip]) >= $max_attempts) {
    header("Location: banned.html");
    exit;
}

// Logge diesen Versuch
$data[$ip][] = $current_time;
file_put_contents($limit_file, json_encode($data));

Ich habe auf meinem Server auch einen IP Ban aktiv. Selbst ich werde gesperrt, wenn ich mehrmals testweise meine Formulare versende

Hab es hier mal eingebaut und wie ich sehe klappts
https://niederastroth.de/Mail/

[Tommy Herrmann]

Moin,

also das ist vollkommen sinnlos.

Bei meinem massiven Angriff auf meinem Server hatte ich ja ca. 1 Millionen Angriffe in der Woche und fast keine IP war gleich.

Spambots wechseln mit jedem Angriff auch die IP. Das sind auch immer alles Proxy-Ip's. Das hatte ich damals auch hier beschrieben:

viewtopic.php?p=12175#p12175

So etwas nutzt nur gegen böse Buben, die einen ärgern wollen aber nicht gegen Bots.

Im Formular-Generator vom Werner ist so eine Sperre auch mit dabei.

[Volker]

Tommy,

ob es Sinn macht oder nicht - Der Einbau kann auf keinen Fall schaden.
Muss Detlev selber wissen ob er weiter versuchen will oder nicht. Wenn ja, sollte er den IP Ban auf jeden Fall mal versuchen.

Für alle die es interessiert habe ich hier mein Mailscript, wie ich es zur Zeit hier verwende:
https://niederastroth.de/Mail/

Code: Alles auswählen

<?php

/*
 * mailscript.php
 * Version mit Absender-Kopie, einfachem mathematischem Captcha und IP-Ratelimitierung
 */

use PHPMailer\PHPMailer\PHPMailer;
use PHPMailer\PHPMailer\Exception;

require __DIR__ . '/PHPMailer-master/src/Exception.php';
require __DIR__ . '/PHPMailer-master/src/PHPMailer.php';

session_start(); // Session starten für Danke-Seite, Captcha und IP-Ratelimitierung

// --- IP-Rate-Limiting-Konfiguration ---
$ip = $_SERVER['REMOTE_ADDR'];
$limit_file = __DIR__ . '/rate_limit.json'; // Datei zur Speicherung der Zugriffsversuche
$max_attempts = 3;        // Maximal erlaubte Versuche innerhalb des Zeitfensters
$time_window   = 10 * 60;  // Zeitfenster in Sekunden (hier: 10 Minuten)

// Lade vorhandene Daten, falls vorhanden
if (file_exists($limit_file)) {
    $data = json_decode(file_get_contents($limit_file), true);
} else {
    $data = [];
}

// Aktuelle Zeit
$current_time = time();

// Bereinige alte Versuche (älter als das Zeitfenster)
foreach ($data as $ip_address => $attempts) {
    $filtered_attempts = array_filter($attempts, function($timestamp) use ($current_time, $time_window) {
         return ($current_time - $timestamp) <= $time_window;
    });
    if (!empty($filtered_attempts)) {
         $data[$ip_address] = $filtered_attempts;
    } else {
         unset($data[$ip_address]);
    }
}

// Prüfen, ob die aktuelle IP das Limit überschritten hat
if (isset($data[$ip]) && count($data[$ip]) >= $max_attempts) {
    header("Location: banned.html");
    exit;
}

// Logge diesen Versuch
$data[$ip][] = $current_time;
file_put_contents($limit_file, json_encode($data));

// --- Formularverarbeitung ---

// Empfänger-Daten
$empfaengerName  = "Volker";
$empfaengerEmail = "xxxx@xxxxxxxx.de";
$dankeSeite      = "danke.php";
$fehlerSeite     = "fehler.html";
$betreffEmail    = "Kontaktformular Homepage";

// Wurden POST-Daten gesendet?
if ($_SERVER["REQUEST_METHOD"] == "POST") {

    // Captcha-Überprüfung (einfaches mathematisches Captcha)
    if (!isset($_SESSION['captcha_answer']) || trim($_POST['captcha']) != $_SESSION['captcha_answer']) {
        header("Location: " . $fehlerSeite);
        exit;
    }
    // Captcha ist korrekt, Session-Lösung zurücksetzen
    unset($_SESSION['captcha_answer']);

    // Zeitzone setzen
    date_default_timezone_set("Europe/Berlin");
    $datum = date("d.m.Y H:i");

    // Eingaben bereinigen
    $name    = htmlspecialchars(strip_tags($_POST["name"] ?? ""));
    $email   = filter_var($_POST["email"] ?? "", FILTER_VALIDATE_EMAIL);
    $phone   = htmlspecialchars(strip_tags($_POST["phone"] ?? ""));
    $message = htmlspecialchars(strip_tags($_POST["message"] ?? ""));

    if (!$email) {
        header("Location: " . $fehlerSeite);
        exit;
    }

    // Inhalt der E-Mail setzen
    $inhaltEmail = "Gesendet am: $datum Uhr
    Name: $name
    E-Mail: $email
    Phone: $phone
    Nachricht: $message
    ";

    // PHPMailer-Instanz
    $mail = new PHPMailer();
    $mail->CharSet = "UTF-8";

    // Fester Absender (damit es nicht blockiert wird)
    $mail->setFrom("no-reply@xxxxxxx.de", "Webseite Kontaktformular");
    $mail->addReplyTo($email, $name);

    // Empfänger setzen
    $mail->addAddress($empfaengerEmail, $empfaengerName);
    // Optional: "Antworten an" den Absender nochmals setzen
    $mail->addReplyTo($email, $name);

    // Der Absender bekommt eine Kopie
    $mail->addCC($email); // Falls BCC gewünscht: $mail->addBCC($email);

    // Betreff und Nachricht setzen
    $mail->Subject = $betreffEmail;
    $mail->Body    = $inhaltEmail;

    // E-Mail versenden
    if ($mail->send()) {
        // Daten für die Danke-Seite speichern
        $_SESSION['name']    = $name;
        $_SESSION['email']   = $email;
        $_SESSION['phone']   = $phone;
        $_SESSION['message'] = $message;

        header("Location: " . $dankeSeite);
        exit;
    } else {
        error_log("Mail-Fehler: " . $mail->ErrorInfo);
        header("Location: " . $fehlerSeite);
        exit;
    }
}
?>

[Tommy Herrmann]

Volker,

Du verwendest das uralte Script ohne SMTP. Das ist ganz anders aufgebaut. Hoffentlich ist Detlev dann nicht komplett verwirrt.

Nochmals, nein schaden kann das sicherlich nicht, es nutzt aber auch nichts gegen Bots.

Ach übrigens - so einen Spamschutz wie Du jetzt in das Formular integriert hast, mit Zahlen in Klarschrift, können Spambots in Bruchteilen von Sekunden lösen. Den hatte ich damals auch in einem Formular von Werner, das ja eben geknackt worden ist. Insbesondere weil das Formular kein SMTP hatte sondern einfach via PHP-Mail gesendet hatte.

Dann steht in Deinem Script ja so einiges, was so auch nicht ausreichend erklärt ist. So kann das niemand gebrauchen. Du schreibst z.B. nicht, wie das Captcha in Deinem Formular überhaupt gesetzt wird, verweist aber im Script darauf: trim($_POST['captcha']). So hagelt es Fehlermeldungen.

Detlev müsste zunächst einmal die Ursache finden. Alles andere macht gerade wenig bis gar keinen Sinn.

[dettec61]

Detlev,

das mit dem anderen Unterverzeichnis kann es nicht sein. Das steht doch dann auch wieder sichtbar in der "action" vom Formular. Das ist also Quatsch und das brauchst Du gar nicht erst probieren.

Kommen die Spams denn nur bei einer ganz bestimmten E-Mail-Adresse - oder bei allen E-Mail-Adressen, die Du im Script einträgst? Wenn es nur eine bestimmte Adresse ist, dann ist diese E-Mail gehackt und nicht das Script.

Du solltest in jedem Fall mal bei Deinem Provider anrufen und fragen ob da alles in Ordnung ist.

Okay, dann lasse ich das mit dem Unterverzeichnis.
Die Absendermailadresse ist unterschiedlich und auch manchmal nichts eingetragen, also komplett leer.
Und es ist die mailadresse die hier mal eingetragen war und sichtbar war im Scriptcode.
Und nur wenn das Script aktiv ist und im Formular aufgerufen wird, kommt Spam.
Ist die gleich Mailadresse im Kontaktformular eingetragen, kommt kein Spam.

Wie ich schon schrieb, hatte ich Kontakt mit dem Hoster one.com. Laut denen war nur der massive Spam aufgefallen. Ein Hack o.ä. nicht.

[Klaus]

Ich hab mir jetzt nicht alles durchgelesen aber was ich nicht verstehe ist ... wenn Ihr das reCAPTTCHA v3 schon so gut findet und das auch das Formoid Formular schützt, warum verwendet Ihr es denn dann nicht im eigenen Skript, der Einbau ist doch sehr einfach?

Ich hab hier mal fix 2 Seiten zum Thema "verarbeitet" zur Demo wie es funktioniert:
https://developers-google-com.translate ... _tr_pto=rq
https://code.tutsplus.com/example-of-ho ... cms-33752t

Formularseite (statt reCAPTCHA_site_key natürlich den eigenen Key):

Code: Alles auswählen

<html>
  <head>
	<script src="https://www.google.com/recaptcha/api.js"></script>
	<script>
		function onSubmit(token) {
			document.getElementById("meinFormular").submit();
		}
	</script>
  </head>
  <body>
    <form action="mail.php" method="POST" id="meinFormular">
      <br/>
	  <input type="email" id="email" name="email">

		<button class="g-recaptcha"
			data-sitekey="reCAPTCHA_site_key"
			data-callback='onSubmit'
			data-action='submit'>
			Submit
		</button>
	  
    </form>
  </body>
</html>

mail.php (Demoseite, statt reCAPTCHA_site_secret natürlich das eigene Secret):

Code: Alles auswählen

<?php

$token = $_POST['g-recaptcha-response'];

$rc = curl_init();
curl_setopt($rc, CURLOPT_URL,"https://www.google.com/recaptcha/api/siteverify");
curl_setopt($rc, CURLOPT_POST, 1);
curl_setopt($rc, CURLOPT_POSTFIELDS, http_build_query(array('secret' => 'reCAPTCHA_site_secret', 'response' => $token)));
curl_setopt($rc, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($rc);
curl_close($rc);

$arrResponse = json_decode($response, true);

if ($arrResponse['success']) {
	echo "Überprüfung erfolgreich";
} else {
	echo "SPAM";
}	

Noch n Tipp wenn man in Formulareditor von MR ein eigenes Script verwendet die google Daten für das reCAPTCHA (Secret) nicht eintragen weil sonst auch das Secret für alle sichtbar im QuellCode landet ... ob das ein großes Problem ist weiß ich nicht aber man baucht es ja nur selber in der "Action" also in der mail.php um mit Curl von google das "Token" aus dem Formular zu prüfen.

Was die Kosten für das Captcha angeht ... da kenne ich mich nicht aus aber meines Wissens sind ggf. nur 10000 Aufrufe (oder weniger?) pro Monat kostenfrei und dann wirds ggf. teuer!
Tommy hat ja mal geschrieben dass es bei ihm in kürzester Zeit mal ne gute Million Aufrufe waren ...

Nachtrag ... noch was im Internet gefunden ...ja das "Offenlegen" vom Secret kann ein Problem sein weil die Aufrufe an die API von google mit dem Secret in die Abrechnung mit eingeht.
(Bei Detlev glaube ich stand das Secret bis vorgestern im Formular.)

[Tommy Herrmann]

Hallo Klaus,

Danke, dass Du was dazu schreibst. Nur ganz kurz vom Handy, da ich noch unterwegs bin.

Die Keys vom reCAPTCHA werden verschlüsselt von Mobirise dargestellt. Das hat er auch weiterhin zusätzlich dabei, schon deswegen glaube ich nicht an den Hack von dem Formular. An reCAPTCHA kommst Du eigentlich nicht vorbei.

Hier kannst Du das, auf meine zuletzt von "Mobirise AI" generierten Seite, im Quelltext sehen:

https://www.mobirise-tutorials.com/Test ... uEmnsc3hDr

[Volker]

...

Bei meinem massiven Angriff auf meinem Server hatte ich ja ca. 1 Millionen Angriffe in der Woche und fast keine IP war gleich.

Nur nebenbei

Bei mir können Täglich max. 15.000 E-Mails kommen also max. 105.000 Mails pro Woche

Ich habe 2003 von normalen Hosting Paket auf eigenen Root Server umgestellt. In der Anfangszeit habe ich eine Menge Lehrgeld zahlen müssen Die Pflege und das Updaten war eine "Lebensaufgabe" und täglich habe ich neu dazu gelernt.

Bin dann 2010 auf V-Server umgestiegen und auch hier muss man einige Dinge immer noch selber machen.
Dieses Mailscript von Dir und Werner habe ich seit Anfang am Laufen, auf unterschiedlichen Domains.
Die meisten Kontaktformulare hatten/haben keinen Spamschutz, weil ich die Anfragen der Kunden so einfach wie möglich halten wollte.

Bis heute ist nicht ein einziges Formular gespammt worden von Bots. Es kamen mal eine Zeit lang 10-20 Mails täglich über ein Formular die Werbung enthielten. Das war nervig und ich habe ein verstecktes Feld hinzugefügt, dann war wieder Ruhe.

Ich nutze wie gesagt nur die Mail Funktion, weil SMTP eben die Daten des Mailaccounts brauchen, die ich nicht von den Kunden haben möchte ( bekomme )

Natürlich kann ich für jede Domain auf meinem Server die Anzahl der Mails einstellen

[Klaus]

Falls man kein eigenes Skript verwendet ist das Secret verschlüsstelt im Formular und wird an die Formoid Seite übertragen damit die das Secret dann entschlüsseln können und für die Tokenprüfung bei google verwenden können.

Falls man aber ein eignes Skript angibt dann steht leider das Secret unverschlüsselt im Formular.
(Daher sollte man das Secret bei eigenem Skript auf keinen Fall mit angeben!)

... und wie ich gerade selber getestet hab jeder Call an die API von google zur Überbrüfung des Tokens geht in die "Zählung" für die 10000 oder Zahlung mit ein.
->Sieht für mich nach einem bösen Faul aus.

Da jede Tokenprüfung ggf. "kostet" sollte man dann vor der Prüfung noch einen Zähler für Aufrufe pro Tag oder so haben weil sonst wird man arm!? ;-)
Glaube Formoid lässt auch nur eine gewisse Anzahl an Mails pro Tag zu.

[Klaus]

Thema eigene Server/VServer ... ja dann kann man sehr viel sehr schön einstellen.
Ist aber nur für Profis geeignet die sich top auskennen.

Ich hab meine ersten größeren Server bei einem regionalen Hoster so um 1999 eingerichtet und weiß was da so jede Sekunde reindonnert auf den Ports.

[Tommy Herrmann]

Falls man aber ein eignes Skript angibt dann steht leider das Secret unverschlüsselt im Formular.
(Daher sollte man das Secret bei eigenem Skript auf keinen Fall mit angeben!)

Klaus,

das ist es - Du bist genial (wie immer). Du fehlst mir echt hier

Das habe ich nie gesehen und ja - ist ja irgendwie logisch.

Dann wird sein Problem wohl da liegen. Er muss dann auch einen neuen Key bei Google "reCAPTCHA" erstellen lassen, den seiner ist ja jetzt dem Hacker bekannt.

[Tommy Herrmann]

… also meine reCAPTCHA Prüfung hat so um die 10 Anfragen pro Tag, inklusive des Forums hier:

Kein einziger Spammer ist mehr bis zum Forum durchgedrungen, seitdem ich das reCAPTCHA verwende. Zuvor waren es unerträgliche 10 - 50 pro Tag.

[Klaus]

Ne ganz so ist es nicht, mit dem Secret kann man nur die Kosten in die Höhe treiben wenn man jemanden ärgern will aber sonst glaube ich kann man damit nix anfangen.

Das Token das vom Frontend kommt ist ja nur 1 mal für 2 Minuten gültig und wenn jemand (Hacker) die Überprüfung mal so macht dann ist das Token halt nicht mehr gültig.

Denke mal vom Secret kann man nicht mal eben so zurückrechnen um auf gültige Tokenwerte zu kommen ... hoffe das zumindest ...

Bzgl. bei Dir die Prüfungen ... wie geschrieben ich vermute dass Formoid und das Forum nur eine gewisse Anzahl pro Tag zulässt und somit das dann im Rahmen bleibt.

Ich kann Dir mit ab (ApacheBench) schon Dein Konto "Hochfahren" ;-)

Was viele vergessen gerade weil ich immer lese "da sind doch Pflichtfelder drinnen das geht doch nicht" ... ja aber die gelten ja nur wenn die mail.php per Browserformular (Post) aufgerufen wird.
Das Skript kann man ja mit jedem Tool aufrufen wie SoapUI, Postman oder ganz einfach curl und da gilt nix.